Аналіз безпекової ситуації Web3: поширені методи атак та заходи протидії у першій половині 2022 року
У першій половині 2022 року сфера Web3 часто піддавалася хакерським атакам, що призводило до величезних збитків. У цій статті буде глибоко проаналізовано способи атак, які найчастіше використовувалися хакерами в цей період, розглянуто, які вразливості найчастіше експлуатувалися, а також як ефективно запобігти цим атакам.
Загальний огляд вразливостей та атак у першій половині року
Згідно з даними певної платформи моніторингу блокчейн-ситуації, у першій половині 2022 року сталося 42 основних випадки атак на контракти, що становить 53% від усіх видів атак. Ці атаки призвели до збитків у розмірі 644 мільйони доларів.
Серед усіх використаних вразливостей, логічні чи неналежно спроектовані функції, проблеми верифікації та вразливості повторного входу є трьома найбільш поширеними типами вразливостей, які використовують хакери.
Аналіз подій значних збитків
3 лютого 2022 року, один з проектів крос-чейн мосту зазнав атаки, втративши близько 326 мільйонів доларів. Хакери використали вразливість перевірки підпису в контракті, підробивши облікові записи для випуску токенів.
30 квітня 2022 року один з кредитних протоколів зазнав атаки з використанням флеш-кредитів, внаслідок чого він втратив 80,34 мільйона доларів, що в кінцевому підсумку призвело до закриття проєкту.
Зловмисники використовують блискавичні кредити для отримання коштів та здійснюють заставне кредитування в цільовому протоколі. Через наявність у контракті вразливості повторного входу зловмисники за допомогою сконструйованої функції зворотного виклику витягли всі токени з ураженого пулу.
Типові вразливості під час аудиту
Реінвазія атаки ERC721/ERC1155
Логічні вади (відсутність врахування спеціальних сценаріїв, недосконалість функціонального дизайну)
Відсутність аутентифікації
Маніпуляція цінами
Аналіз використання вразливостей
Згідно з моніторинговими даними, в процесі аудиту були виявлені вразливості, які майже всі були використані хакерами в реальних сценаріях, зокрема логічні вразливості контрактів залишаються основними точками атаки.
Варто зазначити, що завдяки професійним платформам для перевірки смарт-контрактів та ручному аудиту експертів з безпеки, більшість цих вразливостей можуть бути виявлені та виправлені до запуску проекту.
Рекомендації щодо запобігання
Посилити проектування логіки контракту, особливо звертаючи увагу на обробку спеціальних сценаріїв.
Суворо впроваджувати контроль доступу та управління правами.
Використовуйте надійні цінові оракули, щоб уникнути маніпуляцій цінами.
Дотримуйтесь моделі "перевірка-дія-інтеракція" при розробці бізнес-функцій.
Провести всебічний аудит безпеки, включаючи виявлення за допомогою автоматизованих інструментів та експертну ручну перевірку.
Регулярно проводити оцінку безпеки та виправлення вразливостей.
З розвитком екосистеми Web3 питання безпеки залишатиметься в центрі уваги. Командам проектів слід приділяти увагу будівництву безпеки, вживаючи багаторівневі заходи захисту для зниження ризику атак. Водночас, усій галузі необхідно постійно вдосконалювати стандарти безпеки та найкращі практики, спільно створюючи більш безпечну та надійну екосистему Web3.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
18 лайків
Нагородити
18
5
Поділіться
Прокоментувати
0/400
PerennialLeek
· 20год тому
6.44 мільярда доларів пропало, дякую, що купили раніше, раніше втратили.
Переглянути оригіналвідповісти на0
ImpermanentLossEnjoyer
· 20год тому
Білих доларів стало більше
Переглянути оригіналвідповісти на0
LayerZeroEnjoyer
· 20год тому
Ще одна жертва, CEX, швидше за все, заблокуйте кошти!
Аналіз безпеки Web3: основні методи атак і стратегії запобігання в першій половині 2022 року
Аналіз безпекової ситуації Web3: поширені методи атак та заходи протидії у першій половині 2022 року
У першій половині 2022 року сфера Web3 часто піддавалася хакерським атакам, що призводило до величезних збитків. У цій статті буде глибоко проаналізовано способи атак, які найчастіше використовувалися хакерами в цей період, розглянуто, які вразливості найчастіше експлуатувалися, а також як ефективно запобігти цим атакам.
Загальний огляд вразливостей та атак у першій половині року
Згідно з даними певної платформи моніторингу блокчейн-ситуації, у першій половині 2022 року сталося 42 основних випадки атак на контракти, що становить 53% від усіх видів атак. Ці атаки призвели до збитків у розмірі 644 мільйони доларів.
Серед усіх використаних вразливостей, логічні чи неналежно спроектовані функції, проблеми верифікації та вразливості повторного входу є трьома найбільш поширеними типами вразливостей, які використовують хакери.
Аналіз подій значних збитків
3 лютого 2022 року, один з проектів крос-чейн мосту зазнав атаки, втративши близько 326 мільйонів доларів. Хакери використали вразливість перевірки підпису в контракті, підробивши облікові записи для випуску токенів.
30 квітня 2022 року один з кредитних протоколів зазнав атаки з використанням флеш-кредитів, внаслідок чого він втратив 80,34 мільйона доларів, що в кінцевому підсумку призвело до закриття проєкту.
Зловмисники використовують блискавичні кредити для отримання коштів та здійснюють заставне кредитування в цільовому протоколі. Через наявність у контракті вразливості повторного входу зловмисники за допомогою сконструйованої функції зворотного виклику витягли всі токени з ураженого пулу.
Типові вразливості під час аудиту
Аналіз використання вразливостей
Згідно з моніторинговими даними, в процесі аудиту були виявлені вразливості, які майже всі були використані хакерами в реальних сценаріях, зокрема логічні вразливості контрактів залишаються основними точками атаки.
Варто зазначити, що завдяки професійним платформам для перевірки смарт-контрактів та ручному аудиту експертів з безпеки, більшість цих вразливостей можуть бути виявлені та виправлені до запуску проекту.
Рекомендації щодо запобігання
З розвитком екосистеми Web3 питання безпеки залишатиметься в центрі уваги. Командам проектів слід приділяти увагу будівництву безпеки, вживаючи багаторівневі заходи захисту для зниження ризику атак. Водночас, усій галузі необхідно постійно вдосконалювати стандарти безпеки та найкращі практики, спільно створюючи більш безпечну та надійну екосистему Web3.