Аналіз методів хакерських атак у сфері Web3 за перше півріччя 2022 року

У першій половині 2022 року в області Web3 сталося кілька значних інцидентів безпеки. Згідно зі статистикою, було зафіксовано 42 основні випадки атак, спричинених вразливостями смарт-контрактів, які призвели до загальних збитків у розмірі 640 мільйонів доларів США. Приблизно 53% цих атак використовували вразливості контрактів.

Серед усіх використаних вразливостей, логічні або функціональні дефекти дизайну є найпоширенішими засобами атаки хакерів, за ними йдуть проблеми верифікації та повторні вразливості. Ці вразливості не тільки часто з'являються, а й призводять до величезних втрат.

Огляд значних інцидентів безпеки

У лютому 2022 року один з проєктів кросчейн-мостів зазнав атаки, внаслідок якої було втрачено близько 326 мільйонів доларів США. Хакер скористався вразливістю перевірки підписів у контракті, підробивши обліковий запис для випуску активів.

Наприкінці квітня один кредитний протокол зазнав атаки з використанням блискавичних позик у поєднанні з повторними атаками, внаслідок чого були втрати понад 80 мільйонів доларів США. Ця атака нанесла проекту смертельний удар, і в підсумку призвела до закриття проекту.

Зловмисник реалізує атаку через такі етапи:

1. Отримати闪电贷 з певного агрегованого протоколу
2. Використання вразливості повторного входу цільового протоколу для проведення кредитних операцій
3. Через побудовану функцію атаки зворотного виклику, висмоктати активи з постраждалого пулу
4. Повернути闪电贷, перемістити прибуток

Типові вразливості

Найпоширеніші вразливості в аудиті смарт-контрактів умовно поділяються на чотири категорії:

1. Атака повторного входу ERC721/ERC1155: впровадження шкідливого коду в функцію сповіщення про переказ, у поєднанні з неналежною бізнес-логікою, що реалізує повторний вхід.

2. Логічна вразливість:
   • Недостатнє врахування особливих сценаріїв, таких як самопереказ, що призводить до збільшення активів без причини
   • Дизайн функцій не досконалий, наприклад, відсутня реалізація ключових операцій.

3. Відсутність контролю доступу: ключові функції (такі як випуск монет, налаштування ролей) не мають ефективної перевірки прав доступу

4. Маніпуляція цінами:
   • Неправильне використання оракула, не застосовано середньозважену ціну за часом
   • Прямо використовувати співвідношення внутрішнього балансу контракту як цінову основу

Рекомендації щодо запобігання вразливостям

Щоб запобігти цим вразливостям, сторона проекту повинна:

1. Строго дотримуйтесь моделі безпечної розробки "перевірка-дія-взаємодія"
2. Уважно врахувати різні граничні сценарії, вдосконалити дизайн функцій
3. Впровадження суворого механізму управління правами
4. Використовуйте надійні цінові оракули та розумно застосовуйте середню ціну з урахуванням часу

Крім того, проведення професійного аудиту смарт-контрактів є вкрай важливим. Поєднуючи автоматизовані інструменти та експертну ручну перевірку, можна виявити та виправити більшість потенційних вразливостей до запуску проєкту, що значно підвищує безпеку контракту.