Аналіз методів атак на екосистему Web3: Стратегії, що найчастіше використовуються хакерами в першій половині 2022 року та заходи запобігання

У першій половині 2022 року екосистема Web3 зазнала кількох重大них безпекових інцидентів. У цій статті ми детально проаналізуємо найбільш поширені методи атаки, які використовували хакери в цей період, обговоримо, які вразливості призвели до величезних втрат, а також як ефективно запобігти цим ризикам на етапах розробки проекту та аудиту.

Загальні збитки від атак на вразливості

Дані показують, що в першій половині 2022 року сталося 42 основних випадки атак на контракти, що становить близько 53% від усіх способів атак. Ці атаки завдали загальних збитків у 644 мільйони доларів. Серед вразливостей, які були використані, логічні або функціональні дефекти дизайну є найбільш поширеними цілями для хакерів, за ними йдуть проблеми з верифікацією та повторними атаками.

Типові випадки, що призвели до значних втрат

Інцидент атаки моста Wormhole

3 лютого 2022 року крос-чейн міст через екосистему Solana проект Wormhole зазнав атаки, збитки склали до 326 мільйонів доларів. Хакер скористався вразливістю перевірки підписів у контракті, успішно підробивши системний рахунок для випуску wETH.

Проект Fei зазнав атаки через闪电贷

30 квітня 2022 року пул Rari Fuse протоколу Fei зазнав атаки, що поєднувала флеш-кредит та повторний вхід, у результаті чого було втрачено 80,34 мільйона доларів. Ця атака завдала проекту руйнівного удару, в результаті чого 20 серпня проект оголосив про закриття.

Атакуюча сторона в основному використовувала наступні кроки:

1. От Balancer: Vault отримати флеш-кредит
2. Використовуючи кредит для заставного кредитування в Rari Capital, одночасно використовуючи cEther для реалізації уразливості повторного входу в контракті.
3. Через атаку на певні функції в контракті, витягти всі токени з постраждалого пулу
4. Поверніть кредит на блискавку та перемістіть прибуток на вказаний контракт

Типи вразливостей, що часто зустрічаються під час аудиту

1. Атака повторного входу ERC721/ERC1155: використання функцій випуску або переказу цих стандартів може спровокувати шкідливий код, що призводить до атаки повторного входу.

2. Логічна уразливість:

   • Недостатньо уваги приділено особливим сценаріям, наприклад, випадковим результатам, викликаним самої переказами.
   • Дизайн функцій не є досконалим, наприклад, бракує механізму вилучення або ліквідації

3. Відсутність автентифікації: ключові функції, такі як випуск монет, налаштування ролей тощо, не мають належного контролю доступу.

4. Маніпуляція цінами:

   • Невикористана середня ціна зважена за часом
   • Прямо використовувати пропорцію балансу токенів у контракті як ціновий орієнтир

Фактично використані вразливості та їх запобігання

Згідно зі статистикою, практично всі типи вразливостей, виявлених у процесі аудиту, були використані хакерами в реальних сценаріях, і вразливості в логіці контрактів залишаються основною метою атак.

Варто зазначити, що більшість цих вразливостей можна виявити на етапі аудиту проєкту за допомогою платформи формальної верифікації смарт-контрактів та ручної перевірки безпекових експертів. Безпекові експерти можуть надати конкретні рекомендації щодо виправлення виявлених проблем, що допоможе команді проєкту підвищити безпеку контракту.

В цілому, з швидким розвитком екосистеми Web3, проблеми безпеки стають все більш очевидними. Проектні команди повинні приділяти увагу аудитам контрактів, використовувати сучасні інструменти та методи виявлення, а також враховувати рекомендації професійних команд безпеки, щоб всебічно підвищити рівень захисту проекту. Крім того, слід постійно стежити за новими методами атак і типами вразливостей, своєчасно оновлювати стратегії безпеки, щоб зберегти конкурентоспроможність у цій складній сфері.