Анализ ситуации по безопасности Web3: Распространенные способы атак и меры предосторожности в первой половине 2022 года
В первой половине 2022 года ситуация с безопасностью в области Web3 по-прежнему оставалась серьезной. Согласно статистическим данным, количество основных атак из-за уязвимостей контрактов достигло 42 случаев, общие убытки составили 644 миллиона 400 тысяч долларов США. В этих атаках использование уязвимостей контрактов составило около 53%, что сделало их самым распространенным методом атак среди хакеров.
Анализ основных типов атак
Среди всех использованных уязвимостей логические ошибки или ошибки проектирования функций являются наиболее часто используемыми хакерами, за ними следуют проблемы валидации и уязвимости повторного входа. Эти уязвимости не только часто встречаются, но и приводили к серьезным инцидентам с убытками.
Например, в феврале 2022 года один проект кросс-чейн моста подвергся атаке из-за уязвимости в проверке подписи, в результате чего были потеряны около 326 миллионов долларов. Хакеры успешно использовали уязвимость в контракте для подделки учетных записей и выпуска токенов. Другой значимый инцидент произошел 30 апреля, когда один кредитный протокол подвергся атаке с использованием флеш-кредита и повторного входа, в результате чего были потеряны 80,34 миллиона долларов, что в конечном итоге привело к закрытию проекта.
Распространенные типы уязвимостей
Повторная атака ERC721/ERC1155: злонамеренное использование функций уведомления о переводе токенов.
Логическая уязвимость:
Особые сценарии, такие как проблема самоперевода, не учтены.
Дизайн функций не完善, например, отсутствуют механизмы извлечения или расчета.
Отсутствие аутентификации: ключевые функции, такие как создание монет, настройка ролей и т. д., страдают от нехватки контроля доступа.
Манипуляция ценами: неправильное использование оракула или прямое использование небезопасных методов расчета цен.
Аудиторские находки и фактическое использование
Уязвимости, обнаруженные в процессе аудита, в значительной степени совпадают с уязвимостями, фактически использованными хакерами. Среди них логические уязвимости в контрактах по-прежнему остаются основной целью атак. Стоит отметить, что с помощью профессиональных платформ верификации смарт-контрактов и аудита со стороны экспертов по безопасности большинство из этих уязвимостей можно обнаружить и исправить на этапе разработки.
Рекомендации по предотвращению
Укрепление аудита кода: полная проверка кода контракта с использованием сочетания профессиональных инструментов и ручной проверки.
Следуйте принципам безопасной разработки: строго придерживайтесь модели проектирования проверки - активации - взаимодействия, особенно в функциях, связанных с перемещением активов.
Усовершенствование управления доступом: установить строгие механизмы контроля доступа для ключевых функций.
Используйте безопасные ценовые оракулы: применяйте более надежные механизмы ценообразования, такие как средневзвешенная цена по времени.
Учитывайте экстремальные ситуации: при проектировании тщательно учитывайте различные граничные условия и особые сценарии.
Регулярная оценка безопасности: даже для запущенных проектов необходимо регулярно проводить проверки безопасности и обновления.
Применяя эти меры, проекты Web3 могут значительно повысить свою безопасность и снизить риск атак. С учетом постоянного развития технологий, поддержание бдительности и регулярное обновление стратегий безопасности станет ключевым фактором для долгосрочной стабильной работы проекта.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
15 Лайков
Награда
15
3
Поделиться
комментарий
0/400
just_another_wallet
· 3ч назад
Слишком много уязвимостей, все уже устали.
Посмотреть ОригиналОтветить0
ChainWallflower
· 07-31 15:25
Будут играть для лохов настоящих ловушек довольно много
Безопасность Web3: Анализ распространенных атак и убытков на сумму 640 миллионов долларов в первой половине 2022 года
Анализ ситуации по безопасности Web3: Распространенные способы атак и меры предосторожности в первой половине 2022 года
В первой половине 2022 года ситуация с безопасностью в области Web3 по-прежнему оставалась серьезной. Согласно статистическим данным, количество основных атак из-за уязвимостей контрактов достигло 42 случаев, общие убытки составили 644 миллиона 400 тысяч долларов США. В этих атаках использование уязвимостей контрактов составило около 53%, что сделало их самым распространенным методом атак среди хакеров.
Анализ основных типов атак
Среди всех использованных уязвимостей логические ошибки или ошибки проектирования функций являются наиболее часто используемыми хакерами, за ними следуют проблемы валидации и уязвимости повторного входа. Эти уязвимости не только часто встречаются, но и приводили к серьезным инцидентам с убытками.
Например, в феврале 2022 года один проект кросс-чейн моста подвергся атаке из-за уязвимости в проверке подписи, в результате чего были потеряны около 326 миллионов долларов. Хакеры успешно использовали уязвимость в контракте для подделки учетных записей и выпуска токенов. Другой значимый инцидент произошел 30 апреля, когда один кредитный протокол подвергся атаке с использованием флеш-кредита и повторного входа, в результате чего были потеряны 80,34 миллиона долларов, что в конечном итоге привело к закрытию проекта.
Распространенные типы уязвимостей
Повторная атака ERC721/ERC1155: злонамеренное использование функций уведомления о переводе токенов.
Логическая уязвимость:
Отсутствие аутентификации: ключевые функции, такие как создание монет, настройка ролей и т. д., страдают от нехватки контроля доступа.
Манипуляция ценами: неправильное использование оракула или прямое использование небезопасных методов расчета цен.
Аудиторские находки и фактическое использование
Уязвимости, обнаруженные в процессе аудита, в значительной степени совпадают с уязвимостями, фактически использованными хакерами. Среди них логические уязвимости в контрактах по-прежнему остаются основной целью атак. Стоит отметить, что с помощью профессиональных платформ верификации смарт-контрактов и аудита со стороны экспертов по безопасности большинство из этих уязвимостей можно обнаружить и исправить на этапе разработки.
Рекомендации по предотвращению
Укрепление аудита кода: полная проверка кода контракта с использованием сочетания профессиональных инструментов и ручной проверки.
Следуйте принципам безопасной разработки: строго придерживайтесь модели проектирования проверки - активации - взаимодействия, особенно в функциях, связанных с перемещением активов.
Усовершенствование управления доступом: установить строгие механизмы контроля доступа для ключевых функций.
Используйте безопасные ценовые оракулы: применяйте более надежные механизмы ценообразования, такие как средневзвешенная цена по времени.
Учитывайте экстремальные ситуации: при проектировании тщательно учитывайте различные граничные условия и особые сценарии.
Регулярная оценка безопасности: даже для запущенных проектов необходимо регулярно проводить проверки безопасности и обновления.
Применяя эти меры, проекты Web3 могут значительно повысить свою безопасность и снизить риск атак. С учетом постоянного развития технологий, поддержание бдительности и регулярное обновление стратегий безопасности станет ключевым фактором для долгосрочной стабильной работы проекта.