Аналіз методів атак веб3: поширені способи атак та стратегії захисту в першій половині 2022 року
У першій половині 2022 року ситуація з безпекою у сфері Web3 не була оптимістичною. Дані показують, що лише через вразливості смарт-контрактів було завдано збитків приблизно на 644 мільйони доларів, що стосується 42 основних атак. У цих атаках логічні або функціональні недоліки, проблеми з валідацією та вразливості повторного входу є найбільш поширеними слабкостями, які використовують хакери.
Аналіз випадків значних втрат
Крос-чейн міст Wormhole на Solana зазнав атаки: у лютому 2022 року хакер використав уразливість у перевірці підписів, успішно підробивши обліковий запис для випуску wETH, що призвело до втрат приблизно в 3,26 мільярда доларів.
Пул Rari Fuse під управлінням Fei Protocol було атаковано: у квітні 2022 року хакер за допомогою флеш-кредитів у поєднанні з атакою повторного входу викрав активи на суму 80,34 мільйона доларів США. Цей удар мав величезний вплив на проект, внаслідок чого Fei Protocol у серпні оголосив про закриття.
Деталі атаки на Fei Protocol:
Атакуючий спочатку отримує миттєвий кредит з Balancer: Vault.
Використовуючи позичені кошти для заставного кредитування в Rari Capital, одночасно використовуючи вразливість повторного входу в контракті cEther.
Завдяки ретельно спроектованій функції атаки, повторно викликається вилучення всіх токенів з пулу.
Нарешті поверніть блискавичний кредит, перемістивши прибуток до зазначеного контракту.
Ця атака була зосереджена на використанні вразливості повторного входу в контракті cEther, реалізованому Rari Capital, що зрештою призвело до крадіжки понад 28380 ETH (близько 8034 мільйонів доларів).
Типи вразливостей, які часто зустрічаються під час аудиту
Атака повторного входу ERC721/ERC1155:
Під час використання функцій _safeMint(), _safeTransfer() та інших, якщо в зворотному виклику контракту одержувача міститься шкідливий код, це може призвести до атаки повторного входу.
Логічна вразливість:
Недостатній розгляд особливих ситуацій, таких як внутрішні перекази, що призводять до неочікуваного збільшення активів.
Дизайн функцій недосконалий, наприклад, відсутні механізми виведення або ліквідації.
Відсутність контролю доступу:
Ключові операції (такі як випуск монет, налаштування ролей, коригування параметрів) не мають належного контролю доступу.
Ризик маніпуляції цінами:
Не використовується система ораклів з часово зваженою середньою ціною.
Пряме використання пропорції активів у контракті як цінового орієнтира може бути легко маніпульоване.
Використання вразливостей у реальних атаках
Статистика показує, що різноманітні уразливості, виявлені під час аудиту, практично завжди використовувалися хакерами в реальному середовищі, при цьому логічні уразливості контрактів залишаються основною мішенню для атак.
Варто зазначити, що за допомогою професійних платформ формальної верифікації смарт-контрактів та ручного аудиту безпекових експертів, більшість цих вразливостей можуть бути виявлені на етапі розробки. Безпекові експерти також можуть надати рекомендації щодо виправлення залежно від конкретних обставин, допомагаючи командами проектів підвищити безпеку контрактів.
Рекомендації щодо запобігання
Покращення аудиту коду: регулярно проводити всебічний аудит безпеки, особливо звертаючи увагу на логічний дизайн та обробку спеціальних сценаріїв.
Реалізуйте строгий контроль доступу: налаштуйте механізми захисту, такі як мультипідпис або таймлок для ключових функцій.
Оптимізація цінових оракулів: використання децентралізованих оракулів та середньозваженої ціни з урахуванням часу для зниження ризику маніпуляцій з цінами.
Дотримуйтесь практик безпечного кодування: суворо дотримуйтесь моделі "Перевірка-Застосування-Взаємодія", щоб запобігти атакам повторного входу.
Постійний моніторинг: впровадження системи моніторингу в режимі реального часу для своєчасного виявлення та реагування на аномальні дії.
Завдяки вжиттю цих заходів, проекти Web3 можуть суттєво підвищити свою безпеку, зменшуючи ризик стати об'єктом хакерських атак. З розвитком технологій підтримувати пильність та постійно оновлювати стратегії безпеки буде ключовим для забезпечення стабільної роботи проекту в довгостроковій перспективі.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
10 лайків
Нагородити
10
8
Поділіться
Прокоментувати
0/400
GasWaster
· 07-18 07:16
Ой, знову рік, коли хакери обдурюють людей, як лохів.
Переглянути оригіналвідповісти на0
PumpStrategist
· 07-18 06:52
Вразливості описані настільки чітко, що навіть хакерів це змусило б потекти слиною.
Переглянути оригіналвідповісти на0
LightningClicker
· 07-18 02:16
Зберігайте маленькі секрети у блокчейні
Переглянути оригіналвідповісти на0
GasFeeCry
· 07-15 15:27
Якщо є замок, то є й ключ. Не забудьте застрахуватися!
Переглянути оригіналвідповісти на0
AirdropHunterXiao
· 07-15 15:24
Знову велика хвиля биків обдурює невдахи
Переглянути оригіналвідповісти на0
NotAFinancialAdvice
· 07-15 15:18
Спалювання грошей до нових висот, це дійсно захоплююче
Переглянути оригіналвідповісти на0
TrustMeBro
· 07-15 15:08
Не писав довго смартконтракти, справді був вражений цими даними
Переглянути оригіналвідповісти на0
GateUser-a5fa8bd0
· 07-15 15:03
Цей хакер занадто жадібний, перший крок - відразу кілька мільярдів.
Web3 безпекові сповіщення: аналіз методів хакерських атак та стратегій запобігання у першій половині 2022 року
Аналіз методів атак веб3: поширені способи атак та стратегії захисту в першій половині 2022 року
У першій половині 2022 року ситуація з безпекою у сфері Web3 не була оптимістичною. Дані показують, що лише через вразливості смарт-контрактів було завдано збитків приблизно на 644 мільйони доларів, що стосується 42 основних атак. У цих атаках логічні або функціональні недоліки, проблеми з валідацією та вразливості повторного входу є найбільш поширеними слабкостями, які використовують хакери.
Аналіз випадків значних втрат
Крос-чейн міст Wormhole на Solana зазнав атаки: у лютому 2022 року хакер використав уразливість у перевірці підписів, успішно підробивши обліковий запис для випуску wETH, що призвело до втрат приблизно в 3,26 мільярда доларів.
Пул Rari Fuse під управлінням Fei Protocol було атаковано: у квітні 2022 року хакер за допомогою флеш-кредитів у поєднанні з атакою повторного входу викрав активи на суму 80,34 мільйона доларів США. Цей удар мав величезний вплив на проект, внаслідок чого Fei Protocol у серпні оголосив про закриття.
Деталі атаки на Fei Protocol:
Ця атака була зосереджена на використанні вразливості повторного входу в контракті cEther, реалізованому Rari Capital, що зрештою призвело до крадіжки понад 28380 ETH (близько 8034 мільйонів доларів).
Типи вразливостей, які часто зустрічаються під час аудиту
Атака повторного входу ERC721/ERC1155: Під час використання функцій _safeMint(), _safeTransfer() та інших, якщо в зворотному виклику контракту одержувача міститься шкідливий код, це може призвести до атаки повторного входу.
Логічна вразливість:
Відсутність контролю доступу: Ключові операції (такі як випуск монет, налаштування ролей, коригування параметрів) не мають належного контролю доступу.
Ризик маніпуляції цінами:
Використання вразливостей у реальних атаках
Статистика показує, що різноманітні уразливості, виявлені під час аудиту, практично завжди використовувалися хакерами в реальному середовищі, при цьому логічні уразливості контрактів залишаються основною мішенню для атак.
Варто зазначити, що за допомогою професійних платформ формальної верифікації смарт-контрактів та ручного аудиту безпекових експертів, більшість цих вразливостей можуть бути виявлені на етапі розробки. Безпекові експерти також можуть надати рекомендації щодо виправлення залежно від конкретних обставин, допомагаючи командами проектів підвищити безпеку контрактів.
Рекомендації щодо запобігання
Покращення аудиту коду: регулярно проводити всебічний аудит безпеки, особливо звертаючи увагу на логічний дизайн та обробку спеціальних сценаріїв.
Реалізуйте строгий контроль доступу: налаштуйте механізми захисту, такі як мультипідпис або таймлок для ключових функцій.
Оптимізація цінових оракулів: використання децентралізованих оракулів та середньозваженої ціни з урахуванням часу для зниження ризику маніпуляцій з цінами.
Дотримуйтесь практик безпечного кодування: суворо дотримуйтесь моделі "Перевірка-Застосування-Взаємодія", щоб запобігти атакам повторного входу.
Постійний моніторинг: впровадження системи моніторингу в режимі реального часу для своєчасного виявлення та реагування на аномальні дії.
Завдяки вжиттю цих заходів, проекти Web3 можуть суттєво підвищити свою безпеку, зменшуючи ризик стати об'єктом хакерських атак. З розвитком технологій підтримувати пильність та постійно оновлювати стратегії безпеки буде ключовим для забезпечення стабільної роботи проекту в довгостроковій перспективі.