Анализ методов хакерских атак в Web3: Прочие уязвимости и стратегии защиты в первой половине 2022 года
Недавно опубликованный отчет по безопасности Web3 глубоко анализирует общую ситуацию в области безопасности блокчейна за первую половину 2022 года. В этой статье будет уделено особое внимание методам атак, часто используемым хакерами в этот период, а также рассмотрены высокочастотные типы уязвимостей и меры по их предотвращению.
Масштаб потерь из-за уязвимостей за первое полугодие
Согласно данным одной платформы мониторинга безопасности блокчейнов, в первой половине 2022 года произошло 42 основных инцидента атак на контракты, что привело к общим потерям в размере 644 миллиона долларов. Среди всех эксплуатируемых уязвимостей наиболее распространенными были логические или функциональные дефекты проектирования, затем следуют проблемы валидации и уязвимости повторного входа. Эти атаки составили примерно 53% от всех инцидентов атак в тот же период.
Типичные случаи уязвимостей, приводящих к значительным потерям
3 февраля проект кросс-чейн моста подвергся атаке, в результате чего были потеряны около 326 миллионов долларов. Хакер использовал уязвимость проверки подписи в контракте для подделки учетных записей и создания большого количества токенов.
30 апреля некий кредитный протокол подвергся атаке через комбинацию флеш-займов и повторного входа, что привело к потерям в 80,34 миллиона долларов. Эта атака нанесла проекту смертельный удар, в результате чего он объявил о закрытии в августе.
В качестве примера вышеупомянутого кредитного соглашения, злоумышленник в основном использовал следующие шаги:
Получить флеш-займ с какого-либо децентрализованного обмена
Использование уязвимости повторного входа в контракте заемной платформы для многократного заимствования
В конечном итоге изъять все токены из затронутого пула средств.
Возврат闪电贷 и передача доходов от атаки
Высокочастотные уязвимости в процессе аудита
Наиболее распространенные уязвимости в аудите смарт-контрактов делятся на четыре категории:
Риски повторного входа в реализации стандартов ERC721/ERC1155
Дефекты проектирования логики контракта, такие как недостаточное внимание к особым сценам, неполнота функций и т. д.
Ключевые функции не имеют контроля доступа
Риск манипуляции ценами, например, неправильное использование оракулов и т.д.
Частые уязвимости и уровень обнаружения при аудите в реальных атаках
Согласно статистике по инцидентам безопасности, типы уязвимостей, обнаруженные в ходе аудита, сильно совпадают с уязвимостями, фактически использованными Хакерами, при этом логические уязвимости контрактов по-прежнему остаются основной точкой атаки.
Стоит отметить, что большинство вышеупомянутых уязвимостей могут быть выявлены на этапе аудита с помощью профессиональной платформы формальной верификации в сочетании с ручной проверкой безопасности экспертами. Эксперты по безопасности также могут предоставить рекомендации по исправлению обнаруженных проблем, помогая командам проектов снизить риски безопасности.
Таким образом, несмотря на то, что ситуация с безопасностью в области Web3 по-прежнему остается серьезной, благодаря постоянному совершенствованию процессов аудита безопасности и устранения уязвимостей, проектные команды все еще имеют возможность значительно повысить уровень своей защиты. В быстро развивающемся мире блокчейна безопасность всегда остается важной и актуальной темой.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
13 Лайков
Награда
13
9
Репост
Поделиться
комментарий
0/400
ForkYouPayMe
· 07-03 23:55
Потери в начале года действительно значительные.
Посмотреть ОригиналОтветить0
CrossChainBreather
· 07-02 18:57
разыгрывайте людей как лохов денег нет конца
Посмотреть ОригиналОтветить0
RebaseVictim
· 07-02 17:03
专业неудачники又被разыгрывайте людей как лохов
Посмотреть ОригиналОтветить0
RugDocDetective
· 07-02 16:57
Снова подвергся хакерской атаке, жду компенсацию.
Посмотреть ОригиналОтветить0
Web3ExplorerLin
· 07-02 16:54
*настраивает теоретическую линзу* увлекательно, как эти эксплойты отражают древнюю осадную войну, но в цифровых сферах...
Посмотреть ОригиналОтветить0
PaperHandsCriminal
· 07-02 16:52
Куда пропали зрители? На переднем плане продают жалость.
Web3 отчет по безопасности: Анализ методов атак Хакер в первой половине 2022 года и убытков в 644 миллиона долларов
Анализ методов хакерских атак в Web3: Прочие уязвимости и стратегии защиты в первой половине 2022 года
Недавно опубликованный отчет по безопасности Web3 глубоко анализирует общую ситуацию в области безопасности блокчейна за первую половину 2022 года. В этой статье будет уделено особое внимание методам атак, часто используемым хакерами в этот период, а также рассмотрены высокочастотные типы уязвимостей и меры по их предотвращению.
Масштаб потерь из-за уязвимостей за первое полугодие
Согласно данным одной платформы мониторинга безопасности блокчейнов, в первой половине 2022 года произошло 42 основных инцидента атак на контракты, что привело к общим потерям в размере 644 миллиона долларов. Среди всех эксплуатируемых уязвимостей наиболее распространенными были логические или функциональные дефекты проектирования, затем следуют проблемы валидации и уязвимости повторного входа. Эти атаки составили примерно 53% от всех инцидентов атак в тот же период.
Типичные случаи уязвимостей, приводящих к значительным потерям
3 февраля проект кросс-чейн моста подвергся атаке, в результате чего были потеряны около 326 миллионов долларов. Хакер использовал уязвимость проверки подписи в контракте для подделки учетных записей и создания большого количества токенов.
30 апреля некий кредитный протокол подвергся атаке через комбинацию флеш-займов и повторного входа, что привело к потерям в 80,34 миллиона долларов. Эта атака нанесла проекту смертельный удар, в результате чего он объявил о закрытии в августе.
В качестве примера вышеупомянутого кредитного соглашения, злоумышленник в основном использовал следующие шаги:
Высокочастотные уязвимости в процессе аудита
Наиболее распространенные уязвимости в аудите смарт-контрактов делятся на четыре категории:
Частые уязвимости и уровень обнаружения при аудите в реальных атаках
Согласно статистике по инцидентам безопасности, типы уязвимостей, обнаруженные в ходе аудита, сильно совпадают с уязвимостями, фактически использованными Хакерами, при этом логические уязвимости контрактов по-прежнему остаются основной точкой атаки.
Стоит отметить, что большинство вышеупомянутых уязвимостей могут быть выявлены на этапе аудита с помощью профессиональной платформы формальной верификации в сочетании с ручной проверкой безопасности экспертами. Эксперты по безопасности также могут предоставить рекомендации по исправлению обнаруженных проблем, помогая командам проектов снизить риски безопасности.
Таким образом, несмотря на то, что ситуация с безопасностью в области Web3 по-прежнему остается серьезной, благодаря постоянному совершенствованию процессов аудита безопасности и устранения уязвимостей, проектные команды все еще имеют возможность значительно повысить уровень своей защиты. В быстро развивающемся мире блокчейна безопасность всегда остается важной и актуальной темой.