Аналіз безпекових ризиків у сфері Web3: аналіз методів атак хакерів у першій половині 2022 року
У звіті про безпеку Web3 ми всебічно проаналізували загальну ситуацію в сфері безпеки блокчейну, включаючи загальні втрати, типи атакованих проєктів, втрати на різних платформах, методи атак, напрямки фінансів та аудит проєктів. У цій статті ми зосередимося на тлумаченні найбільш поширених методів атак хакерів Web3 у першій половині 2022 року, обговоримо, які вразливості виникають найчастіше, а також як ефективно їх запобігати.
Витрати від вразливостей за перше півріччя
Дані з платформи моніторингу показують, що в першій половині 2022 року сталося 42 випадки основних атак на контракти, що складає приблизно 53% від усіх способів атак. Загальні збитки від цих атак досягли 644 мільйонів 4004 тисяч доларів.
Серед усіх використаних вразливостей, логічні або функціональні недоліки проектування є найчастіше використовуваною метою для хакерів, за ними йдуть проблеми з верифікацією та реентраційні вразливості.
Аналіз подій значних втрат
У лютому 2022 року проект міжланцюгового мосту Solana Wormhole зазнав атаки, внаслідок чого було втрачено близько 326 мільйонів доларів. Хакер скористався вразливістю перевірки підпису в контракті, підробивши обліковий запис для випуску wETH.
30 квітня 2022 року пул Rari Fuse протоколу Fei зазнав атаки з використанням флеш-кредиту, що призвело до втрат у розмірі 80,34 мільйона доларів. Ця атака завдала проекту смертельного удару, внаслідок чого проект 20 серпня оголосив про закриття.
Аналіз випадку атаки на Fei Protocol
Зловмисники використали вразливість повторного входу в контракті cEther Rari Capital. Процес атаки виглядає наступним чином:
Виконати миттєвий кредит з Balancer: Vault
Використання коштів з флеш-кредитів для заставного кредитування в Rari Capital
Через атаку на функції зворотного виклику контракту, витягти всі токени з ураженого пулу
Повернення блискавичного кредиту, переміщення отриманого від атаки
Цей напад призвів до крадіжки понад 28380 ETH (приблизно 8034 мільйонів доларів США).
Загальні типи вразливостей в аудиті
Реінвазія атака ERC721/ERC1155: при використанні функцій передачі з цими стандартами може спровокувати зловмисний код, що призводить до реінвазійної атаки.
Логічна вразливість:
Недостатня увага до особливих ситуацій, таких як переказ коштів самому собі, що призводить до створення грошей з нічого
Дизайн функцій не досконалий, наприклад, відсутні функції вилучення або розрахунку.
Відсутність автентифікації: ключові функції, такі як карбування, налаштування ролей контракту тощо, не мають контролю доступу.
Маніпуляція цінами:
Не використана ціна зважена за часом
Прямо використовувати пропорцію залишку токенів у контракті як ціну
Вразливості, що фактично використовуються, та виявлення на етапі аудиту
Згідно з даними безпекової платформи, більшість вразливостей, виявлених під час аудиту, вже були використані хакерами у реальних умовах, при цьому логічні вразливості контрактів залишаються основною частиною.
Через платформу формальної верифікації на основі смарт-контрактів та експертного ручного аудиту ці вразливості можуть бути виявлені на етапі аудиту. Експерти з безпеки можуть оцінити ризики та надати рекомендації щодо виправлення.
В цілому, ситуація з безпекою в сфері Web3 залишається серйозною, проектам потрібно більше уваги приділяти безпековим аудиторіям і вживати комплексних заходів захисту, щоб знизити ризик атаки.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Аналіз методів хакерських атак у Web3 у першій половині 2022 року: вразливості контрактів залишаються основною загрозою
Аналіз безпекових ризиків у сфері Web3: аналіз методів атак хакерів у першій половині 2022 року
У звіті про безпеку Web3 ми всебічно проаналізували загальну ситуацію в сфері безпеки блокчейну, включаючи загальні втрати, типи атакованих проєктів, втрати на різних платформах, методи атак, напрямки фінансів та аудит проєктів. У цій статті ми зосередимося на тлумаченні найбільш поширених методів атак хакерів Web3 у першій половині 2022 року, обговоримо, які вразливості виникають найчастіше, а також як ефективно їх запобігати.
Витрати від вразливостей за перше півріччя
Дані з платформи моніторингу показують, що в першій половині 2022 року сталося 42 випадки основних атак на контракти, що складає приблизно 53% від усіх способів атак. Загальні збитки від цих атак досягли 644 мільйонів 4004 тисяч доларів.
Серед усіх використаних вразливостей, логічні або функціональні недоліки проектування є найчастіше використовуваною метою для хакерів, за ними йдуть проблеми з верифікацією та реентраційні вразливості.
Аналіз подій значних втрат
У лютому 2022 року проект міжланцюгового мосту Solana Wormhole зазнав атаки, внаслідок чого було втрачено близько 326 мільйонів доларів. Хакер скористався вразливістю перевірки підпису в контракті, підробивши обліковий запис для випуску wETH.
30 квітня 2022 року пул Rari Fuse протоколу Fei зазнав атаки з використанням флеш-кредиту, що призвело до втрат у розмірі 80,34 мільйона доларів. Ця атака завдала проекту смертельного удару, внаслідок чого проект 20 серпня оголосив про закриття.
Аналіз випадку атаки на Fei Protocol
Зловмисники використали вразливість повторного входу в контракті cEther Rari Capital. Процес атаки виглядає наступним чином:
Цей напад призвів до крадіжки понад 28380 ETH (приблизно 8034 мільйонів доларів США).
Загальні типи вразливостей в аудиті
Реінвазія атака ERC721/ERC1155: при використанні функцій передачі з цими стандартами може спровокувати зловмисний код, що призводить до реінвазійної атаки.
Логічна вразливість:
Відсутність автентифікації: ключові функції, такі як карбування, налаштування ролей контракту тощо, не мають контролю доступу.
Маніпуляція цінами:
Вразливості, що фактично використовуються, та виявлення на етапі аудиту
Згідно з даними безпекової платформи, більшість вразливостей, виявлених під час аудиту, вже були використані хакерами у реальних умовах, при цьому логічні вразливості контрактів залишаються основною частиною.
Через платформу формальної верифікації на основі смарт-контрактів та експертного ручного аудиту ці вразливості можуть бути виявлені на етапі аудиту. Експерти з безпеки можуть оцінити ризики та надати рекомендації щодо виправлення.
В цілому, ситуація з безпекою в сфері Web3 залишається серйозною, проектам потрібно більше уваги приділяти безпековим аудиторіям і вживати комплексних заходів захисту, щоб знизити ризик атаки.