Аналіз безпекової ситуації в сфері Web3 за перше півріччя: методи атак хакерів та стратегії захисту
У першій половині 2022 року в сфері Web3 часто траплялися інциденти безпеки, що призвели до значних втрат. У цій статті буде проведено аналіз основних методів атак цього періоду та обговорено відповідні стратегії запобігання.
Загальний огляд безпекових інцидентів за перше півріччя
Згідно з даними моніторингу платформи спостереження за станом блокчейну, у першій половині 2022 року сталося 42 основних випадки атак, загальні збитки склали до 644 мільйонів доларів. Приблизно 53% способів атак були пов'язані з експлуатацією вразливостей контрактів.
Серед усіх експлуатованих вразливостей, логічні або функціональні недоліки є найчастіше використовуваними типами вразливостей хакерами, за ними йдуть проблеми перевірки та уразливості повторного входу.
Аналіз подій значних втрат
3 лютого, проект кросчейн мосту Solana Wormhole зазнав атаки, в результаті якої було втрачено близько 326 мільйонів доларів. Хакер скористався вразливістю в перевірці підписів контракту, підробивши рахунок для випуску wETH.
30 квітня, пул коштів певного протоколу зазнав атаки з використанням флеш-кредита та повторного входу, внаслідок чого було втрачено 80,34 мільйона доларів. Зловмисник скористався вразливістю повторного входу в контракті, реалізованому на cEther, шляхом створення зворотного виклику для вилучення всіх коштів. Ця подія врешті-решт призвела до оголошення розробників про закриття проекту.
Загальні типи вразливостей
Під час аудиту найчастіше виявляють чотири основні типи вразливостей:
Атака повторного входу ERC721/ERC1155: включення шкідливого коду у функцію повідомлення про переказ.
Логічні вразливості: недостатня увага до спеціальних сценаріїв, незавершений дизайн функцій.
Відсутність автентифікації: ключова функція не має налаштування контролю доступу.
Маніпуляція цінами: Механізм обчислення цін має недоліки.
Ці вразливості в реальних сценаріях вже використовувались хакерами, серед яких логічні вразливості контракту є основним способом атаки.
Рекомендації щодо запобігання
Строго дотримуйтесь моделі дизайну "Перевірка-Активування-Взаємодія".
Повноцінно розглянути всі граничні умови та особливі ситуації.
Налаштуйте повний контроль доступу для ключових функцій.
Використання механізмів, таких як середня ціна з урахуванням часу, для підвищення безпеки цінових оракулів.
Регулярно проводити формальну верифікацію смарт-контрактів та професійний аудит безпеки.
Завдяки професійній платформі аудиту безпеки та верифікації, у поєднанні з ручним контролем експертів з безпеки, вказані вразливості можуть бути виявлені та своєчасно виправлені до запуску проєкту. Команда проєкту повинна приділяти увагу роботі з аудиту безпеки, реалізувати відповідні рекомендації з безпеки, щоб максимально знизити ризики безпеки.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
13 лайків
Нагородити
13
7
Поділіться
Прокоментувати
0/400
AirdropworkerZhang
· 07-24 11:13
бик скоро на березі важко
Переглянути оригіналвідповісти на0
CryptoSourGrape
· 07-23 03:52
Якби я також був Хакером, було б добре, всі втрати повернулися б.
Переглянути оригіналвідповісти на0
FOMOSapien
· 07-21 15:17
Вже всі полягли, браття?
Переглянути оригіналвідповісти на0
FOMOmonster
· 07-21 15:15
обдурювати людей, як лохів одну чайну чашку невдахів
Переглянути оригіналвідповісти на0
NftCollectors
· 07-21 15:11
З точки зору аналізу даних, аварії безпеки вже серйозно загрожують легітимності передачі вартості у блокчейні.
Переглянути оригіналвідповісти на0
0xSoulless
· 07-21 14:58
невдахи завжди програють зрозуміло і очевидно
Переглянути оригіналвідповісти на0
LightningAllInHero
· 07-21 14:55
Контракти не були укладені, а десятки мільярдів зникли.
Безпекова ситуація Web3 за перше півріччя: 42 атаки завдали збитків у 644 мільйони доларів США. Аналіз стратегій запобігання.
Аналіз безпекової ситуації в сфері Web3 за перше півріччя: методи атак хакерів та стратегії захисту
У першій половині 2022 року в сфері Web3 часто траплялися інциденти безпеки, що призвели до значних втрат. У цій статті буде проведено аналіз основних методів атак цього періоду та обговорено відповідні стратегії запобігання.
Загальний огляд безпекових інцидентів за перше півріччя
Згідно з даними моніторингу платформи спостереження за станом блокчейну, у першій половині 2022 року сталося 42 основних випадки атак, загальні збитки склали до 644 мільйонів доларів. Приблизно 53% способів атак були пов'язані з експлуатацією вразливостей контрактів.
Серед усіх експлуатованих вразливостей, логічні або функціональні недоліки є найчастіше використовуваними типами вразливостей хакерами, за ними йдуть проблеми перевірки та уразливості повторного входу.
Аналіз подій значних втрат
3 лютого, проект кросчейн мосту Solana Wormhole зазнав атаки, в результаті якої було втрачено близько 326 мільйонів доларів. Хакер скористався вразливістю в перевірці підписів контракту, підробивши рахунок для випуску wETH.
30 квітня, пул коштів певного протоколу зазнав атаки з використанням флеш-кредита та повторного входу, внаслідок чого було втрачено 80,34 мільйона доларів. Зловмисник скористався вразливістю повторного входу в контракті, реалізованому на cEther, шляхом створення зворотного виклику для вилучення всіх коштів. Ця подія врешті-решт призвела до оголошення розробників про закриття проекту.
Загальні типи вразливостей
Під час аудиту найчастіше виявляють чотири основні типи вразливостей:
Атака повторного входу ERC721/ERC1155: включення шкідливого коду у функцію повідомлення про переказ.
Логічні вразливості: недостатня увага до спеціальних сценаріїв, незавершений дизайн функцій.
Відсутність автентифікації: ключова функція не має налаштування контролю доступу.
Маніпуляція цінами: Механізм обчислення цін має недоліки.
Ці вразливості в реальних сценаріях вже використовувались хакерами, серед яких логічні вразливості контракту є основним способом атаки.
Рекомендації щодо запобігання
Строго дотримуйтесь моделі дизайну "Перевірка-Активування-Взаємодія".
Повноцінно розглянути всі граничні умови та особливі ситуації.
Налаштуйте повний контроль доступу для ключових функцій.
Використання механізмів, таких як середня ціна з урахуванням часу, для підвищення безпеки цінових оракулів.
Регулярно проводити формальну верифікацію смарт-контрактів та професійний аудит безпеки.
Завдяки професійній платформі аудиту безпеки та верифікації, у поєднанні з ручним контролем експертів з безпеки, вказані вразливості можуть бути виявлені та своєчасно виправлені до запуску проєкту. Команда проєкту повинна приділяти увагу роботі з аудиту безпеки, реалізувати відповідні рекомендації з безпеки, щоб максимально знизити ризики безпеки.