تحليل طرق الهجوم الشائعة في مجال Web3 في النصف الأول من عام 2022
في النصف الأول من عام 2022، لا تزال الأوضاع الأمنية في مجال Web3 صارمة. ستقوم هذه المقالة بتحليل عميق لأساليب الهجوم الشائعة خلال هذه الفترة، واستكشاف تكرارها وتدابير الوقاية.
نظرة عامة على الأضرار الناتجة عن الثغرات الأمنية
وفقًا لبيانات منصة مراقبة أمان blockchain، حدثت 42 هجمة رئيسية على العقود الذكية في النصف الأول من عام 2022، وهو ما يمثل حوالي 53% من جميع أحداث الهجوم. وقد أدت هذه الهجمات إلى خسائر إجمالية بلغت 644 مليون دولار.
من بين جميع الثغرات المستغلة، تعتبر ثغرات المنطق أو تصميم الوظائف هي الأكثر استغلالًا من قبل القراصنة، تليها مشاكل التحقق وثغرات إعادة الإدخال.
تحليل أحداث الخسائر الكبيرة
حدث هجوم جسر Wormhole عبر السلاسل
في 3 فبراير 2022، تم مهاجمة مشروع جسر عبر السلاسل في نظام سولانا البيئي، وورم هول، مما أدى إلى خسارة حوالي 326 مليون دولار. استغل المهاجم ثغرة في التحقق من التوقيع في العقد، واحتال لإنشاء كمية كبيرة من wETH.
حدث هجوم بروتوكول في
في 30 أبريل 2022، تعرضت مجموعة Rari Fuse التابعة لبروتوكول Fei لهجوم قرض فوري وإعادة دخول، مما أدى إلى خسارة قدرها 80.34 مليون دولار. كانت هذه الهجمة ضربة قاتلة للمشروع، مما أدى في النهاية إلى إعلان المشروع عن إغلاقه في 20 أغسطس.
استغل المهاجمون ثغرة إعادة الإدخال الموجودة في عقد تنفيذ cEther الخاص بـ Rari Capital. تسلسل الهجوم كالتالي:
يحصل المهاجم على قرض سريع من Balancer.
استخدام أموال القرض الفوري في Rari Capital لإجراء الإقراض بالضمانات، مع استغلال ثغرة إعادة الدخول.
من خلال استدعاء دالة الهجوم المُعدة، يتم استخراج جميع الرموز من المسبح المتأثر.
إرجاع قرض اللمعان، وتحويل عائدات الهجوم.
أنواع الثغرات الشائعة في التدقيق
هجوم إعادة الدخول على ERC721/ERC1155:
استخدام وظيفة إشعار التحويل في المعيار لشن هجوم إعادة الإدخال
لم تلتزم الدالة التجارية بدقة بنمط الفحص - السريان - التفاعل
ثغرة منطقية:
عدم مراعاة السيناريوهات الخاصة بشكل كافٍ، مثل التحويل الذاتي الذي يؤدي إلى زيادة غير مبررة في الرموز.
تصميم الوظائف غير مكتمل، مثل نقص آلية السحب أو التسوية
نقص في المصادقة:
الميزات الرئيسية (مثل سك العملة، إعدادات الشخصيات) تفتقر إلى التحكم في الأذونات
التحكم في الأسعار:
سوء استخدام أو نقص في الأوراكيل
استخدام نسبة رصيد الرموز داخل العقد مباشرة كمرجع للسعر
استغلال الثغرات في الهجمات الفعلية
وفقًا لبيانات المراقبة الأمنية، تم استغلال أنواع الثغرات التي تم اكتشافها خلال التدقيق في الهجمات الفعلية تقريبًا، حيث لا تزال ثغرات منطق العقد هي الوسيلة الرئيسية للهجمات.
من المهم أن نلاحظ أنه من خلال منصات التحقق من العقود الذكية المهنية ومراجعة الخبراء الأمنيين، يمكن اكتشاف وإصلاح معظم هذه الثغرات قبل إطلاق المشروع. لذلك، فإن إجراء تدقيق أمني شامل أمر بالغ الأهمية للوقاية من الهجمات المحتملة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تحليل هجمات Web3 في النصف الأول من عام 2022: خسائر الثغرات 6.44 مليار دولار والطقوس المنطقية للعقود تصبح نقطة اختراق رئيسية
تحليل طرق الهجوم الشائعة في مجال Web3 في النصف الأول من عام 2022
في النصف الأول من عام 2022، لا تزال الأوضاع الأمنية في مجال Web3 صارمة. ستقوم هذه المقالة بتحليل عميق لأساليب الهجوم الشائعة خلال هذه الفترة، واستكشاف تكرارها وتدابير الوقاية.
نظرة عامة على الأضرار الناتجة عن الثغرات الأمنية
وفقًا لبيانات منصة مراقبة أمان blockchain، حدثت 42 هجمة رئيسية على العقود الذكية في النصف الأول من عام 2022، وهو ما يمثل حوالي 53% من جميع أحداث الهجوم. وقد أدت هذه الهجمات إلى خسائر إجمالية بلغت 644 مليون دولار.
من بين جميع الثغرات المستغلة، تعتبر ثغرات المنطق أو تصميم الوظائف هي الأكثر استغلالًا من قبل القراصنة، تليها مشاكل التحقق وثغرات إعادة الإدخال.
تحليل أحداث الخسائر الكبيرة
حدث هجوم جسر Wormhole عبر السلاسل
في 3 فبراير 2022، تم مهاجمة مشروع جسر عبر السلاسل في نظام سولانا البيئي، وورم هول، مما أدى إلى خسارة حوالي 326 مليون دولار. استغل المهاجم ثغرة في التحقق من التوقيع في العقد، واحتال لإنشاء كمية كبيرة من wETH.
حدث هجوم بروتوكول في
في 30 أبريل 2022، تعرضت مجموعة Rari Fuse التابعة لبروتوكول Fei لهجوم قرض فوري وإعادة دخول، مما أدى إلى خسارة قدرها 80.34 مليون دولار. كانت هذه الهجمة ضربة قاتلة للمشروع، مما أدى في النهاية إلى إعلان المشروع عن إغلاقه في 20 أغسطس.
استغل المهاجمون ثغرة إعادة الإدخال الموجودة في عقد تنفيذ cEther الخاص بـ Rari Capital. تسلسل الهجوم كالتالي:
أنواع الثغرات الشائعة في التدقيق
استغلال الثغرات في الهجمات الفعلية
وفقًا لبيانات المراقبة الأمنية، تم استغلال أنواع الثغرات التي تم اكتشافها خلال التدقيق في الهجمات الفعلية تقريبًا، حيث لا تزال ثغرات منطق العقد هي الوسيلة الرئيسية للهجمات.
من المهم أن نلاحظ أنه من خلال منصات التحقق من العقود الذكية المهنية ومراجعة الخبراء الأمنيين، يمكن اكتشاف وإصلاح معظم هذه الثغرات قبل إطلاق المشروع. لذلك، فإن إجراء تدقيق أمني شامل أمر بالغ الأهمية للوقاية من الهجمات المحتملة.