Анализ безопасности в области Web3 за первое полугодие: методы атак Хакеров и стратегии предотвращения
В первой половине 2022 года в области Web3 произошло множество инцидентов безопасности, что привело к огромным потерям. В данной статье будет проведен анализ основных методов атак за этот период и рассмотрены соответствующие стратегии защиты.
Обзор инцидентов безопасности за первое полугодие
Согласно данным мониторинга платформы осознания ситуации в блокчейне, в первой половине 2022 года произошло 42 основных случая атак, общие потери составили 644 миллиона долларов. При этом около 53% способов атак были связаны с использованием уязвимостей контрактов.
Среди всех использованных уязвимостей логические ошибки или неправильное проектирование функций являются наиболее часто используемыми типами уязвимостей хакерами, за ними следуют проблемы валидации и уязвимости повторного входа.
Анализ событий значительных убытков
3 февраля проект кроссчейн-моста Solana Wormhole подвергся атаке, в результате которой было потеряно около 326 миллионов долларов. Хакер использовал уязвимость в проверке подписи контракта для подделки учетной записи и создания wETH.
30 апреля, пул средств определенного протокола стал жертвой атаки через флеш-кредит с повторным входом, в результате чего был потерян 80,34 миллиона долларов. Нападающий использовал уязвимость повторного входа в контракте, реализованном с помощью cEther, чтобы извлечь все средства, создав функцию обратного вызова. Это событие в конечном итоге привело к тому, что команда проекта объявила о закрытии.
Распространенные типы уязвимостей
В процессе аудита чаще всего выявляют четыре основных типа уязвимостей:
Атака повторного входа ERC721/ERC1155: включает вредоносный код в функцию уведомления о переводе.
Логическая уязвимость: недостаточное внимание к специальным сценариям, неполное проектирование функций.
Отсутствие аутентификации: ключевая функция не имеет контроля доступа.
Манипуляция ценами: существует недостаток в механизме расчета цен.
Эти уязвимости были использованы Хакером в реальных сценариях, при этом логические уязвимости контрактов являются основным способом атаки.
Рекомендации по предотвращению
Строго следуйте модели проектирования "Проверка-Введение в действие-Взаимодействие".
Всесторонне учитывать различные граничные условия и специальные сценарии.
Установите полное управление доступом для ключевых функций.
Использование механизмов, таких как средневзвешенная цена во времени, для повышения безопасности ценовых оракулов.
Регулярно проводить формальную верификацию смарт-контрактов и профессиональный аудит безопасности.
С помощью профессиональной платформы для аудита безопасности и верификации, в сочетании с ручной проверкой экспертами по безопасности, вышеупомянутые уязвимости могут быть обнаружены и своевременно исправлены до запуска проекта. Проектные стороны должны придавать большое значение аудитам безопасности и внедрять соответствующие рекомендации по безопасности, чтобы максимально снизить риски безопасности.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
13 Лайков
Награда
13
7
Поделиться
комментарий
0/400
AirdropworkerZhang
· 07-24 11:13
бык马上岸难
Посмотреть ОригиналОтветить0
CryptoSourGrape
· 07-23 03:52
Если бы я тоже был Хакером, было бы здорово, все потери вернулись бы.
Посмотреть ОригиналОтветить0
FOMOSapien
· 07-21 15:17
Все уже расслабились, братья?
Посмотреть ОригиналОтветить0
FOMOmonster
· 07-21 15:15
разыгрывайте людей как лохов одну чашку неудачников
Посмотреть ОригиналОтветить0
NftCollectors
· 07-21 15:11
С точки зрения анализа данных, инциденты безопасности уже серьезно угрожают легитимности передачи ценности в блокчейне.
Посмотреть ОригиналОтветить0
0xSoulless
· 07-21 14:58
неудачники всегда теряют все четко и ясно
Посмотреть ОригиналОтветить0
LightningAllInHero
· 07-21 14:55
Контракты не были должным образом составлены, и десятки миллиардов просто улетели.
Безопасность Web3 в первой половине года: 42 атаки привели к убыткам в 644 миллиона долларов, анализ стратегий предотвращения
Анализ безопасности в области Web3 за первое полугодие: методы атак Хакеров и стратегии предотвращения
В первой половине 2022 года в области Web3 произошло множество инцидентов безопасности, что привело к огромным потерям. В данной статье будет проведен анализ основных методов атак за этот период и рассмотрены соответствующие стратегии защиты.
Обзор инцидентов безопасности за первое полугодие
Согласно данным мониторинга платформы осознания ситуации в блокчейне, в первой половине 2022 года произошло 42 основных случая атак, общие потери составили 644 миллиона долларов. При этом около 53% способов атак были связаны с использованием уязвимостей контрактов.
Среди всех использованных уязвимостей логические ошибки или неправильное проектирование функций являются наиболее часто используемыми типами уязвимостей хакерами, за ними следуют проблемы валидации и уязвимости повторного входа.
Анализ событий значительных убытков
3 февраля проект кроссчейн-моста Solana Wormhole подвергся атаке, в результате которой было потеряно около 326 миллионов долларов. Хакер использовал уязвимость в проверке подписи контракта для подделки учетной записи и создания wETH.
30 апреля, пул средств определенного протокола стал жертвой атаки через флеш-кредит с повторным входом, в результате чего был потерян 80,34 миллиона долларов. Нападающий использовал уязвимость повторного входа в контракте, реализованном с помощью cEther, чтобы извлечь все средства, создав функцию обратного вызова. Это событие в конечном итоге привело к тому, что команда проекта объявила о закрытии.
Распространенные типы уязвимостей
В процессе аудита чаще всего выявляют четыре основных типа уязвимостей:
Атака повторного входа ERC721/ERC1155: включает вредоносный код в функцию уведомления о переводе.
Логическая уязвимость: недостаточное внимание к специальным сценариям, неполное проектирование функций.
Отсутствие аутентификации: ключевая функция не имеет контроля доступа.
Манипуляция ценами: существует недостаток в механизме расчета цен.
Эти уязвимости были использованы Хакером в реальных сценариях, при этом логические уязвимости контрактов являются основным способом атаки.
Рекомендации по предотвращению
Строго следуйте модели проектирования "Проверка-Введение в действие-Взаимодействие".
Всесторонне учитывать различные граничные условия и специальные сценарии.
Установите полное управление доступом для ключевых функций.
Использование механизмов, таких как средневзвешенная цена во времени, для повышения безопасности ценовых оракулов.
Регулярно проводить формальную верификацию смарт-контрактов и профессиональный аудит безопасности.
С помощью профессиональной платформы для аудита безопасности и верификации, в сочетании с ручной проверкой экспертами по безопасности, вышеупомянутые уязвимости могут быть обнаружены и своевременно исправлены до запуска проекта. Проектные стороны должны придавать большое значение аудитам безопасности и внедрять соответствующие рекомендации по безопасности, чтобы максимально снизить риски безопасности.