Анализ методов хакерских атак Web3: распространенные уязвимости и стратегии защиты за первое полугодие 2022 года
В первой половине 2022 года область Web3 подверглась нескольким серьезным атакам Хакеров, что привело к огромным потерям. В данной статье будет проведен глубокий анализ часто используемых Хакерами методов атак в этот период, исследованы наиболее распространенные уязвимости и рассмотрены эффективные способы их предотвращения.
Обзор убытков от атак на уязвимости за первое полугодие
Согласно данным одной платформы мониторинга безопасности блокчейна, в первой половине 2022 года произошло 42 основных инцидента с уязвимостями смарт-контрактов, что составляет 53% от всех способов атак. Эти атаки в общей сложности привели к убыткам в размере 644 миллиона долларов.
Среди всех использованных уязвимостей логические или функциональные ошибки проектирования являются наиболее часто используемыми хакерами, за ними следуют проблемы валидации и уязвимости повторного входа.
Анализ случаев значительных потерь
Wormhole Кросс-чейн мост атака
3 февраля 2022 года, один проект кросс-цепочного моста был атакован, убытки составили около 326 миллионов долларов. Хакер воспользовался уязвимостью проверки подписи в контракте, подделав системный аккаунт для создания wETH.
Fei Protocol Атака с использованием блиц-займа
30 апреля 2022 года, протокол кредитования подвергся атаке через флеш-кредиты с повторным входом, что привело к убыткам в 80,34 миллиона долларов. Эта атака нанесла проекту смертельный удар, в результате чего проект официально объявил о закрытии 20 августа.
Атакующий осуществляет атаку следующими шагами:
Взять займ на мгновение из какого-либо инвестиционного пула
Использование уязвимости повторного входа в контракте с cEther в соглашении о заимствовании
Извлечение всех токенов из затронутого пула через обратные вызовы, сконструированные с помощью атакующего контракта.
Возврат мгновенного займа, перевод средств, полученных от атаки
Распространенные типы уязвимостей
Наиболее распространенные уязвимости в процессе аудита можно разделить на четыре основные категории:
Рекурсивная атака на ERC721/ERC1155: при использовании функций _safeMint(), _safeTransfer() и др. может быть вызвана обратная функция в злонамеренном контракте, что приведет к рекурсивной атаке.
Логическая уязвимость:
Недостаточное внимание к специальным ситуациям, таким как самопереводы, которые приводят к появлению несуществующего.
Дизайн функций не завершен, например, отсутствуют функции извлечения или расчета.
Отсутствие аутентификации: ключевые функции, такие как чеканка монет, установка ролей и т.д., не имеют контроля доступа.
Манипуляция ценами:
Неиспользуемая взвешенная по времени средняя цена
Прямо использовать пропорцию баланса токенов в контракте в качестве цены
Рекомендации по предотвращению уязвимостей
Строго следовать модели "Проверка-Ввод-Взаимодействие" при проектировании бизнес-функций
Полностью учитывать специальные сценарии, улучшить функциональный дизайн
Внедрить строгий контроль доступа к ключевым функциям
Используйте надежные ценовые оракулы, чтобы избежать манипуляций с ценами
Провести комплексный аудит безопасности, включая автоматическое обнаружение и экспертную ручную проверку
Регулярно проводить оценку безопасности и своевременно устранять обнаруженные уязвимости
Приняв эти меры, проектная команда может значительно снизить риск атак и обеспечить безопасность активов. С постоянным развитием экосистемы Web3 повышение осведомленности о безопасности и защитных способностей станет все более важным.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
14 Лайков
Награда
14
4
Репост
Поделиться
комментарий
0/400
OneBlockAtATime
· 5ч назад
Ах, эта потеря заставляет меня переживать, я не могу с этим справиться.
Посмотреть ОригиналОтветить0
DogeBachelor
· 08-09 15:03
Хакер都躲哪吃饭 咱蹲点去
Посмотреть ОригиналОтветить0
ClassicDumpster
· 08-09 14:59
Год Тигра начался с разрушения мостов, празднуем Новый год с размахом.
Посмотреть ОригиналОтветить0
LuckyBearDrawer
· 08-09 14:43
Богатые братья все подвергаются атакам, розничные инвесторы выражают, что безопасно просто лежать.
Web3 безопасность: Анализ методов атак Хакеров и стратегии предотвращения в первой половине 2022 года
Анализ методов хакерских атак Web3: распространенные уязвимости и стратегии защиты за первое полугодие 2022 года
В первой половине 2022 года область Web3 подверглась нескольким серьезным атакам Хакеров, что привело к огромным потерям. В данной статье будет проведен глубокий анализ часто используемых Хакерами методов атак в этот период, исследованы наиболее распространенные уязвимости и рассмотрены эффективные способы их предотвращения.
Обзор убытков от атак на уязвимости за первое полугодие
Согласно данным одной платформы мониторинга безопасности блокчейна, в первой половине 2022 года произошло 42 основных инцидента с уязвимостями смарт-контрактов, что составляет 53% от всех способов атак. Эти атаки в общей сложности привели к убыткам в размере 644 миллиона долларов.
Среди всех использованных уязвимостей логические или функциональные ошибки проектирования являются наиболее часто используемыми хакерами, за ними следуют проблемы валидации и уязвимости повторного входа.
Анализ случаев значительных потерь
Wormhole Кросс-чейн мост атака
3 февраля 2022 года, один проект кросс-цепочного моста был атакован, убытки составили около 326 миллионов долларов. Хакер воспользовался уязвимостью проверки подписи в контракте, подделав системный аккаунт для создания wETH.
Fei Protocol Атака с использованием блиц-займа
30 апреля 2022 года, протокол кредитования подвергся атаке через флеш-кредиты с повторным входом, что привело к убыткам в 80,34 миллиона долларов. Эта атака нанесла проекту смертельный удар, в результате чего проект официально объявил о закрытии 20 августа.
Атакующий осуществляет атаку следующими шагами:
Распространенные типы уязвимостей
Наиболее распространенные уязвимости в процессе аудита можно разделить на четыре основные категории:
Рекомендации по предотвращению уязвимостей
Приняв эти меры, проектная команда может значительно снизить риск атак и обеспечить безопасность активов. С постоянным развитием экосистемы Web3 повышение осведомленности о безопасности и защитных способностей станет все более важным.
! Демонтаж «анонимной» рутины: каковы распространенные методы атак хакеров Web3 в первой половине 2022 года?