Анализ методов атак Хакеров в области Web3 за первое полугодие 2022 года

В первой половине 2022 года в области Web3 произошло несколько крупных инцидентов безопасности. Согласно статистическим данным, было зафиксировано 42 основных случая атак, вызванных уязвимостями смарт-контрактов, что привело к общим потерям в размере до 640 миллионов долларов. Приблизительно 53% из этих атак использовали уязвимости контрактов.

Среди всех использованных уязвимостей логические или функциональные недостатки проектирования являются наиболее распространёнными методами атаки хакеров, за ними следуют проблемы валидации и уязвимости повторного входа. Эти уязвимости не только часто возникают, но и приводят к огромным потерям.

Обзор крупных инцидентов безопасности

В феврале 2022 года один из проектов кросс-чейн мостов подвергся атаке, в результате которой был потерян примерно 326 миллионов долларов. Хакер использовал уязвимость проверки подписей в контракте, подделав учетную запись для выпуска активов.

В конце апреля один из кредитных протоколов подвергся атаке с использованием флеш-кредитов в сочетании с атакой повторного входа, в результате чего был утерян более 80 миллионов долларов. Эта атака нанесла смертельный удар по проекту, в конечном итоге приведя к его закрытию.

Атакующий осуществляет атаку следующими шагами:

1. Получить флеш-кредит из определенного агрегированного протокола
2. Использование уязвимости повторного входа целевого протокола для проведения операций с заимствованиями
3. С помощью конструктивной функции атаки обратного вызова, опустошить активы в затронутом пуле.
4. Возврат займ с помощью функции "мгновенный кредит", перевод прибыли

Распространенные типы уязвимостей

Самые распространенные уязвимости в аудите смарт-контрактов делятся на четыре категории:

1. Атака повторного входа ERC721/ERC1155: внедрение вредоносного кода в функции уведомления о переводе, совместно с неправильной бизнес-логикой для реализации повторного входа.

2. Логическая уязвимость:
   • Недостаточное внимание к особым ситуациям, таким как самопереводы, приводящие к увеличению активов из ниоткуда
   • Дизайн функций не доработан, например, отсутствует реализация ключевых операций.

3. Отсутствие контроля доступа: ключевые функции (такие как эмиссия токенов, настройка ролей) не имеют эффективной проверки прав доступа.

4. Манипуляции с ценами:
   • Неправильное использование оракула, не была принята цена с временным взвешиванием.
   • Прямое использование пропорции внутреннего баланса контракта в качестве ценового ориентира

Рекомендации по предотвращению уязвимостей

Чтобы предотвратить эти уязвимости, команде проекта следует:

1. Строго следовать модели безопасной разработки "Проверка - Вступление в силу - Взаимодействие"
2. Всеобъемлюще рассмотреть различные пограничные сценарии, улучшить проектирование функций
3. Реализация строгого механизма управления правами доступа
4. Используйте надежный оракул цен и разумно применяйте взвешенную по времени среднюю цену

Кроме того, проведение профессионального аудита смарт-контрактов имеет решающее значение. Объединив автоматизированные инструменты и экспертные проверки, можно выявить и устранить большинство потенциальных уязвимостей до запуска проекта, значительно повысив безопасность контрактов.