Анализ основных методов атак в области Web3 за первую половину 2022 года и стратегий их предотвращения
В области безопасности блокчейна в первой половине 2022 года наблюдаются некоторые тенденции, заслуживающие внимания. Анализируя инциденты безопасности за этот период, мы можем понять распространенные методы атак хакеров и то, как лучше защищаться от этих угроз.
Обзор убытков, вызванных уязвимостями
Согласно мониторингу данных, в первой половине 2022 года произошло 42 основных инцидента атак на контракты, что привело к убыткам около 644 миллионов долларов. Среди всех использованных уязвимостей логические или функциональные недостатки проектирования были самыми распространенными, за ними следуют проблемы валидации и уязвимости повторного входа. Это указывает на то, что в процессе проектирования и разработки контрактов существует значительный потенциал для повышения безопасности.
Анализ типичных инцидентов безопасности
В начале февраля один из проектов кросс-цепочки подвергся масштабной атаке, с потерями до 326 миллионов долларов. Хакеры использовали уязвимость в проверке подписи контракта, успешно подделали учетные записи и выпустили токены. Это подчеркивает уязвимость кросс-цепочных проектов в их дизайне.
В конце апреля один из кредитных протоколов подвергся атаке с использованием мгновенного займа, в результате чего были потеряны более 80 миллионов долларов. Нападающий использовал уязвимость повторного входа в протокол, что в конечном итоге привело к принудительному закрытию проекта. Этот инцидент еще раз подтвердил опасность уязвимости повторного входа и мощь атак с использованием мгновенных займов.
Распространенные типы уязвимостей
Наиболее распространенные уязвимости в процессе аудита можно условно разделить на четыре категории:
Ретроатакующие уязвимости, связанные со стандартами ERC721/ERC1155
Дефекты проектирования логики контракта
Ключевая функция отсутствует контроль доступа
Уязвимость манипуляции ценами
Среди них логические уязвимости контрактов по-прежнему являются наиболее часто используемым вектором атак хакеров. Хорошая новость заключается в том, что с помощью профессионального аудита смарт-контрактов и формальной верификации большинство из этих уязвимостей можно обнаружить и устранить на стадии разработки.
Рекомендации по предотвращению
Строго следуйте дизайну "Проверка - Вступление в силу - Взаимодействие", чтобы предотвратить атаки повторного входа.
Полное рассмотрение специальных сценариев, совершенствование проектирования функций контракта
Добавить строгий контроль доступа к ключевым функциям
Используйте надежные оракулы, чтобы избежать манипуляций с ценами
Провести полную безопасность аудит, особенно сосредоточившись на логических уязвимостях
Будьте бдительны, постоянно контролируйте состояние выполнения контракта
В целом, с быстрым развитием экосистемы Web3 проблемы безопасности остаются одной из главных задач. Проектам необходимо уделять больше внимания безопасности контрактов, используя профессиональные аудиты и другие методы для全面 повышения безопасности. В то же время, всей отрасли необходимо постоянно подводить итоги и извлекать уроки, совместно создавая более безопасную и надежную экосистему Web3.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
17 Лайков
Награда
17
4
Поделиться
комментарий
0/400
mev_me_maybe
· 07-16 09:54
Сколько же уязвимостей!
Посмотреть ОригиналОтветить0
PumpAnalyst
· 07-14 15:10
С такой безопасностью еще смеют разыгрывать людей как лохов?
Посмотреть ОригиналОтветить0
BearEatsAll
· 07-14 15:10
42 атаки это серьезно?
Посмотреть ОригиналОтветить0
SignatureCollector
· 07-14 15:06
Проблема с верификацией снова возникла, это очень сложно.
Анализ безопасности Web3 контрактов: интерпретация методов атак и стратегий предотвращения за первую половину 2022 года
Анализ основных методов атак в области Web3 за первую половину 2022 года и стратегий их предотвращения
В области безопасности блокчейна в первой половине 2022 года наблюдаются некоторые тенденции, заслуживающие внимания. Анализируя инциденты безопасности за этот период, мы можем понять распространенные методы атак хакеров и то, как лучше защищаться от этих угроз.
Обзор убытков, вызванных уязвимостями
Согласно мониторингу данных, в первой половине 2022 года произошло 42 основных инцидента атак на контракты, что привело к убыткам около 644 миллионов долларов. Среди всех использованных уязвимостей логические или функциональные недостатки проектирования были самыми распространенными, за ними следуют проблемы валидации и уязвимости повторного входа. Это указывает на то, что в процессе проектирования и разработки контрактов существует значительный потенциал для повышения безопасности.
Анализ типичных инцидентов безопасности
В начале февраля один из проектов кросс-цепочки подвергся масштабной атаке, с потерями до 326 миллионов долларов. Хакеры использовали уязвимость в проверке подписи контракта, успешно подделали учетные записи и выпустили токены. Это подчеркивает уязвимость кросс-цепочных проектов в их дизайне.
В конце апреля один из кредитных протоколов подвергся атаке с использованием мгновенного займа, в результате чего были потеряны более 80 миллионов долларов. Нападающий использовал уязвимость повторного входа в протокол, что в конечном итоге привело к принудительному закрытию проекта. Этот инцидент еще раз подтвердил опасность уязвимости повторного входа и мощь атак с использованием мгновенных займов.
Распространенные типы уязвимостей
Наиболее распространенные уязвимости в процессе аудита можно условно разделить на четыре категории:
Среди них логические уязвимости контрактов по-прежнему являются наиболее часто используемым вектором атак хакеров. Хорошая новость заключается в том, что с помощью профессионального аудита смарт-контрактов и формальной верификации большинство из этих уязвимостей можно обнаружить и устранить на стадии разработки.
Рекомендации по предотвращению
В целом, с быстрым развитием экосистемы Web3 проблемы безопасности остаются одной из главных задач. Проектам необходимо уделять больше внимания безопасности контрактов, используя профессиональные аудиты и другие методы для全面 повышения безопасности. В то же время, всей отрасли необходимо постоянно подводить итоги и извлекать уроки, совместно создавая более безопасную и надежную экосистему Web3.