Анализ методов хакерских атак в Web3: распространенные способы атак и стратегии защиты в первой половине 2022 года

В первой половине 2022 года ситуация с безопасностью в области Web3 оставляла желать лучшего. Данные показывают, что только из-за уязвимостей в контрактах произошло 42 значительных атаки, общие потери составили 644 миллиона долларов. В этих атаках логические или функциональные недостатки проектирования были наиболее часто используемыми уязвимостями хакеров, за ними следуют проблемы валидации и уязвимости повторного входа.

Обзор серьезных событий потерь

3 февраля проект межсетевого моста подвергся атаке, в результате чего был потерян около 3,26 миллиарда долларов. Хакер воспользовался уязвимостью проверки подписи в контракте и успешно подделал учетную запись для выпуска токенов.

30 апреля определенный кредитный протокол подвергся атаке с использованием флеш-кредита и повторного ввода, что привело к убыткам в 80,34 миллиона долларов. Эта атака нанесла проекту смертельный удар, в результате чего 20 августа проект объявил о закрытии.

Анализ случаев атак

В качестве примера атаки на вышеупомянутое соглашение о займе, злоумышленник в первую очередь использовал следующие шаги:

1. Взять флеш-кредит из определенного фонда
2. Использование уязвимости повторного входа в контракте кредитной платформы для залогового кредитования
3. Извлечение всех токенов из пула с помощью сконструированной атакующей функции
4. Возврат кредитов на мгновенное заимствование, перевод прибыли

Эта атака в основном использовала уязвимость повторного входа в контракте, реализованную на одной из платформ кредитования, что привело к потерям более 28380 ETH (около 8034 миллионов долларов США).

Распространенные типы уязвимостей

Наиболее распространенные уязвимости в процессе аудита можно разделить на четыре основные категории:

1. Атака повторного входа ERC721/ERC1155
2. Логические уязвимости (недостаточное внимание к специальным сценариям, недостаточная проработка функционального дизайна)
3. Отсутствие аутентификации
4. Манипуляция ценами

Фактически использованные уязвимости и обнаружения в ходе аудита

На практике уязвимости логики контрактов по-прежнему являются основным типом, который используется. Стоит отметить, что большинство из этих уязвимостей можно обнаружить на этапе аудита с помощью платформы формальной верификации смарт-контрактов и экспертной ручной проверки.

Рекомендации по предотвращению

1. Укрепить проектирование логики контракта, особенно обратить внимание на обработку особых сценариев
2. Строго следуйте модели проверки-активации-взаимодействия, чтобы предотвратить повторные атаки.
3. Улучшить механизм аутентификации, особенно контроль доступа к ключевым функциям
4. Используйте надежные ценовые оракулы, чтобы избежать манипуляций с ценами
5. Регулярно проводить аудит безопасности и своевременно устранять обнаруженные уязвимости

Путем постоянного мониторинга ситуации с безопасностью и принятия комплексных мер защиты, проекты Web3 могут значительно повысить безопасность и снизить риск атак.