Аналіз методів атаки веб3: поширені вразливості та стратегії захисту у першій половині 2022 року
Нещодавно опублікований звіт з дослідження безпеки Web3 детально проаналізував загальну ситуацію у сфері безпеки блокчейну за першу половину 2022 року. У цій статті буде зосереджено увагу на поширених способах атак, які використовують хакери в цей період, а також обговорено типи вразливостей, що виникають часто, та їхні засоби запобігання.
Втрата через вразливості, що сталися в першій половині року
Згідно з даними певної платформи моніторингу безпеки блокчейну, у першій половині 2022 року сталося 42 випадки атак на основні контракти, які призвели до загальних збитків у 644 мільйони доларів. Серед усіх експлуатованих вразливостей найбільш поширеними були логічні або функціональні дефекти проєктування, за ними слідували проблеми верифікації та повторні вразливості. Ці атаки становлять близько 53% від усіх атак, що сталися в той же період.
Типові випадки вразливостей, що завдають значних збитків
3 лютого певний міжланцюговий міст зазнав атаки, внаслідок чого було втрачено близько 3,26 мільярда доларів. Хакер скористався вразливістю перевірки підпису в контракті, підробивши облікові записи, щоб випустити велику кількість токенів.
30 квітня певний кредитний протокол зазнав атаки шляхом поєднання миттєвих кредитів і повторного входу, в результаті чого було втрачено 80,34 мільйона доларів. Ця атака завдала серйозного удару по проєкту, що зрештою призвело до оголошення про закриття в серпні.
В якості прикладу вище зазначеного кредитного договору, зловмисник в основному скористався такими кроками:
Взяти флеш-кредит з децентралізованої біржі
Використання вразливості повторного входу в контракті платформи кредитування для багаторазового позичання
В кінці витягніть всі токени з постраждалого пулу коштів.
Повернення блискавичного кредиту та передача отриманого від атаки
Високочастотні вразливості в процесі аудиту
Найбільш поширені вразливості в аудиті смарт-контрактів зазвичай діляться на чотири категорії:
Ризики атаки повторного входу в реалізації стандартів ERC721/ERC1155
Недоліки в проектуванні логіки контракту, такі як недостатній розгляд спеціальних ситуацій, неповна функціональність тощо
Важливі функції не мають контролю доступу
Ризик маніпуляцій цінами, наприклад, через неналежне використання оракулів тощо
Високочастотні вразливості та рівень виявлення аудиту в реальних атаках
Згідно зі статистикою безпекових інцидентів, типи вразливостей, виявлені під час аудиту, значною мірою збігаються з вразливостями, які насправді були використані хакерами, при цьому вразливості логіки контракту залишаються основними точками атаки.
Варто зазначити, що за допомогою професійних платформ формальної верифікації в поєднанні з ручною перевіркою експертів з безпеки, більшість вищезгаданих вразливостей можуть бути виявлені на етапі аудиту. Експерти з безпеки також можуть надати рекомендації щодо виправлення виявлених проблем, допомагаючи проектній стороні знизити ризики безпеки.
Отже, незважаючи на те, що ситуація з безпекою в сфері Web3 залишається напруженою, завдяки постійному вдосконаленню процесів аудиту безпеки та виправлення вразливостей, проєктні команди все ще мають можливість суттєво підвищити рівень своєї безпекової захисту. У швидко розвиваючому світі блокчейну безпека завжди є вічною темою, до якої потрібно ставитися з високою увагою.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
13 лайків
Нагородити
13
9
Репост
Поділіться
Прокоментувати
0/400
ForkYouPayMe
· 07-03 23:55
На початку року втрати дійсно чималі.
Переглянути оригіналвідповісти на0
CrossChainBreather
· 07-02 18:57
обдурювати людей, як лохів гроші без кінця
Переглянути оригіналвідповісти на0
RebaseVictim
· 07-02 17:03
Професійні невдахи знову обдурені людьми, як лохи
Переглянути оригіналвідповісти на0
RugDocDetective
· 07-02 16:57
Знову було зламано, чекаю на компенсацію.
Переглянути оригіналвідповісти на0
Web3ExplorerLin
· 07-02 16:54
*регулює теоретичну лінзу* цікаво, як ці експлойти відображають давню облогу війни, але в цифрових сферах...
Переглянути оригіналвідповісти на0
PaperHandsCriminal
· 07-02 16:52
Куди поділися спостерігачі? На передньому плані продають жалість.
Web3 звіт про безпеку: аналіз методів атак хакерів за перше півріччя 2022 року та збитків у розмірі 644 мільйонів доларів
Аналіз методів атаки веб3: поширені вразливості та стратегії захисту у першій половині 2022 року
Нещодавно опублікований звіт з дослідження безпеки Web3 детально проаналізував загальну ситуацію у сфері безпеки блокчейну за першу половину 2022 року. У цій статті буде зосереджено увагу на поширених способах атак, які використовують хакери в цей період, а також обговорено типи вразливостей, що виникають часто, та їхні засоби запобігання.
Втрата через вразливості, що сталися в першій половині року
Згідно з даними певної платформи моніторингу безпеки блокчейну, у першій половині 2022 року сталося 42 випадки атак на основні контракти, які призвели до загальних збитків у 644 мільйони доларів. Серед усіх експлуатованих вразливостей найбільш поширеними були логічні або функціональні дефекти проєктування, за ними слідували проблеми верифікації та повторні вразливості. Ці атаки становлять близько 53% від усіх атак, що сталися в той же період.
Типові випадки вразливостей, що завдають значних збитків
3 лютого певний міжланцюговий міст зазнав атаки, внаслідок чого було втрачено близько 3,26 мільярда доларів. Хакер скористався вразливістю перевірки підпису в контракті, підробивши облікові записи, щоб випустити велику кількість токенів.
30 квітня певний кредитний протокол зазнав атаки шляхом поєднання миттєвих кредитів і повторного входу, в результаті чого було втрачено 80,34 мільйона доларів. Ця атака завдала серйозного удару по проєкту, що зрештою призвело до оголошення про закриття в серпні.
В якості прикладу вище зазначеного кредитного договору, зловмисник в основному скористався такими кроками:
Високочастотні вразливості в процесі аудиту
Найбільш поширені вразливості в аудиті смарт-контрактів зазвичай діляться на чотири категорії:
Високочастотні вразливості та рівень виявлення аудиту в реальних атаках
Згідно зі статистикою безпекових інцидентів, типи вразливостей, виявлені під час аудиту, значною мірою збігаються з вразливостями, які насправді були використані хакерами, при цьому вразливості логіки контракту залишаються основними точками атаки.
Варто зазначити, що за допомогою професійних платформ формальної верифікації в поєднанні з ручною перевіркою експертів з безпеки, більшість вищезгаданих вразливостей можуть бути виявлені на етапі аудиту. Експерти з безпеки також можуть надати рекомендації щодо виправлення виявлених проблем, допомагаючи проектній стороні знизити ризики безпеки.
Отже, незважаючи на те, що ситуація з безпекою в сфері Web3 залишається напруженою, завдяки постійному вдосконаленню процесів аудиту безпеки та виправлення вразливостей, проєктні команди все ще мають можливість суттєво підвищити рівень своєї безпекової захисту. У швидко розвиваючому світі блокчейну безпека завжди є вічною темою, до якої потрібно ставитися з високою увагою.