Web3 Alanında 2022 Yılının İlk Yarısında Yaygın Saldırı Yöntemleri Analizi
2022 yılı ilk yarısında, Web3 alanındaki güvenlik durumu hâlâ ciddiyetini koruyor. Bu makalede, bu dönemde yaygın olan saldırı yöntemleri derinlemesine analiz edilecek, sıklıkları ve önlem yolları tartışılacaktır.
Açıkların Neden Olduğu Zararların Genel Görünümü
Blockchain güvenlik izleme platformu verilerine göre, 2022 yılının ilk yarısında toplam 42 ana sözleşme açığı saldırı olayı meydana geldi ve bu, tüm saldırı olaylarının yaklaşık %53'ünü oluşturdu. Bu saldırıların toplam kayıpları 644 milyon dolara kadar ulaştı.
Kullanılan tüm açıklar arasında, mantıksal veya fonksiyon tasarım hataları hackerlar tarafından en sık kullanılan açık türüdür; bunu doğrulama sorunları ve yeniden giriş açıkları izlemektedir.
Büyük Kayıp Olayı Analizi
Wormhole köprü saldırı olayı
3 Şubat 2022'de, Solana ekosisteminin köprü projesi Wormhole saldırıya uğradı ve yaklaşık 326 milyon dolar kaybedildi. Saldırganlar, sözleşmedeki imza doğrulama açığını kullanarak sistem hesabını taklit ederek büyük miktarda wETH bastılar.
Fei Protokolü saldırı olayı
30 Nisan 2022'de, Fei Protocol'ün Rari Fuse Pool'u, flash loan ve reentrancy saldırısına maruz kaldı ve 80.34 milyon dolar kayba neden oldu. Bu saldırı projeye ölümcül bir darbe vurdu ve nihayetinde proje 20 Ağustos'ta kapanacağını açıkladı.
Saldırganlar esasen Rari Capital'in cEther uygulama sözleşmesindeki reentrancy açığını kullandılar. Saldırı süreci aşağıdaki gibidir:
Saldırgan, Balancer'dan hızlı kredi alır.
Rari Capital'da teminatlı borç almak için flash kredi fonlarını kullanın, aynı zamanda yeniden giriş açığını kullanın.
Saldırı fonksiyonu geri çağrısı aracılığıyla etkilenen havuzdaki tüm tokenleri çıkarın.
Lightning kredisini iade et, saldırıdan elde edilenleri transfer et.
Denetimde Yaygın Olarak Karşılaşılan Açık Türleri
ERC721/ERC1155 yeniden giriş saldırısı:
Standartlardaki transfer bildirim fonksiyonunu kullanarak yeniden giriş saldırısı gerçekleştirme
İşlevsel fonksiyon, kontrol-etki-etkileşim modeline sıkı bir şekilde uymadı.
Mantık Hatası:
Özel durumların göz önünde bulundurulmaması, örneğin kendine transfer yapmanın tokenlerin havadan artmasına neden olması.
Fonksiyon tasarımı eksik, örneğin çekim veya likidasyon mekanizması yok.
Yetkilendirme eksikliği:
Anahtar özellikler (örneğin madeni para basma, karakter ayarları) yetki kontrolünden yoksun.
Fiyat manipülasyonu:
Oracle yanlış kullanımı veya eksikliği
Sözleşme içindeki token bakiyesinin oranını fiyat temel olarak doğrudan kullanın
Gerçek Saldırılardaki Açıkların Kullanımı
Güvenlik izleme verilerine göre, denetim sırasında tespit edilen zafiyet türlerinin neredeyse tamamı gerçek saldırılarda kullanılmıştır ve sözleşme mantık zafiyetleri hala ana saldırı yöntemidir.
Önemli bir nokta, profesyonel akıllı sözleşme doğrulama platformları ve güvenlik uzmanlarının manuel incelemeleri aracılığıyla, bu açıkların çoğunun projelerin lansmanından önce tespit edilip düzeltilebilmesidir. Bu nedenle, potansiyel saldırıları önlemek için kapsamlı bir güvenlik denetimi yapmak hayati önem taşımaktadır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
2022'nin ilk yarısında Web3 saldırı analizi: Açıklar nedeniyle 644 milyon dolar kayıp, sözleşme mantığı ana saldırı noktası oldu.
Web3 Alanında 2022 Yılının İlk Yarısında Yaygın Saldırı Yöntemleri Analizi
2022 yılı ilk yarısında, Web3 alanındaki güvenlik durumu hâlâ ciddiyetini koruyor. Bu makalede, bu dönemde yaygın olan saldırı yöntemleri derinlemesine analiz edilecek, sıklıkları ve önlem yolları tartışılacaktır.
Açıkların Neden Olduğu Zararların Genel Görünümü
Blockchain güvenlik izleme platformu verilerine göre, 2022 yılının ilk yarısında toplam 42 ana sözleşme açığı saldırı olayı meydana geldi ve bu, tüm saldırı olaylarının yaklaşık %53'ünü oluşturdu. Bu saldırıların toplam kayıpları 644 milyon dolara kadar ulaştı.
Kullanılan tüm açıklar arasında, mantıksal veya fonksiyon tasarım hataları hackerlar tarafından en sık kullanılan açık türüdür; bunu doğrulama sorunları ve yeniden giriş açıkları izlemektedir.
Büyük Kayıp Olayı Analizi
Wormhole köprü saldırı olayı
3 Şubat 2022'de, Solana ekosisteminin köprü projesi Wormhole saldırıya uğradı ve yaklaşık 326 milyon dolar kaybedildi. Saldırganlar, sözleşmedeki imza doğrulama açığını kullanarak sistem hesabını taklit ederek büyük miktarda wETH bastılar.
Fei Protokolü saldırı olayı
30 Nisan 2022'de, Fei Protocol'ün Rari Fuse Pool'u, flash loan ve reentrancy saldırısına maruz kaldı ve 80.34 milyon dolar kayba neden oldu. Bu saldırı projeye ölümcül bir darbe vurdu ve nihayetinde proje 20 Ağustos'ta kapanacağını açıkladı.
Saldırganlar esasen Rari Capital'in cEther uygulama sözleşmesindeki reentrancy açığını kullandılar. Saldırı süreci aşağıdaki gibidir:
Denetimde Yaygın Olarak Karşılaşılan Açık Türleri
Gerçek Saldırılardaki Açıkların Kullanımı
Güvenlik izleme verilerine göre, denetim sırasında tespit edilen zafiyet türlerinin neredeyse tamamı gerçek saldırılarda kullanılmıştır ve sözleşme mantık zafiyetleri hala ana saldırı yöntemidir.
Önemli bir nokta, profesyonel akıllı sözleşme doğrulama platformları ve güvenlik uzmanlarının manuel incelemeleri aracılığıyla, bu açıkların çoğunun projelerin lansmanından önce tespit edilip düzeltilebilmesidir. Bu nedenle, potansiyel saldırıları önlemek için kapsamlı bir güvenlik denetimi yapmak hayati önem taşımaktadır.