Анализ распространенных методов атак в области Web3 за первую половину 2022 года
В первой половине 2022 года ситуация с безопасностью в области Web3 оставалась серьезной. В этой статье будет глубоко проанализировано, какие типичные способы атак имели место в этот период, а также обсуждены их частота и меры предосторожности.
Обзор убытков, вызванных уязвимостями
Согласно данным платформы мониторинга безопасности блокчейна, в первой половине 2022 года произошло 42 основных инцидента с уязвимостями контрактов, что составляет около 53% всех атак. Общие убытки от этих атак достигли 644 миллиона долларов.
Среди всех используемых уязвимостей логические или функциональные недостатки дизайна являются наиболее часто используемым типом уязвимостей хакерами, за ними следуют проблемы валидации и уязвимости повторного входа.
Анализ крупных убытков
Событие атаки на кросс-чейн мост Wormhole
3 февраля 2022 года проект мостов между цепями Wormhole экосистемы Solana подвергся атаке, в результате которой было потеряно около 326 миллионов долларов. Нападающий использовал уязвимость в проверке подписи в контракте, подделав системный аккаунт и создав большое количество wETH.
Событие атаки Fei Protocol
30 апреля 2022 года пул Rari Fuse под управлением Fei Protocol подвергся атаке через флеш-кредиты и повторный вход, что привело к убыткам в 80,34 миллиона долларов. Эта атака нанесла смертельный удар по проекту, что в конечном итоге привело к его закрытию, объявленному 20 августа.
Злоумышленники в основном использовали уязвимость повторного входа, существующую в контракте реализации cEther от Rari Capital. Процесс атаки следующий:
Нападающий получает займ на мгновенный кредит от Balancer.
Использование средств кредитования через Flash Loan для залога и займа в Rari Capital, одновременно используя уязвимость повторного входа.
Извлеките все токены из затронутого пула через функцию обратного вызова атакующего.
Вернуть займ на блиц-кредит и перевести полученные средства от атаки.
Распространенные типы уязвимостей в аудите
Рекомендации по защите от реентерантных атак ERC721/ERC1155:
Использовать функцию уведомления о переводе в стандарте для атаки повторного входа
Бизнес-функция не строго соблюдает режим проверки-активации-взаимодействия
Логическая уязвимость:
Неучтенные особые ситуации, такие как самопереводы, приводящие к беспочвенному увеличению токенов.
Дизайн функций не совершенен, отсутствуют механизмы извлечения или расчетов
Отсутствие аутентификации:
Ключевые функции (например, чеканка, настройка персонажа) недостаточно контролируются правами доступа
Манипуляция ценами:
Неправильное или отсутствующее использование оракула
Прямо использовать соотношение баланса токенов в контракте в качестве ценового ориентира
Использование уязвимостей в реальных атаках
Согласно данным безопасности, типы уязвимостей, обнаруженные в ходе аудита, почти все были использованы в реальных атаках, среди которых логические уязвимости контрактов остаются основным методом атаки.
Важно отметить, что большинство этих уязвимостей могут быть обнаружены и исправлены до запуска проекта с помощью профессиональной платформы для проверки смарт-контрактов и ручной проверки экспертами по безопасности. Поэтому проведение комплексного аудита безопасности является критически важным для предотвращения потенциальных атак.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
14 Лайков
Награда
14
4
Поделиться
комментарий
0/400
DataChief
· 20ч назад
Дыры не залатать.
Посмотреть ОригиналОтветить0
ImpermanentTherapist
· 20ч назад
Еще одна партия неудачников была разыграна как лохи.
Анализ атак Web3 за первое полугодие 2022 года: убытки от уязвимостей составили 644 миллиона долларов, логика контрактов стала основной уязвимостью.
Анализ распространенных методов атак в области Web3 за первую половину 2022 года
В первой половине 2022 года ситуация с безопасностью в области Web3 оставалась серьезной. В этой статье будет глубоко проанализировано, какие типичные способы атак имели место в этот период, а также обсуждены их частота и меры предосторожности.
Обзор убытков, вызванных уязвимостями
Согласно данным платформы мониторинга безопасности блокчейна, в первой половине 2022 года произошло 42 основных инцидента с уязвимостями контрактов, что составляет около 53% всех атак. Общие убытки от этих атак достигли 644 миллиона долларов.
Среди всех используемых уязвимостей логические или функциональные недостатки дизайна являются наиболее часто используемым типом уязвимостей хакерами, за ними следуют проблемы валидации и уязвимости повторного входа.
Анализ крупных убытков
Событие атаки на кросс-чейн мост Wormhole
3 февраля 2022 года проект мостов между цепями Wormhole экосистемы Solana подвергся атаке, в результате которой было потеряно около 326 миллионов долларов. Нападающий использовал уязвимость в проверке подписи в контракте, подделав системный аккаунт и создав большое количество wETH.
Событие атаки Fei Protocol
30 апреля 2022 года пул Rari Fuse под управлением Fei Protocol подвергся атаке через флеш-кредиты и повторный вход, что привело к убыткам в 80,34 миллиона долларов. Эта атака нанесла смертельный удар по проекту, что в конечном итоге привело к его закрытию, объявленному 20 августа.
Злоумышленники в основном использовали уязвимость повторного входа, существующую в контракте реализации cEther от Rari Capital. Процесс атаки следующий:
Распространенные типы уязвимостей в аудите
Использование уязвимостей в реальных атаках
Согласно данным безопасности, типы уязвимостей, обнаруженные в ходе аудита, почти все были использованы в реальных атаках, среди которых логические уязвимости контрактов остаются основным методом атаки.
Важно отметить, что большинство этих уязвимостей могут быть обнаружены и исправлены до запуска проекта с помощью профессиональной платформы для проверки смарт-контрактов и ручной проверки экспертами по безопасности. Поэтому проведение комплексного аудита безопасности является критически важным для предотвращения потенциальных атак.