Анализ безопасности Web3: Анализ методов атак хакеров в первой половине 2022 года
В первой половине 2022 года в области Web3 произошло несколько крупных инцидентов безопасности, которые привели к огромным потерям. В этой статье будет проведен глубокий анализ атак, часто используемых хакерами в этот период, исследуем, какие уязвимости наиболее часто эксплуатировались и как эффективно предотвратить их.
Убытки от атак с уязвимостями за первое полугодие
Данные показывают, что в первой половине 2022 года произошло 42 основных инцидента атак на контракты с общими убытками в размере 644 миллиона долларов. Среди всех использованных уязвимостей наиболее часто злоумышленники использовали логические или функциональные ошибки, за ними следуют проблемы с валидацией и уязвимости повторного входа. Эти атаки составляют около 53% от общего числа инцидентов.
Анализ событий значительных убытков
Мост Wormhole подвергся атаке
3 февраля 2022 года, один из проектов кросс-цепочного моста подвергся атаке, с убытками около 326 миллионов долларов. Хакер использовал уязвимость проверки подписи в контракте, успешно подделав системную учетную запись для выпуска токенов.
Протокол Fei подвергся атаке с использованием кредитов на мгновенной основе
30 апреля 2022 года, один из кредитных протоколов подвергся атаке с использованием флеш-кредита и повторного входа, что привело к убыткам в размере 80,34 миллиона долларов. Эта атака нанесла проекту смертельный удар, в результате чего проект объявил о закрытии 20 августа.
Атакующий использовал уязвимость повторного входа в протоколе, выполнив атаку следующими шагами:
Получение флеш-кредита из пула ликвидности
Использование уязвимости повторного входа в кредитном соглашении
Извлечение всех токенов из затронутого пула путем атаки на контракт
Возврат闪电贷, передача полученных средств от атаки
Распространенные типы уязвимостей
В процессе аудита наиболее распространенные уязвимости можно разделить на четыре большие категории:
Ребейт-атака ERC721/ERC1155
Логическая уязвимость (отсутствие учета специальных сценариев, недостатки в проектировании функций)
Отсутствие аутентификации
Манипуляция ценами
Фактически использованные уязвимости и рекомендации по аудиту
Данные показывают, что уязвимости, обнаруженные в процессе аудита, почти все были использованы Хакерами в реальных сценариях, при этом логические уязвимости контрактов по-прежнему являются основной целью атак.
С помощью профессиональной платформы верификации смарт-контрактов и ручного аудита от специалистов по безопасности, большинство из этих уязвимостей могут быть своевременно обнаружены на этапе аудита. Специалисты по безопасности могут предложить соответствующие рекомендации по исправлению после оценки, помогая командам проектов повысить безопасность контрактов.
Таким образом, аудит безопасности контрактов имеет решающее значение для проектов Web3. Команды проекта должны придавать значение вопросам безопасности и проводить всесторонний аудит безопасности своевременно, чтобы предотвратить потенциальные риски атак.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
15 Лайков
Награда
15
7
Поделиться
комментарий
0/400
OffchainOracle
· 07-26 08:23
Каждый год черные, неудачники не учатся на своих ошибках
Посмотреть ОригиналОтветить0
ProxyCollector
· 07-26 02:26
Снова будут играть для лохов, как вкусно!
Посмотреть ОригиналОтветить0
ChainBrain
· 07-25 08:15
Эти белые шляпы все еще слишком мало.
Посмотреть ОригиналОтветить0
HodlVeteran
· 07-23 17:09
Старые неудачники погибли, не говорим о проектах, только о потерях.
Посмотреть ОригиналОтветить0
SilentObserver
· 07-23 16:57
Более 600 миллионов долларов просто пропали. Быстро.
Анализ методов хакерских атак на Web3 в первой половине 2022 года: логические уязвимости контрактов стали основной целью
Анализ безопасности Web3: Анализ методов атак хакеров в первой половине 2022 года
В первой половине 2022 года в области Web3 произошло несколько крупных инцидентов безопасности, которые привели к огромным потерям. В этой статье будет проведен глубокий анализ атак, часто используемых хакерами в этот период, исследуем, какие уязвимости наиболее часто эксплуатировались и как эффективно предотвратить их.
Убытки от атак с уязвимостями за первое полугодие
Данные показывают, что в первой половине 2022 года произошло 42 основных инцидента атак на контракты с общими убытками в размере 644 миллиона долларов. Среди всех использованных уязвимостей наиболее часто злоумышленники использовали логические или функциональные ошибки, за ними следуют проблемы с валидацией и уязвимости повторного входа. Эти атаки составляют около 53% от общего числа инцидентов.
Анализ событий значительных убытков
Мост Wormhole подвергся атаке
3 февраля 2022 года, один из проектов кросс-цепочного моста подвергся атаке, с убытками около 326 миллионов долларов. Хакер использовал уязвимость проверки подписи в контракте, успешно подделав системную учетную запись для выпуска токенов.
Протокол Fei подвергся атаке с использованием кредитов на мгновенной основе
30 апреля 2022 года, один из кредитных протоколов подвергся атаке с использованием флеш-кредита и повторного входа, что привело к убыткам в размере 80,34 миллиона долларов. Эта атака нанесла проекту смертельный удар, в результате чего проект объявил о закрытии 20 августа.
Атакующий использовал уязвимость повторного входа в протоколе, выполнив атаку следующими шагами:
Распространенные типы уязвимостей
В процессе аудита наиболее распространенные уязвимости можно разделить на четыре большие категории:
Фактически использованные уязвимости и рекомендации по аудиту
Данные показывают, что уязвимости, обнаруженные в процессе аудита, почти все были использованы Хакерами в реальных сценариях, при этом логические уязвимости контрактов по-прежнему являются основной целью атак.
С помощью профессиональной платформы верификации смарт-контрактов и ручного аудита от специалистов по безопасности, большинство из этих уязвимостей могут быть своевременно обнаружены на этапе аудита. Специалисты по безопасности могут предложить соответствующие рекомендации по исправлению после оценки, помогая командам проектов повысить безопасность контрактов.
Таким образом, аудит безопасности контрактов имеет решающее значение для проектов Web3. Команды проекта должны придавать значение вопросам безопасности и проводить всесторонний аудит безопасности своевременно, чтобы предотвратить потенциальные риски атак.