Анализ ситуации с безопасностью в области Web3 за первое полугодие: способы атак Хакеров и меры предотвращения
В первой половине 2022 года в Web3 часто происходили инциденты с безопасностью, что привело к огромным убыткам. В данной статье будет подробно проанализированы методы атаки, часто используемые хакерами, и обсуждены соответствующие меры предосторожности.
Обзор инцидентов безопасности за первое полугодие
Данные платформы мониторинга безопасности блокчейна показывают, что в первой половине 2022 года произошло 42 основных инцидента атак на контракты, общие убытки составили 644 миллиона долларов США. При этом 53% атак использовали уязвимости контрактов.
Среди всех использованных уязвимостей наиболее распространенным способом атаки хакеров является неправильный логический или функциональный дизайн, за которым следуют проблемы проверки и уязвимости повторного входа.
Анализ重大损失事件
Событие атаки на кроссчейн мост Wormhole
3 февраля 2022 года один проект кросс-чейн моста был атакован, в результате чего была потеряна около 326 миллионов долларов. Злоумышленник использовал уязвимость в проверке подписи в контракте, успешно подделав системный аккаунт и выпустив большое количество токенов.
Событие атаки на Flash-займы протокола Fei
30 апреля 2022 года некий кредитный протокол подвергся атаке с использованием флеш-займов, что привело к потерям в размере 80,34 миллиона долларов. Этот инцидент в конечном итоге привел к тому, что проект объявил о закрытии 20 августа.
Атакующий в основном использовал уязвимость повторного входа в контракте проекта. Процесс атаки следующий:
Сделать флеш-займ с какого-то DEX
Используйте заемные средства для залога и кредитования в целевом протоколе
С помощью конструктивной функции атаки обратного вызова извлечь все токены из затронутого пула.
Возврат заемов с помощью молнии, перевод средств от атаки
Распространенные типы уязвимостей
Наиболее распространенные уязвимости в процессе аудита делятся на четыре категории:
Атака повторного входа на ERC721/ERC1155: злонамеренные действия через функцию обратного вызова
Логическая уязвимость: недостаточное внимание к специальным сценариям или несовершенный дизайн функций
Отсутствие аутентификации: ключевые функции лишены контроля доступа
Манипуляция ценами: неправильное использование оракула или наличие дефектов в методах расчета цен
Важность аудита
Большинство вышеупомянутых уязвимостей может быть обнаружено на этапе аудита. С помощью профессиональных платформ проверки смарт-контрактов и ручной проверки специалистами по безопасности можно своевременно выявить потенциальные риски и предложить рекомендации по их исправлению.
Рекомендации по предотвращению
Укрепить проектирование логики контракта, учитывая различные пограничные случаи
Строгое внедрение механизма контроля доступа
Использование безопасного решения для оракулов цен
Следуйте модели проектирования "Проверка - Применение - Взаимодействие"
Проводить регулярные аудиты безопасности и своевременно исправлять обнаруженные уязвимости.
С развитием экосистемы Web3 вопросы безопасности будут продолжать оставаться в центре внимания. Команды проектов должны уделять внимание безопасности контрактов и принимать комплексные меры защиты, чтобы снизить риск атак.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
7 Лайков
Награда
7
4
Поделиться
комментарий
0/400
SillyWhale
· 07-31 04:57
Слишком много уязвимостей 8 Контракты действительно небезопасны
Посмотреть ОригиналОтветить0
IronHeadMiner
· 07-31 04:52
Снова разыгрывайте людей как лохов. Кто еще осмелится войти в позицию?
Посмотреть ОригиналОтветить0
GhostAddressHunter
· 07-31 04:29
Так много уязвимостей в контрактах? Хотите Клиповые купоны?
Безопасная обстановка в Web3 за первое полугодие: убытки в 644 миллиона долларов, уязвимости контрактов стали основной точкой атак.
Анализ ситуации с безопасностью в области Web3 за первое полугодие: способы атак Хакеров и меры предотвращения
В первой половине 2022 года в Web3 часто происходили инциденты с безопасностью, что привело к огромным убыткам. В данной статье будет подробно проанализированы методы атаки, часто используемые хакерами, и обсуждены соответствующие меры предосторожности.
Обзор инцидентов безопасности за первое полугодие
Данные платформы мониторинга безопасности блокчейна показывают, что в первой половине 2022 года произошло 42 основных инцидента атак на контракты, общие убытки составили 644 миллиона долларов США. При этом 53% атак использовали уязвимости контрактов.
Среди всех использованных уязвимостей наиболее распространенным способом атаки хакеров является неправильный логический или функциональный дизайн, за которым следуют проблемы проверки и уязвимости повторного входа.
Анализ重大损失事件
Событие атаки на кроссчейн мост Wormhole
3 февраля 2022 года один проект кросс-чейн моста был атакован, в результате чего была потеряна около 326 миллионов долларов. Злоумышленник использовал уязвимость в проверке подписи в контракте, успешно подделав системный аккаунт и выпустив большое количество токенов.
Событие атаки на Flash-займы протокола Fei
30 апреля 2022 года некий кредитный протокол подвергся атаке с использованием флеш-займов, что привело к потерям в размере 80,34 миллиона долларов. Этот инцидент в конечном итоге привел к тому, что проект объявил о закрытии 20 августа.
Атакующий в основном использовал уязвимость повторного входа в контракте проекта. Процесс атаки следующий:
Распространенные типы уязвимостей
Наиболее распространенные уязвимости в процессе аудита делятся на четыре категории:
Важность аудита
Большинство вышеупомянутых уязвимостей может быть обнаружено на этапе аудита. С помощью профессиональных платформ проверки смарт-контрактов и ручной проверки специалистами по безопасности можно своевременно выявить потенциальные риски и предложить рекомендации по их исправлению.
Рекомендации по предотвращению
С развитием экосистемы Web3 вопросы безопасности будут продолжать оставаться в центре внимания. Команды проектов должны уделять внимание безопасности контрактов и принимать комплексные меры защиты, чтобы снизить риск атак.