Аналіз методів хакерських атак у сфері Web3 за першу половину 2022 року
У першій половині 2022 року безпекова ситуація у сфері Web3 була серйозною. Дані показують, що основних атак, спричинених вразливостями в смарт-контрактах, було зафіксовано 42, а загальні збитки становили 644 мільйони доларів. У цих атаках частка використання вразливостей контрактів перевищує половину.
Загальні методи атак
Аналіз показує, що найчастіше хакери використовують такі типи вразливостей:
Дизайн функцій логічного або з дефектами
Проблема механізму верифікації
Уразливість повторного входу
Серед них, логічні недоліки дизайну є найбільш використовуваним типом уразливостей.
Випадки значних втрат
Крос-чейн міст Wormhole на Solana зазнав атаки, втративши 3,26 мільярда доларів. Атакуючий скористався вразливістю перевірки підписів, підробивши обліковий запис для випуску wETH.
Rari Fuse Pool протоколу Fei зазнав атаки з використанням флеш-кредитів, втративши 80,34 мільйона доларів США. Ця атака призвела до остаточного закриття проекту. Зловмисник скористався вразливістю повторного входу, використовуючи флеш-кредити та конструкцію зворотних викликів, щоб висосати всі токени з ураженого пулу.
Загальні вразливості в аудиті
Атака повторного входу ERC721/ERC1155: функція сповіщення про переказ може бути зловмисно використана.
Логічна уразливість:
Недостатньо враховані спеціальні ситуації
Проектування функцій не завершене
Відсутність контролю доступу: ключові операції не мають належної перевірки прав.
Маніпуляція цінами:
Неправильне використання Oracle
Неправильний спосіб розрахунку ціни
Запобігання вразливостям
Більшість вразливостей, які були використані, можна виявити на етапі аудиту. Рекомендується сторонам проекту:
Проведення всебічного аудиту смарт-контрактів
Використання інструментів формальної перевірки
Поєднання експертної ручної перевірки
Уважно ставитися до виявлених під час аудиту проблем та своєчасно їх усувати
За допомогою суворих заходів безпеки можна ефективно знизити ризик атак і захистити активи користувачів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
24 лайків
Нагородити
24
9
Репост
Поділіться
Прокоментувати
0/400
fren_with_benefits
· 07-06 15:12
Смартконтракти з вразливостями стали причиною інциденту. Не панікуйте, це було в прогнозах.
Переглянути оригіналвідповісти на0
TokenSherpa
· 07-05 22:32
насправді, досить передбачувано з огляду на відсутність належних рамок управління... ми це передбачали з четвертого кварталу 2021 року
Переглянути оригіналвідповісти на0
GlueGuy
· 07-03 18:39
Знову когось обдурили, як лоха?
Переглянути оригіналвідповісти на0
StableGeniusDegen
· 07-03 15:48
невдахи обдурювати людей, як лохів також легкого.
Переглянути оригіналвідповісти на0
LiquidityOracle
· 07-03 15:47
Це збиток, я Рект, добре?
Переглянути оригіналвідповісти на0
ColdWalletGuardian
· 07-03 15:42
Білі капелюхи чи чорні капелюхи, який прибуток вищий?
Переглянути оригіналвідповісти на0
SeasonedInvestor
· 07-03 15:40
Ці гроші всі забрали хакери
Переглянути оригіналвідповісти на0
StakeTillRetire
· 07-03 15:37
Смартконтракти вразливості? Знову заробляємо лежачи.
У секторі Web3 в першій половині 2022 року втрати від хакерських атак склали 644 мільйони доларів, уразливості смартконтрактів стали основною метою.
Аналіз методів хакерських атак у сфері Web3 за першу половину 2022 року
У першій половині 2022 року безпекова ситуація у сфері Web3 була серйозною. Дані показують, що основних атак, спричинених вразливостями в смарт-контрактах, було зафіксовано 42, а загальні збитки становили 644 мільйони доларів. У цих атаках частка використання вразливостей контрактів перевищує половину.
Загальні методи атак
Аналіз показує, що найчастіше хакери використовують такі типи вразливостей:
Серед них, логічні недоліки дизайну є найбільш використовуваним типом уразливостей.
Випадки значних втрат
Крос-чейн міст Wormhole на Solana зазнав атаки, втративши 3,26 мільярда доларів. Атакуючий скористався вразливістю перевірки підписів, підробивши обліковий запис для випуску wETH.
Rari Fuse Pool протоколу Fei зазнав атаки з використанням флеш-кредитів, втративши 80,34 мільйона доларів США. Ця атака призвела до остаточного закриття проекту. Зловмисник скористався вразливістю повторного входу, використовуючи флеш-кредити та конструкцію зворотних викликів, щоб висосати всі токени з ураженого пулу.
Загальні вразливості в аудиті
Запобігання вразливостям
Більшість вразливостей, які були використані, можна виявити на етапі аудиту. Рекомендується сторонам проекту:
За допомогою суворих заходів безпеки можна ефективно знизити ризик атак і захистити активи користувачів.