Анализ методов атак в экосистеме Web3: стратегии и меры противодействия, часто используемые хакерами в первой половине 2022 года

В первой половине 2022 года экосистема Web3 столкнулась с несколькими серьезными инцидентами безопасности. Эта статья глубоко проанализирует наиболее распространенные методы атак, используемые хакерами в этот период, исследует, какие уязвимости привели к значительным потерям, а также как эффективно предотвратить эти риски на этапах разработки и аудита проектов.

Общие потери от атак на уязвимости

Данные показывают, что в первой половине 2022 года произошло 42 основных инцидента атак на контракты, что составляет около 53% от всех способов атак. Эти атаки в общей сложности привели к убыткам в 644 миллиона долларов. Среди уязвимостей, которые были использованы, логические или функциональные дефекты проектирования являются наиболее распространенной целью для Хакеров, за ними следуют проблемы валидации и уязвимости повторного входа.

Типичный случай, приводящий к значительным потерям

Событие атаки на кроссчейн-мост Wormhole

3 февраля 2022 года кроссчейн-мост проекта экосистемы Solana Wormhole был атакован, в результате чего потери составили до 326 миллионов долларов. Хакер использовал уязвимость в проверке подписи контракта, успешно подделав системный аккаунт для выпуска wETH.

Протокол Fei подвергся атаке с использованием флеш-займа.

30 апреля 2022 года пул Rari Fuse протокола Fei стал жертвой атаки с использованием флеш-займов и повторного входа, в результате чего убытки составили 80,34 миллиона долларов. Эта атака нанесла проекту разрушительный удар, в конечном итоге 20 августа проект объявил о закрытии.

Атакующие в основном использовали следующие шаги:

1. Получите флеш-кредит из Balancer: Vault
2. Используйте заем для залога и кредитования в Rari Capital, одновременно используя cEther для реализации уязвимости повторного входа в контракт.
3. Извлечение всех токенов из затронутого пула путем атаки на определенные функции контракта.
4. Вернуть займ на молниеносный кредит и перевести прибыль на указанный контракт

Типы уязвимостей, часто встречающиеся в процессе аудита

1. Атака повторного входа ERC721/ERC1155: при использовании функций выпуска или перевода, соответствующих этим стандартам, может быть вызван злонамеренный код, что приведет к атаке повторного входа.

2. Логическая уязвимость:

   • Недостаточное внимание к особым ситуациям, таким как неожиданные результаты, вызванные внутренними переводами.
   • Дизайн функций недостаточно совершенен, например, отсутствуют механизмы извлечения или расчета.

3. Отсутствие аутентификации: ключевые функции, такие как эмиссия монет, настройка ролей и т.д., не имеют надлежащего контроля доступа.

4. Манипуляция ценами:

   • Неиспользованная взвешенная по времени средняя цена
   • Прямо использовать пропорцию баланса токенов в контракте в качестве основы для цены

Фактически использованные уязвимости и их предотвращаемость

Согласно статистике, практически все типы уязвимостей, обнаруженные в процессе аудита, были использованы Хакерами в реальных сценариях, при этом логические уязвимости контрактов по-прежнему являются основной целью атак.

Стоит отметить, что большинство из этих уязвимостей можно обнаружить на этапе аудита проекта с помощью формализованной проверки платформы смарт-контрактов и ручной проверки специалистами по безопасности. Специалисты по безопасности могут предоставить конкретные рекомендации по исправлению обнаруженных проблем, помогая командам проекта улучшить безопасность контрактов.

В целом, с быстрым развитием экосистемы Web3 вопросы безопасности становятся все более актуальными. Команды проектов должны уделять внимание аудиту контрактов, использовать современные инструменты и методы проверки, а также учитывать рекомендации профессиональных команд безопасности для комплексного повышения уровня безопасности проекта. В то же время необходимо постоянно следить за новыми методами атак и типами уязвимостей, своевременно обновлять стратегии безопасности, чтобы сохранить конкурентоспособность в этой сложной области.