Web3 Alanındaki Güvenlik Tehditlerinin Analizi: 2022 Yılının İlk Yarısında Hacker Saldırı Yöntemlerinin Analizi
Web3 güvenlik durumu raporunda, blockchain güvenlik alanının genel durumunu, toplam kayıpları, saldırıya uğrayan proje türlerini, her zincir platformundaki kayıpları, saldırı yöntemlerini, fon akışını ve proje denetimlerini içeren birçok yönü kapsamlı bir şekilde analiz ettik. Bu makale, 2022 yılının ilk yarısında Web3 Hacker'larının en sık kullandığı saldırı yöntemlerini yorumlayacak, hangi açıkların en sık olduğunu tartışacak ve nasıl etkili bir şekilde önlenebileceğini ele alacaktır.
İlk yarıda meydana gelen güvenlik açıklarının neden olduğu kayıplar
Veri platformu izleme, 2022 yılının ilk yarısında toplam 42 ana sözleşme güvenlik açığı saldırısı olayının meydana geldiğini ve bu olayların tüm saldırı yöntemlerinin yaklaşık %53'ünü oluşturduğunu göstermektedir. Bu saldırıların neden olduğu toplam kayıplar 644 milyon 400 bin dolara kadar çıkmıştır.
Kullanılan tüm açıklar arasında, mantıksal veya fonksiyon tasarımı hataları, hackerlar tarafından en sık hedef alınanlardır; bunu doğrulama sorunları ve yeniden giriş açıkları izlemektedir.
Önemli Zarar Olayı Analizi
2022 Şubat ayında, Solana çoklu zincir köprü projesi Wormhole saldırıya uğradı ve yaklaşık 3.26 milyon dolar kaybedildi. Hacker, sözleşmedeki imza doğrulama açığını kullanarak, hesapları taklit ederek wETH basımını gerçekleştirdi.
30 Nisan 2022'de, Fei Protocol'ün Rari Fuse Pool'u flash loan ile ağır bir reentrancy saldırısına uğradı ve 80.34 milyon dolar kayba yol açtı. Bu saldırı projeye ölümcül bir darbe indirdi ve sonuç olarak proje 20 Ağustos'ta kapatıldığını duyurdu.
Fei Protocol saldırı vaka analizi
Saldırgan, Rari Capital'ın cEther uygulamasındaki reentrancy açığını kullandı. Saldırı süreci aşağıdaki gibidir:
Balancer: Vault'tan anlık kredi alın
Rari Capital'da teminatlı borç almak için flaş kredi fonlarını kullanmak
Saldırı ile sözleşmedeki fonksiyon geri çağrısını kullanarak etkilenen havuzdaki tüm token'leri çıkartmak
Lightning kredilerini iade et, saldırıdan elde edilenleri transfer et
Bu saldırıda toplamda 28380 ETH (yaklaşık 8034 milyon dolar) çalındı.
Denetimde Yaygın Olarak Bulunan Açık Türleri
ERC721/ERC1155 yeniden giriş saldırısı: Bu standartların transfer fonksiyonlarını kullanırken, kötü niyetli kodun tetiklenmesi sonucu yeniden giriş saldırısı gerçekleşebilir.
Mantık Açığı:
Özel senaryo dikkate alınmamış, örneğin kendine transfer yapmanın sonucu olarak var olmayan bir durum yaratılması.
Fonksiyon tasarımı eksik, örneğin çekim veya tasfiye işlevleri yok.
Yetkilendirme eksikliği: Mintleme, sözleşme rolü ayarlama gibi temel işlevler yetki kontrolünden yoksundur.
Fiyat manipülasyonu:
Kullanılmamış Zaman Ağırlıklı Ortalama Fiyat
Sözleşmedeki token bakiyesi oranını fiyat olarak doğrudan kullan
Gerçekten Kullanılan Açıklar ve Denetim Aşamasında Bulunanlar
Güvenlik platformunun istatistiklerine göre, denetim sürecinde tespit edilen açıkların çoğu, gerçek senaryolarda Hacker tarafından kullanılmıştır ve sözleşme mantık açıkları hala ana kısımdır.
Akıllı sözleşmelerin formel doğrulama platformu ve uzman insan denetimi sayesinde, bu açıklar denetim aşamasında tespit edilebilir. Güvenlik uzmanları riskleri değerlendirebilir ve düzeltme önerileri sunabilir.
Genel olarak, Web3 alanındaki güvenlik durumu hala ciddidir, projelerin güvenlik denetimlerine daha fazla önem vermesi ve saldırı riskini azaltmak için kapsamlı koruma önlemleri alması gerekmektedir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
21 Likes
Reward
21
5
Share
Comment
0/400
YieldChaser
· 07-18 02:00
Sekiz yüz milyon dolara hacklenmek için hızlı ilerle
2022'nin ilk yarısında Web3 Hacker saldırı yöntemlerinin analizi: Sözleşme açıkları hala ana tehdit
Web3 Alanındaki Güvenlik Tehditlerinin Analizi: 2022 Yılının İlk Yarısında Hacker Saldırı Yöntemlerinin Analizi
Web3 güvenlik durumu raporunda, blockchain güvenlik alanının genel durumunu, toplam kayıpları, saldırıya uğrayan proje türlerini, her zincir platformundaki kayıpları, saldırı yöntemlerini, fon akışını ve proje denetimlerini içeren birçok yönü kapsamlı bir şekilde analiz ettik. Bu makale, 2022 yılının ilk yarısında Web3 Hacker'larının en sık kullandığı saldırı yöntemlerini yorumlayacak, hangi açıkların en sık olduğunu tartışacak ve nasıl etkili bir şekilde önlenebileceğini ele alacaktır.
İlk yarıda meydana gelen güvenlik açıklarının neden olduğu kayıplar
Veri platformu izleme, 2022 yılının ilk yarısında toplam 42 ana sözleşme güvenlik açığı saldırısı olayının meydana geldiğini ve bu olayların tüm saldırı yöntemlerinin yaklaşık %53'ünü oluşturduğunu göstermektedir. Bu saldırıların neden olduğu toplam kayıplar 644 milyon 400 bin dolara kadar çıkmıştır.
Kullanılan tüm açıklar arasında, mantıksal veya fonksiyon tasarımı hataları, hackerlar tarafından en sık hedef alınanlardır; bunu doğrulama sorunları ve yeniden giriş açıkları izlemektedir.
Önemli Zarar Olayı Analizi
2022 Şubat ayında, Solana çoklu zincir köprü projesi Wormhole saldırıya uğradı ve yaklaşık 3.26 milyon dolar kaybedildi. Hacker, sözleşmedeki imza doğrulama açığını kullanarak, hesapları taklit ederek wETH basımını gerçekleştirdi.
30 Nisan 2022'de, Fei Protocol'ün Rari Fuse Pool'u flash loan ile ağır bir reentrancy saldırısına uğradı ve 80.34 milyon dolar kayba yol açtı. Bu saldırı projeye ölümcül bir darbe indirdi ve sonuç olarak proje 20 Ağustos'ta kapatıldığını duyurdu.
Fei Protocol saldırı vaka analizi
Saldırgan, Rari Capital'ın cEther uygulamasındaki reentrancy açığını kullandı. Saldırı süreci aşağıdaki gibidir:
Bu saldırıda toplamda 28380 ETH (yaklaşık 8034 milyon dolar) çalındı.
Denetimde Yaygın Olarak Bulunan Açık Türleri
ERC721/ERC1155 yeniden giriş saldırısı: Bu standartların transfer fonksiyonlarını kullanırken, kötü niyetli kodun tetiklenmesi sonucu yeniden giriş saldırısı gerçekleşebilir.
Mantık Açığı:
Yetkilendirme eksikliği: Mintleme, sözleşme rolü ayarlama gibi temel işlevler yetki kontrolünden yoksundur.
Fiyat manipülasyonu:
Gerçekten Kullanılan Açıklar ve Denetim Aşamasında Bulunanlar
Güvenlik platformunun istatistiklerine göre, denetim sürecinde tespit edilen açıkların çoğu, gerçek senaryolarda Hacker tarafından kullanılmıştır ve sözleşme mantık açıkları hala ana kısımdır.
Akıllı sözleşmelerin formel doğrulama platformu ve uzman insan denetimi sayesinde, bu açıklar denetim aşamasında tespit edilebilir. Güvenlik uzmanları riskleri değerlendirebilir ve düzeltme önerileri sunabilir.
Genel olarak, Web3 alanındaki güvenlik durumu hala ciddidir, projelerin güvenlik denetimlerine daha fazla önem vermesi ve saldırı riskini azaltmak için kapsamlı koruma önlemleri alması gerekmektedir.