Анализ распространенных методов атак в области Web3 за первую половину 2022 года
В первой половине 2022 года область безопасности Web3 столкнулась с серьезными вызовами. Данные показывают, что только из-за уязвимостей в контрактах произошло 42 крупных инцидента атаки, общий ущерб составил 644 миллиона долларов. В этих атаках логические или функциональные недостатки проектирования являются наиболее часто эксплуатируемыми уязвимостями хакерами, за ними следуют проблемы проверки и уязвимости повторного входа.
Случаи значительных убытков
3 февраля проект межсетевого моста подвергся атаке, в результате чего был потерян около 326 миллионов долларов. Хакеры использовали уязвимость в проверке подписи в контракте и успешно подделали учетные записи для выпуска токенов.
30 апреля определенный кредитный протокол подвергся атаке с использованием флеш-займа и повторного входа, что привело к убыткам в 80,34 миллиона долларов. Эта атака нанесла проекту смертельный удар, в конечном итоге приведя к его закрытию.
Атакующий осуществляет атаку следующими шагами:
Получить флеш-займ из какого-то пула ликвидности
Использование уязвимости повторного входа в контрактах с cEther на платформе кредитования
Извлечение всех токенов из затронутого пула через атаку на контракт
Возврат заемов мгновенного кредита, передача доходов от атаки
Распространенные типы уязвимостей
В процессе аудита смарт-контрактов наиболее распространенные уязвимости можно разделить на четыре основные категории:
Реентрантная атака ERC721/ERC1155: включает вредоносный код в функции уведомления о переводе токенов.
Логическая уязвимость:
Недостаточное внимание к особым ситуациям, таким как создание средств из ничего при самопереводе
Дизайн функций не завершен, например, отсутствуют механизмы извлечения или расчета.
Отсутствие аутентификации: ключевая функция не имеет контроля доступа
Манипуляции с ценами:
Неиспользованная взвешенная по времени средняя цена
Прямое использование пропорции баланса токенов в контракте в качестве цены
Защита от уязвимостей
Практически все уязвимости, обнаруженные в ходе аудита, уже использовались хакерами в реальных сценариях. При этом, логические уязвимости контрактов по-прежнему остаются основной точкой атаки. Благодаря профессиональным платформам формальной верификации и ручной проверке со стороны экспертов по безопасности, большинство из этих уязвимостей можно обнаружить на этапе аудита.
Для повышения безопасности проектов Web3 рекомендуется команде разработчиков:
Проведение комплексного аудита безопасности контрактов
Уделять внимание тестированию в особых сценариях
Реализация строгого управления доступом
Используйте надежный ценовой оракул
Следуйте модели проектирования "Проверка - Ввод в действие - Взаимодействие"
С учетом того, что методы атак постоянно развиваются, постоянная осведомленность о безопасности и обновление мер защиты имеют решающее значение для здорового развития экосистемы Web3.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
8 Лайков
Награда
8
5
Репост
Поделиться
комментарий
0/400
InscriptionGriller
· 7ч назад
Ещё одна волна неудачников была разыграна людьми как лохов. Разблокировка классики.
Посмотреть ОригиналОтветить0
OPsychology
· 8ч назад
Деньги пропали, деньги пропали, а контракт все еще существует.
Посмотреть ОригиналОтветить0
SigmaBrain
· 8ч назад
Деньги пропали, значит, пропали. Повседневность.
Посмотреть ОригиналОтветить0
MEVHunter
· 8ч назад
просто еще один день в дефи... слабые контракты получают урон, утечки альфы повсюду, смх
Посмотреть ОригиналОтветить0
GateUser-40edb63b
· 8ч назад
Знал, что исправление уязвимостей действительно раздражает
Web3 за полгода потерял 644 миллиона долларов, логические уязвимости контрактов стали основной целью Хакеров
Анализ распространенных методов атак в области Web3 за первую половину 2022 года
В первой половине 2022 года область безопасности Web3 столкнулась с серьезными вызовами. Данные показывают, что только из-за уязвимостей в контрактах произошло 42 крупных инцидента атаки, общий ущерб составил 644 миллиона долларов. В этих атаках логические или функциональные недостатки проектирования являются наиболее часто эксплуатируемыми уязвимостями хакерами, за ними следуют проблемы проверки и уязвимости повторного входа.
Случаи значительных убытков
3 февраля проект межсетевого моста подвергся атаке, в результате чего был потерян около 326 миллионов долларов. Хакеры использовали уязвимость в проверке подписи в контракте и успешно подделали учетные записи для выпуска токенов.
30 апреля определенный кредитный протокол подвергся атаке с использованием флеш-займа и повторного входа, что привело к убыткам в 80,34 миллиона долларов. Эта атака нанесла проекту смертельный удар, в конечном итоге приведя к его закрытию.
Атакующий осуществляет атаку следующими шагами:
Распространенные типы уязвимостей
В процессе аудита смарт-контрактов наиболее распространенные уязвимости можно разделить на четыре основные категории:
Защита от уязвимостей
Практически все уязвимости, обнаруженные в ходе аудита, уже использовались хакерами в реальных сценариях. При этом, логические уязвимости контрактов по-прежнему остаются основной точкой атаки. Благодаря профессиональным платформам формальной верификации и ручной проверке со стороны экспертов по безопасности, большинство из этих уязвимостей можно обнаружить на этапе аудита.
Для повышения безопасности проектов Web3 рекомендуется команде разработчиков:
С учетом того, что методы атак постоянно развиваются, постоянная осведомленность о безопасности и обновление мер защиты имеют решающее значение для здорового развития экосистемы Web3.