Анализ уязвимостей безопасности в области Web3: Анализ методов атак хакеров в первой половине 2022 года
В отчете о безопасности Web3 мы всесторонне проанализировали общую ситуацию в области безопасности блокчейна, включая общую сумму потерь, типы атакованных проектов, потери на платформах различных цепей, методы атак, направления движения средств и аудит проектов. В данной статье будет акцентировано внимание на наиболее распространенных методах атак, используемых Хакерами в первой половине 2022 года, обсуждая, какие уязвимости встречаются чаще всего и как эффективно им противостоять.
Масштаб убытков, вызванных уязвимостями в первой половине года
Данные платформы мониторинга показывают, что в первой половине 2022 года произошло 42 основных инцидента атак на контракты, что составляет около 53% от всех способов атак. Общие убытки от этих атак составили 644040000 долларов США.
Среди всех эксплуатируемых уязвимостей логические или функциональные дефекты проектирования являются наиболее часто используемыми целями хакерами, за ними следуют проблемы валидации и уязвимости повторного входа.
Анализ событий крупных потерь
В феврале 2022 года проект кросс-чейн моста Solana Wormhole подвергся атаке, в результате которой был потерян около 326 миллионов долларов. Хакер воспользовался уязвимостью в проверке подписи контракта, подделав аккаунт для создания wETH.
30 апреля 2022 года пул Rari Fuse протокола Fei стал жертвой атаки с использованием флэш-кредита и повторного входа, что привело к убыткам в размере 80,34 миллиона долларов. Эта атака нанесла проекту смертельный удар, и в конечном итоге проект объявил о закрытии 20 августа.
Анализ случаев атак на Fei Protocol
Злоумышленники использовали уязвимость повторного входа в контракте cEther Rari Capital. Процесс атаки следующий:
Получение флеш-кредита из Balancer: Vault
Использование средств из闪电贷 для залога и кредитования в Rari Capital
Извлечение всех токенов из затронутых пулов через атаку на обратные вызовы функций в контракте.
Вернуть займ на мгновенную ликвидность, перевести средства от атаки
В результате этой атаки было украдено более 28380 ETH (около 8034 миллиона долларов).
Типы уязвимостей, часто встречающиеся в аудитах
Атака повторного входа ERC721/ERC1155: при использовании функций перевода этих стандартов может быть вызвано злонамеренное кодирование, что приведет к атаке повторного входа.
Логическая уязвимость:
Недостаточное внимание к специальным сценариям, таким как перевод средств самому себе, что приводит к созданию чего-то из ничего
Дизайн функции не завершен, например, отсутствуют функции извлечения или расчета.
Отсутствие аутентификации: ключевые функции, такие как чеканка монет, настройка ролей контракта и т. д., не имеют контроля доступа.
Манипуляция ценами:
Неиспользуемая средневзвешенная цена по времени
Прямое использование соотношения баланса токенов в контракте в качестве цены
Фактически использованные уязвимости и обнаружения на этапе аудита
Согласно статистике безопасной платформы, большинство уязвимостей, обнаруженных в процессе аудита, уже использовались Хакерами в реальных сценариях, при этом логические уязвимости контрактов по-прежнему составляют основную часть.
С помощью платформы формальной верификации на основе смарт-контрактов и экспертного аудита эти уязвимости могут быть обнаружены на этапе аудита. Специалисты по безопасности могут оценить риски и предоставить рекомендации по устранению.
В целом, ситуация с безопасностью в области Web3 все еще остается серьезной, и проектам необходимо уделять больше внимания безопасности аудита, принимать комплексные меры защиты для снижения риска атак.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Анализ методов атак Хакеров в Web3 за первую половину 2022 года: Уязвимости контрактов по-прежнему остаются основной угрозой
Анализ уязвимостей безопасности в области Web3: Анализ методов атак хакеров в первой половине 2022 года
В отчете о безопасности Web3 мы всесторонне проанализировали общую ситуацию в области безопасности блокчейна, включая общую сумму потерь, типы атакованных проектов, потери на платформах различных цепей, методы атак, направления движения средств и аудит проектов. В данной статье будет акцентировано внимание на наиболее распространенных методах атак, используемых Хакерами в первой половине 2022 года, обсуждая, какие уязвимости встречаются чаще всего и как эффективно им противостоять.
Масштаб убытков, вызванных уязвимостями в первой половине года
Данные платформы мониторинга показывают, что в первой половине 2022 года произошло 42 основных инцидента атак на контракты, что составляет около 53% от всех способов атак. Общие убытки от этих атак составили 644040000 долларов США.
Среди всех эксплуатируемых уязвимостей логические или функциональные дефекты проектирования являются наиболее часто используемыми целями хакерами, за ними следуют проблемы валидации и уязвимости повторного входа.
Анализ событий крупных потерь
В феврале 2022 года проект кросс-чейн моста Solana Wormhole подвергся атаке, в результате которой был потерян около 326 миллионов долларов. Хакер воспользовался уязвимостью в проверке подписи контракта, подделав аккаунт для создания wETH.
30 апреля 2022 года пул Rari Fuse протокола Fei стал жертвой атаки с использованием флэш-кредита и повторного входа, что привело к убыткам в размере 80,34 миллиона долларов. Эта атака нанесла проекту смертельный удар, и в конечном итоге проект объявил о закрытии 20 августа.
Анализ случаев атак на Fei Protocol
Злоумышленники использовали уязвимость повторного входа в контракте cEther Rari Capital. Процесс атаки следующий:
В результате этой атаки было украдено более 28380 ETH (около 8034 миллиона долларов).
Типы уязвимостей, часто встречающиеся в аудитах
Атака повторного входа ERC721/ERC1155: при использовании функций перевода этих стандартов может быть вызвано злонамеренное кодирование, что приведет к атаке повторного входа.
Логическая уязвимость:
Отсутствие аутентификации: ключевые функции, такие как чеканка монет, настройка ролей контракта и т. д., не имеют контроля доступа.
Манипуляция ценами:
Фактически использованные уязвимости и обнаружения на этапе аудита
Согласно статистике безопасной платформы, большинство уязвимостей, обнаруженных в процессе аудита, уже использовались Хакерами в реальных сценариях, при этом логические уязвимости контрактов по-прежнему составляют основную часть.
С помощью платформы формальной верификации на основе смарт-контрактов и экспертного аудита эти уязвимости могут быть обнаружены на этапе аудита. Специалисты по безопасности могут оценить риски и предоставить рекомендации по устранению.
В целом, ситуация с безопасностью в области Web3 все еще остается серьезной, и проектам необходимо уделять больше внимания безопасности аудита, принимать комплексные меры защиты для снижения риска атак.