Web3 безпекове попередження: у першій половині 2022 року сталося 42 атаки, які призвели до збитків у 644 мільйони доларів США. Аналіз рекомендацій щодо запобігання.
Аналіз методів атак хакерів у Web3: поширені способи атак та рекомендації щодо запобігання у першій половині 2022 року
У першій половині 2022 року в сфері Web3 часто відбувалися інциденти безпеки, що завдали величезних збитків галузі. У цій статті буде проаналізовано основні методи атак цього періоду з метою надання проектам рекомендацій щодо запобігання загрозам.
Основний огляд даних атак
Згідно з даними моніторингу платформи спостереження за станом блокчейна, у першій половині 2022 року сталося 42 основних випадки атак на контрактні вразливості, що призвели до збитків приблизно в 6,44 мільярда доларів. Серед усіх вразливостей найбільш поширеними були логічні або функціональні недоліки, за ними слідують проблеми перевірки та вразливості повторного входу.
Аналіз типової безпекової події
Подія атаки на міст Wormhole
3 лютого 2022 року, певний кросчейн міст проект зазнав атаки, збитки склали до 326 мільйонів доларів США. Зловмисники використали вразливість перевірки підпису в контракті проекту, здійснивши незаконне карбування через підроблений обліковий запис sysvar.
Fei Protocol зазнав атаки через швидкісні позики
30 квітня 2022 року, певний кредитний протокол зазнав атаки через флеш-кредит з повторним входом, в результаті чого було втрачено 80,34 мільйона доларів США. Зловмисник реалізував атаку за наступними кроками:
Отримати闪电贷 від Balancer
Використання уразливості повторного входу в контракті кредитного пулу для повторного кредитування
Витягти кошти з пулу та повернути кредит на блискавку
Ця подія врешті-решт призвела до оголошення команди проекту про закриття.
Загальні типи вразливостей
Найпоширеніші вразливості під час аудиту включають:
Атака повторного входу ERC721/ERC1155
Логічні уразливості контракту
Відсутність контролю доступу
Уразливість маніпуляції цінами
Ці вразливості також часто використовуються під час реальних атак, причому логічні вразливості контрактів є основними точками атаки.
Рекомендації щодо запобігання
Суворо дотримуйтесь дизайну "Перевірка - Дія - Взаємодія"
Усеосяжно розглянути логічну обробку в особливих сценаріях
Удосконалити дизайн функцій контракту, наприклад, додати механізм вилучення та ліквідації.
Посилити контроль доступу до ключових функцій
Використання безпечного механізму ціноутворення
Провести всебічний аудит безпеки, включаючи автоматизоване виявлення та ручну перевірку
Завдяки професійній платформі перевірки смарт-контрактів та аудитам експертів з безпеки, більшість вказаних вразливостей можна виявити та виправити на етапі розробки. Команда проекту повинна приділяти увагу безпеці, створюючи багаторівневі механізми захисту, щоб зменшити ризик атаки.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
7 лайків
Нагородити
7
3
Поділіться
Прокоментувати
0/400
UncommonNPC
· 2год тому
Цей круг занадто дикий, хто б його виправив?
Переглянути оригіналвідповісти на0
SolidityNewbie
· 8год тому
Дизайн функцій має вразливості? Типові дії новачка
Переглянути оригіналвідповісти на0
DeepRabbitHole
· 8год тому
Знову почали звичні збори грошей, гроші вже були захоплені хакером.
Web3 безпекове попередження: у першій половині 2022 року сталося 42 атаки, які призвели до збитків у 644 мільйони доларів США. Аналіз рекомендацій щодо запобігання.
Аналіз методів атак хакерів у Web3: поширені способи атак та рекомендації щодо запобігання у першій половині 2022 року
У першій половині 2022 року в сфері Web3 часто відбувалися інциденти безпеки, що завдали величезних збитків галузі. У цій статті буде проаналізовано основні методи атак цього періоду з метою надання проектам рекомендацій щодо запобігання загрозам.
Основний огляд даних атак
Згідно з даними моніторингу платформи спостереження за станом блокчейна, у першій половині 2022 року сталося 42 основних випадки атак на контрактні вразливості, що призвели до збитків приблизно в 6,44 мільярда доларів. Серед усіх вразливостей найбільш поширеними були логічні або функціональні недоліки, за ними слідують проблеми перевірки та вразливості повторного входу.
Аналіз типової безпекової події
Подія атаки на міст Wormhole
3 лютого 2022 року, певний кросчейн міст проект зазнав атаки, збитки склали до 326 мільйонів доларів США. Зловмисники використали вразливість перевірки підпису в контракті проекту, здійснивши незаконне карбування через підроблений обліковий запис sysvar.
Fei Protocol зазнав атаки через швидкісні позики
30 квітня 2022 року, певний кредитний протокол зазнав атаки через флеш-кредит з повторним входом, в результаті чого було втрачено 80,34 мільйона доларів США. Зловмисник реалізував атаку за наступними кроками:
Ця подія врешті-решт призвела до оголошення команди проекту про закриття.
Загальні типи вразливостей
Найпоширеніші вразливості під час аудиту включають:
Ці вразливості також часто використовуються під час реальних атак, причому логічні вразливості контрактів є основними точками атаки.
Рекомендації щодо запобігання
Завдяки професійній платформі перевірки смарт-контрактів та аудитам експертів з безпеки, більшість вказаних вразливостей можна виявити та виправити на етапі розробки. Команда проекту повинна приділяти увагу безпеці, створюючи багаторівневі механізми захисту, щоб зменшити ризик атаки.