Аналіз основних методів атак та стратегій запобігання у сфері Web3 за перше півріччя 2022 року
У сфері безпеки блокчейну перша половина 2022 року продемонструвала кілька тенденцій, які варто взяти до уваги. Аналізуючи безпекові інциденти цього періоду, ми можемо зрозуміти, які методи атаки найчастіше використовують хакери, а також як краще запобігти цим загрозам.
Загальний огляд втрат, викликаних уразливостями
Згідно з даними моніторингу, у першій половині 2022 року сталося 42 основних інциденти атак на контракти, що призвело до збитків приблизно в 644 мільйони доларів США. Серед усіх використаних вразливостей найпоширенішими є логічні або функціональні недоліки проектування, далі йдуть проблеми верифікації та повторних входів. Це свідчить про те, що в етапі проектування та розробки контрактів є ще велике поле для покращення безпеки.
Аналіз типових інцидентів безпеки
На початку лютого певний крос-чейн міст проект зазнав масованої атаки, внаслідок якої було втрачено до 326 мільйонів доларів. Хакери використали уразливість перевірки підписів у контракті, успішно підробивши облікові записи та випустивши токени. Це підкреслює вразливість крос-чейн проектів у їхньому дизайні.
В кінці квітня один з кредитних протоколів зазнав атаки через блискавичні позики, в результаті чого було втрачено понад 80 мільйонів доларів. Зловмисник скористався вразливістю повторного входу в протокол, внаслідок чого проект був змушений закритися. Ця подія ще раз підтвердила небезпеку вразливостей повторного входу та потужність атак через блискавичні позики.
Загальні типи вразливостей
В ході аудиту найпоширеніші вразливості можна умовно поділити на чотири категорії:
Пов'язані з стандартами ERC721/ERC1155 повторні атаки
Дефекти проектування логіки контракту
Важлива функція не має контролю доступу
Вразливість маніпуляції цінами
Серед них логічні вразливості контрактів залишаються найпоширенішими векторами атак, які використовують хакери. Хороша новина полягає в тому, що завдяки професійним аудитам смарт-контрактів і формальній верифікації більшість цих вразливостей можна виявити та виправити на етапі розробки.
Рекомендації щодо запобігання
Суворо дотримуйтесь дизайну "Перевірка-Вплив-Взаємодія", щоб запобігти атакам повторного входу.
Уважно розгляньте спеціальні сценарії, вдоскональте проектування функцій контракту.
Додати строгий контроль доступу для ключових функцій
Використовуйте надійні оракули, щоб уникнути маніпуляцій з цінами
Провести комплексний аудит безпеки, особливо звертаючи увагу на логічні вразливості
Будьте обережні, постійно контролюйте стан виконання контракту
У цілому, з швидким розвитком екосистеми Web3, питання безпеки залишається великою проблемою. Проектам потрібно більше уваги приділяти безпеці контрактів, повністю підвищуючи безпеку за допомогою професійного аудиту та інших заходів. Водночас, усій галузі потрібно постійно підбивати підсумки та навчатися на помилках, щоб спільно побудувати більш безпечну та надійну екосистему Web3.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
17 лайків
Нагородити
17
4
Репост
Поділіться
Прокоментувати
0/400
mev_me_maybe
· 07-16 09:54
Стільки вразливостей?
Переглянути оригіналвідповісти на0
PumpAnalyst
· 07-14 15:10
З такою безпекою смієте обдурювати людей, як лохів?
Переглянути оригіналвідповісти на0
BearEatsAll
· 07-14 15:10
42 атаки це серйозно?
Переглянути оригіналвідповісти на0
SignatureCollector
· 07-14 15:06
Проблема з верифікацією знову виникла, це справді важко витримати.
Аналіз безпеки контрактів Web3: розгляд методів атак та стратегій запобігання у першій половині 2022 року
Аналіз основних методів атак та стратегій запобігання у сфері Web3 за перше півріччя 2022 року
У сфері безпеки блокчейну перша половина 2022 року продемонструвала кілька тенденцій, які варто взяти до уваги. Аналізуючи безпекові інциденти цього періоду, ми можемо зрозуміти, які методи атаки найчастіше використовують хакери, а також як краще запобігти цим загрозам.
Загальний огляд втрат, викликаних уразливостями
Згідно з даними моніторингу, у першій половині 2022 року сталося 42 основних інциденти атак на контракти, що призвело до збитків приблизно в 644 мільйони доларів США. Серед усіх використаних вразливостей найпоширенішими є логічні або функціональні недоліки проектування, далі йдуть проблеми верифікації та повторних входів. Це свідчить про те, що в етапі проектування та розробки контрактів є ще велике поле для покращення безпеки.
Аналіз типових інцидентів безпеки
На початку лютого певний крос-чейн міст проект зазнав масованої атаки, внаслідок якої було втрачено до 326 мільйонів доларів. Хакери використали уразливість перевірки підписів у контракті, успішно підробивши облікові записи та випустивши токени. Це підкреслює вразливість крос-чейн проектів у їхньому дизайні.
В кінці квітня один з кредитних протоколів зазнав атаки через блискавичні позики, в результаті чого було втрачено понад 80 мільйонів доларів. Зловмисник скористався вразливістю повторного входу в протокол, внаслідок чого проект був змушений закритися. Ця подія ще раз підтвердила небезпеку вразливостей повторного входу та потужність атак через блискавичні позики.
Загальні типи вразливостей
В ході аудиту найпоширеніші вразливості можна умовно поділити на чотири категорії:
Серед них логічні вразливості контрактів залишаються найпоширенішими векторами атак, які використовують хакери. Хороша новина полягає в тому, що завдяки професійним аудитам смарт-контрактів і формальній верифікації більшість цих вразливостей можна виявити та виправити на етапі розробки.
Рекомендації щодо запобігання
У цілому, з швидким розвитком екосистеми Web3, питання безпеки залишається великою проблемою. Проектам потрібно більше уваги приділяти безпеці контрактів, повністю підвищуючи безпеку за допомогою професійного аудиту та інших заходів. Водночас, усій галузі потрібно постійно підбивати підсумки та навчатися на помилках, щоб спільно побудувати більш безпечну та надійну екосистему Web3.