Анализ методов атак Хакер в Web3: распространенные способы атак и рекомендации по защите в первой половине 2022 года
В первой половине 2022 года в области Web3 часто происходили инциденты безопасности, что привело к огромным потерям для отрасли. В данной статье будут проанализированы основные методы атак этого периода, с целью предоставить проектам рекомендации по обеспечению безопасности.
Обзор основных данных атак
Согласно данным мониторинга платформы по восприятию ситуации в блокчейне, в первой половине 2022 года произошло 42 основных инцидента атак на контракты, что привело к убыткам примерно в 644 миллиона долларов. Среди всех эксплуатируемых уязвимостей наиболее распространенными были проблемы с логикой или неправильным проектированием функций, за ними следуют проблемы с валидацией и уязвимости повторного входа.
Анализ типичных инцидентов безопасности
Событие атаки на мост Wormhole
3 февраля 2022 года, проект кросс-чейн моста подвергся атаке, убытки составили до 326 миллионов долларов. Злоумышленники использовали уязвимость в проверке подписи в контракте проекта, чтобы осуществить незаконную эмиссию через поддельный аккаунт sysvar.
Протокол Fei подвергся атаке через кредитование
30 апреля 2022 года, некий кредитный протокол стал жертвой атаки с использованием флеш-займа, в результате чего был потерян 80,34 миллиона долларов. Атакующий осуществил атаку следующими шагами:
Получить флеш-кредит от Balancer
Использование уязвимости повторного входа в контракте кредитного пула для повторного заимствования
Извлечение средств из пула и возврат займам
Это событие в конечном итоге привело к тому, что проектная команда объявила о закрытии.
Типы распространенных уязвимостей
Наиболее распространенные уязвимости в процессе аудита включают в себя:
Атака повторного входа ERC721/ERC1155
Логические уязвимости контракта
Отсутствие контроля доступа
Уязвимость манипуляции ценами
Эти уязвимости также часто эксплуатируются в реальных атаках, среди которых логические уязвимости контрактов являются основной точкой атаки.
Рекомендации по предотвращению
Строго следовать модели дизайна "Проверка - Действие - Взаимодействие"
Полное рассмотрение логической обработки в особых сценариях
Улучшение функционального дизайна контракта, например, добавление механизма извлечения и ликвидации
Укрепление контроля доступа к ключевым функциям
Использование безопасного механизма ценового оракула
Проведение комплексного аудита безопасности, включая автоматизированное обнаружение и ручную проверку.
С помощью профессиональной платформы проверки смарт-контрактов и аудита экспертами по безопасности большинство из вышеперечисленных уязвимостей можно обнаружить и устранить на стадии разработки. Проектные команды должны уделять внимание вопросам безопасности, создавая многослойные механизмы защиты для снижения риска атак.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
7 Лайков
Награда
7
3
Поделиться
комментарий
0/400
UncommonNPC
· 3ч назад
Эта сфера слишком безумна, кто-нибудь может её исправить?
Посмотреть ОригиналОтветить0
SolidityNewbie
· 8ч назад
Дизайн функции имеет уязвимость? Типичное действие новичка
Посмотреть ОригиналОтветить0
DeepRabbitHole
· 9ч назад
Снова начинаем зарабатывать деньги, а деньги уже были унесены Хакером.
Web3 безопасность: 42 атаки во втором полугодии 2022 года привели к потерям в 644 миллиона долларов. Рекомендации по предотвращению.
Анализ методов атак Хакер в Web3: распространенные способы атак и рекомендации по защите в первой половине 2022 года
В первой половине 2022 года в области Web3 часто происходили инциденты безопасности, что привело к огромным потерям для отрасли. В данной статье будут проанализированы основные методы атак этого периода, с целью предоставить проектам рекомендации по обеспечению безопасности.
Обзор основных данных атак
Согласно данным мониторинга платформы по восприятию ситуации в блокчейне, в первой половине 2022 года произошло 42 основных инцидента атак на контракты, что привело к убыткам примерно в 644 миллиона долларов. Среди всех эксплуатируемых уязвимостей наиболее распространенными были проблемы с логикой или неправильным проектированием функций, за ними следуют проблемы с валидацией и уязвимости повторного входа.
Анализ типичных инцидентов безопасности
Событие атаки на мост Wormhole
3 февраля 2022 года, проект кросс-чейн моста подвергся атаке, убытки составили до 326 миллионов долларов. Злоумышленники использовали уязвимость в проверке подписи в контракте проекта, чтобы осуществить незаконную эмиссию через поддельный аккаунт sysvar.
Протокол Fei подвергся атаке через кредитование
30 апреля 2022 года, некий кредитный протокол стал жертвой атаки с использованием флеш-займа, в результате чего был потерян 80,34 миллиона долларов. Атакующий осуществил атаку следующими шагами:
Это событие в конечном итоге привело к тому, что проектная команда объявила о закрытии.
Типы распространенных уязвимостей
Наиболее распространенные уязвимости в процессе аудита включают в себя:
Эти уязвимости также часто эксплуатируются в реальных атаках, среди которых логические уязвимости контрактов являются основной точкой атаки.
Рекомендации по предотвращению
С помощью профессиональной платформы проверки смарт-контрактов и аудита экспертами по безопасности большинство из вышеперечисленных уязвимостей можно обнаружить и устранить на стадии разработки. Проектные команды должны уделять внимание вопросам безопасности, создавая многослойные механизмы защиты для снижения риска атак.