Аналіз поширених методів атак у сфері Web3 за першу половину 2022 року
У першій половині 2022 року сфера безпеки Web3 стикнулася з серйозними викликами. Дані показують, що лише через вразливості контрактів сталося 42 основних атаки, загальні збитки склали 644 мільйони доларів. У цих атаках логічні або функціональні дефекти дизайну були найбільш часто використовуваними вразливостями хакерами, за ними йдуть проблеми з валідацією та вразливості повторного входу.
Випадки значних втрат
3 лютого певний міжланцюговий міст зазнав атаки, внаслідок якої було втрачено приблизно 326 мільйонів доларів. Хакери використали вразливість перевірки підпису в контракті, успішно підробивши обліковий запис для випуску токенів.
30 квітня певний кредитний протокол зазнав атаки з використанням флеш-кредиту, що призвело до збитків у 80,34 мільйона доларів. Ця атака завдала проекту смертельного удару, в результаті чого проект закрився.
Зловмисник реалізує атаку через такі кроки:
Взяти миттєвий кредит з певного пулу ліквідності
Використання cEther на платформі кредитування для реалізації вразливості повторного входу в контракти
Витягти всі токени з ураженого пулу через атаку на контракт
Повернення кредиту на блискавки, переказ отриманих внаслідок атаки
Загальні типи вразливостей
У процесі аудиту смарт-контрактів найпоширеніші вразливості можна поділити на чотири основні категорії:
Реінвазійна атака ERC721/ERC1155: пов'язана з шкідливим кодом у функціях сповіщення про передачу токенів.
Логічна уразливість:
Недостатньо враховано особливі ситуації, такі як самостійний переказ, що призводить до створення чогось з нічого
Дизайн функцій недосконалий, наприклад, відсутні механізми вилучення або розрахунку
Відсутність автентифікації: ключові функції не мають контролю доступу
Маніпуляція цінами:
Не використана часова зважена середня ціна
Використання пропорції залишку токенів у контракті як ціни
Запобігання вразливостям
Практично всі виявлені під час аудиту вразливості були використані хакерами в реальних сценаріях. Серед них логічні вразливості контракту залишаються основними точками атаки. Завдяки професійним платформам формальної верифікації та ручному огляду експертів з безпеки, більшість цих вразливостей можна виявити на етапі аудиту.
Для підвищення безпеки проектів Web3 рекомендується командам розробників:
Провести всебічний аудит безпеки контракту
Уважно ставитися до тестування в спеціальних сценаріях
Запровадження суворого управління доступом
Використання надійних цінових оракулів
Дотримуйтесь дизайну "Перевірка - Дія - Взаємодія"
З огляду на постійний розвиток атакуючих методів, безперервна обізнаність щодо безпеки та оновлення заходів захисту є вкрай важливими для здорового розвитку екосистеми Web3.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
8 лайків
Нагородити
8
5
Репост
Поділіться
Прокоментувати
0/400
InscriptionGriller
· 8год тому
Ще одна хвиля невдах була обдурена, як лохів. Розблокувати класичне.
Переглянути оригіналвідповісти на0
OPsychology
· 8год тому
Грошей немає, грошей немає, контракт ще є.
Переглянути оригіналвідповісти на0
SigmaBrain
· 8год тому
Грошей більше немає, значить, їх і немає. Повсякденність.
Переглянути оригіналвідповісти на0
MEVHunter
· 8год тому
просто ще один день у defi... слабкі контракти отримують rekt, альфа витікає скрізь smh
Web3 за півроку втратила 644 мільйони доларів, логічні вразливості в контрактах стали основною метою хакерів
Аналіз поширених методів атак у сфері Web3 за першу половину 2022 року
У першій половині 2022 року сфера безпеки Web3 стикнулася з серйозними викликами. Дані показують, що лише через вразливості контрактів сталося 42 основних атаки, загальні збитки склали 644 мільйони доларів. У цих атаках логічні або функціональні дефекти дизайну були найбільш часто використовуваними вразливостями хакерами, за ними йдуть проблеми з валідацією та вразливості повторного входу.
Випадки значних втрат
3 лютого певний міжланцюговий міст зазнав атаки, внаслідок якої було втрачено приблизно 326 мільйонів доларів. Хакери використали вразливість перевірки підпису в контракті, успішно підробивши обліковий запис для випуску токенів.
30 квітня певний кредитний протокол зазнав атаки з використанням флеш-кредиту, що призвело до збитків у 80,34 мільйона доларів. Ця атака завдала проекту смертельного удару, в результаті чого проект закрився.
Зловмисник реалізує атаку через такі кроки:
Загальні типи вразливостей
У процесі аудиту смарт-контрактів найпоширеніші вразливості можна поділити на чотири основні категорії:
Запобігання вразливостям
Практично всі виявлені під час аудиту вразливості були використані хакерами в реальних сценаріях. Серед них логічні вразливості контракту залишаються основними точками атаки. Завдяки професійним платформам формальної верифікації та ручному огляду експертів з безпеки, більшість цих вразливостей можна виявити на етапі аудиту.
Для підвищення безпеки проектів Web3 рекомендується командам розробників:
З огляду на постійний розвиток атакуючих методів, безперервна обізнаність щодо безпеки та оновлення заходів захисту є вкрай важливими для здорового розвитку екосистеми Web3.