Анализ ситуации безопасности Web3: распространенные методы атак и меры защиты в первой половине 2022 года
В первой половине 2022 года область Web3 часто подвергалась хакерским атакам, что приводило к значительным потерям. В этой статье будет подробно проанализировано, какие способы атаки чаще всего использовались хакерами в этот период, какие уязвимости наиболее часто эксплуатировались и как эффективно предотвратить такие атаки.
Обзор уязвимостей и атак за первое полугодие
Согласно данным платформы мониторинга состояния блокчейна, в первой половине 2022 года произошло 42 основных инцидента атак на контракты, что составляет 53% от всех видов атак. Эти атаки привели к ущербу в 644 миллиона долларов.
Среди всех используемых уязвимостей логические или неправильно спроектированные функции, проблемы валидации и уязвимости повторного входа являются тремя наиболее часто используемыми типами уязвимостей хакерами.
Анализ событий значительных убытков
3 февраля 2022 года, один проект кросс-цепочного моста подвергся атаке, в результате которой было потеряно около 326 миллионов долларов. Хакеры использовали уязвимость проверки подписи в контракте для подделки аккаунтов и выпуска токенов.
30 апреля 2022 года, некий кредитный протокол подвергся атаке с использованием флеш-займов, в результате чего было потеряно 80,34 миллиона долларов, что в конечном итоге привело к закрытию проекта.
Атакующий использовал флеш-займы для получения средств и осуществил залоговое кредитование в целевом протоколе. Из-за уязвимости повторного входа в контракт, атакующий через сконструированную функцию обратного вызова извлек все токены из затронутого пула.
Типичные уязвимости в аудитах
Резервные атаки ERC721/ERC1155
Логические уязвимости (отсутствие учета специальных сценариев, неполнота проектирования функций)
Отсутствие аутентификации
Манипуляция ценами
Анализ использования уязвимостей
Согласно данным мониторинга, уязвимости, обнаруженные в процессе аудита, почти все были использованы хакерами в реальных сценариях, при этом логические уязвимости контрактов остаются основной точкой атаки.
Важно отметить, что большинство этих уязвимостей можно выявить и исправить до запуска проекта с помощью профессиональных платформ для проверки умных контрактов и ручного аудита безопасности специалистами.
Рекомендации по предотвращению
Укрепить проектирование логики контрактов, особенно уделяя внимание обработке специальных сценариев.
Строгое внедрение контроля доступа и управления правами.
Используйте надежные оракулы цен, чтобы избежать манипуляций с ценами.
Следуйте модели "Проверка - Действие - Взаимодействие" для проектирования бизнес-функций.
Проведение комплексного аудита безопасности, включая обнаружение с помощью автоматизированных инструментов и ручную проверку экспертами.
Регулярно проводить оценку безопасности и исправление уязвимостей.
С развитием экосистемы Web3 вопросы безопасности будут продолжать оставаться в центре внимания. Команды проектов должны уделять внимание строительству безопасности, принимать многоуровневые меры защиты для снижения рисков атак. В то же время, вся отрасль должна постоянно совершенствовать стандарты безопасности и лучшие практики, совместно создавая более безопасную и надежную экосистему Web3.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
18 Лайков
Награда
18
5
Поделиться
комментарий
0/400
PerennialLeek
· 22ч назад
6.44 миллиарда долларов пропало. Спасибо, что купили рано, потеряли рано.
Посмотреть ОригиналОтветить0
ImpermanentLossEnjoyer
· 22ч назад
Бесплатных долларов стало еще больше
Посмотреть ОригиналОтветить0
LayerZeroEnjoyer
· 22ч назад
Еще одна жертва. CEX, быстро заблокируйте средства!
Анализ безопасности Web3: основные методы атак и стратегии предотвращения в первой половине 2022 года
Анализ ситуации безопасности Web3: распространенные методы атак и меры защиты в первой половине 2022 года
В первой половине 2022 года область Web3 часто подвергалась хакерским атакам, что приводило к значительным потерям. В этой статье будет подробно проанализировано, какие способы атаки чаще всего использовались хакерами в этот период, какие уязвимости наиболее часто эксплуатировались и как эффективно предотвратить такие атаки.
Обзор уязвимостей и атак за первое полугодие
Согласно данным платформы мониторинга состояния блокчейна, в первой половине 2022 года произошло 42 основных инцидента атак на контракты, что составляет 53% от всех видов атак. Эти атаки привели к ущербу в 644 миллиона долларов.
Среди всех используемых уязвимостей логические или неправильно спроектированные функции, проблемы валидации и уязвимости повторного входа являются тремя наиболее часто используемыми типами уязвимостей хакерами.
Анализ событий значительных убытков
3 февраля 2022 года, один проект кросс-цепочного моста подвергся атаке, в результате которой было потеряно около 326 миллионов долларов. Хакеры использовали уязвимость проверки подписи в контракте для подделки аккаунтов и выпуска токенов.
30 апреля 2022 года, некий кредитный протокол подвергся атаке с использованием флеш-займов, в результате чего было потеряно 80,34 миллиона долларов, что в конечном итоге привело к закрытию проекта.
Атакующий использовал флеш-займы для получения средств и осуществил залоговое кредитование в целевом протоколе. Из-за уязвимости повторного входа в контракт, атакующий через сконструированную функцию обратного вызова извлек все токены из затронутого пула.
Типичные уязвимости в аудитах
Анализ использования уязвимостей
Согласно данным мониторинга, уязвимости, обнаруженные в процессе аудита, почти все были использованы хакерами в реальных сценариях, при этом логические уязвимости контрактов остаются основной точкой атаки.
Важно отметить, что большинство этих уязвимостей можно выявить и исправить до запуска проекта с помощью профессиональных платформ для проверки умных контрактов и ручного аудита безопасности специалистами.
Рекомендации по предотвращению
С развитием экосистемы Web3 вопросы безопасности будут продолжать оставаться в центре внимания. Команды проектов должны уделять внимание строительству безопасности, принимать многоуровневые меры защиты для снижения рисков атак. В то же время, вся отрасль должна постоянно совершенствовать стандарты безопасности и лучшие практики, совместно создавая более безопасную и надежную экосистему Web3.