Анализ распространенных методов атак веб3-хакеров в первой половине 2022 года
В первой половине 2022 года в сфере Web3 произошло несколько крупных атак Хакеров, которые привели к огромным потерям. В этой статье будет проведен глубокий анализ наиболее распространенных методов атак, используемых Хакерами в этот период, с целью предоставления отрасли рекомендаций по обеспечению безопасности.
Обзор эксплуатации уязвимостей
Данные одной из платформ мониторинга безопасности блокчейнов показывают, что в первой половине 2022 года произошло 42 основных инцидента атаки на контракты, общие убытки составили 644 миллиона долларов. Среди всех использованных уязвимостей, логические или функциональные ошибки в дизайне, проблемы верификации и уязвимости повторного входа являются тремя наиболее часто используемыми типами уязвимостей хакерами.
Типичный анализ случаев
Вормхол кроссчейн-мост подвергся атаке
3 февраля 2022 года проект межсетевого моста подвергся атаке, в результате чего были потеряны около 326 миллионов долларов. Хакер использовал уязвимость проверки подписи в контракте, подделывая системные учетные записи для создания фальшивых токенов.
Инцидент с атакой на Fei Protocol
30 апреля 2022 года, определенный кредитный протокол подвергся атаке с использованием флеш-кредита и повторного входа, что привело к убыткам в 80,34 миллиона долларов. Эта атака нанесла смертельный удар по проекту, в результате чего проект объявил о закрытии 20 августа.
Атакующий в основном использовал уязвимость повторного входа контракта, реализованную в протоколе cEther. Процесс атаки включает:
Получить флеш-кредит с определенного агрегатора протоколов
Использование заимствованных средств для залога и кредитования в целевом протоколе
Повторное извлечение токенов из затронутого пула с помощью созданной функции обратного вызова
Возврат闪电贷 и перевод прибыли
Распространенные типы уязвимостей
В процессе аудита смарт-контрактов наиболее распространенные уязвимости в основном делятся на следующие категории:
Атака повторного входа ERC721/ERC1155: из-за неправильного проектирования определённых функций может возникнуть риск повторного входа.
Логические уязвимости: включая недостаточное внимание к специальным сценарием и проблемы с неполной функциональной разработкой.
Дефект управления доступом: для ключевых функций не установлены соответствующие контроль доступа.
Манипуляция ценами: неправильное использование оракула или наличие уязвимостей в логике расчета цен.
Рекомендации по предотвращению уязвимостей
Строго следовать дизайну "Проверка - Вступление в силу - Взаимодействие".
Полностью учитывайте различные пограничные случаи и специальные сценарии.
Внедрить строгую систему управления правами для ключевых функций.
Используйте надежные оракулы и механизмы, такие как взвешенная по времени средняя цена.
Проведение комплексного аудита безопасности смарт-контрактов, включая автоматизированное обнаружение и экспертную ручную проверку.
Приняв указанные меры, большинство распространенных уязвимостей можно выявить и исправить до запуска проекта, что значительно снижает риск нападения Хакера.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
23 Лайков
Награда
23
5
Поделиться
комментарий
0/400
WalletWhisperer
· 07-11 14:20
шаблоны не лгут... 644 млн долларов США утекли через ошибки в контракте, это статистически значимо, честно говоря
Посмотреть ОригиналОтветить0
SighingCashier
· 07-09 19:13
300 миллионов долларов просто так улетели? Проснитесь, не мечтайте.
Посмотреть ОригиналОтветить0
NFT_Therapy
· 07-08 15:42
Такую потерю кто сможет вынести?
Посмотреть ОригиналОтветить0
GateUser-e51e87c7
· 07-08 15:41
Я привык терять деньги.
Посмотреть ОригиналОтветить0
ZenZKPlayer
· 07-08 15:40
Цыц, кто проверял контракт, из которого так много шерсти было выдрано?
Анализ методов атак хакеров в Web3 за первое полугодие: уязвимость повторного входа стала основной угрозой
Анализ распространенных методов атак веб3-хакеров в первой половине 2022 года
В первой половине 2022 года в сфере Web3 произошло несколько крупных атак Хакеров, которые привели к огромным потерям. В этой статье будет проведен глубокий анализ наиболее распространенных методов атак, используемых Хакерами в этот период, с целью предоставления отрасли рекомендаций по обеспечению безопасности.
Обзор эксплуатации уязвимостей
Данные одной из платформ мониторинга безопасности блокчейнов показывают, что в первой половине 2022 года произошло 42 основных инцидента атаки на контракты, общие убытки составили 644 миллиона долларов. Среди всех использованных уязвимостей, логические или функциональные ошибки в дизайне, проблемы верификации и уязвимости повторного входа являются тремя наиболее часто используемыми типами уязвимостей хакерами.
Типичный анализ случаев
Вормхол кроссчейн-мост подвергся атаке
3 февраля 2022 года проект межсетевого моста подвергся атаке, в результате чего были потеряны около 326 миллионов долларов. Хакер использовал уязвимость проверки подписи в контракте, подделывая системные учетные записи для создания фальшивых токенов.
Инцидент с атакой на Fei Protocol
30 апреля 2022 года, определенный кредитный протокол подвергся атаке с использованием флеш-кредита и повторного входа, что привело к убыткам в 80,34 миллиона долларов. Эта атака нанесла смертельный удар по проекту, в результате чего проект объявил о закрытии 20 августа.
Атакующий в основном использовал уязвимость повторного входа контракта, реализованную в протоколе cEther. Процесс атаки включает:
Распространенные типы уязвимостей
В процессе аудита смарт-контрактов наиболее распространенные уязвимости в основном делятся на следующие категории:
Рекомендации по предотвращению уязвимостей
Строго следовать дизайну "Проверка - Вступление в силу - Взаимодействие".
Полностью учитывайте различные пограничные случаи и специальные сценарии.
Внедрить строгую систему управления правами для ключевых функций.
Используйте надежные оракулы и механизмы, такие как взвешенная по времени средняя цена.
Проведение комплексного аудита безопасности смарт-контрактов, включая автоматизированное обнаружение и экспертную ручную проверку.
Приняв указанные меры, большинство распространенных уязвимостей можно выявить и исправить до запуска проекта, что значительно снижает риск нападения Хакера.