Аналіз безпекової ситуації Web3: аналіз методів атак хакерів у першій половині 2022 року

У першій половині 2022 року ситуація з безпекою у сфері Web3 була не надто оптимістичною. Згідно з даними моніторингу безпеки блокчейну, вразливості контрактів стали основним засобом атак Хакерів, що призвело до значних фінансових втрат. У цій статті буде детально проаналізовано поширені способи атак, які використовувалися Хакерами в цей період, а також відповідні заходи запобігання.

Огляд інцидентів безпеки за перше півріччя

Дані показують, що в першій половині 2022 року сталося 42 основних випадки атак, з яких 53% були здійснені шляхом використання вразливостей контрактів. Ці атакуючі події призвели до збитків у розмірі до 644 мільйонів 404 тисяч доларів. Серед усіх використаних вразливостей найвищу частоту використання мали логічні або функціональні недоліки, за ними йдуть проблеми верифікації та вразливості повторного входу.

Аналіз випадків значних втрат

Подія атаки на міст Wormhole

3 лютого 2022 року проект міжланцюгового мосту Wormhole в екосистемі Solana зазнав атаки, внаслідок якої було втрачено близько 326 мільйонів доларів. Хакер скористався вразливістю в перевірці підписів у контракті, успішно підробивши обліковий запис sysvar для незаконного випуску wETH.

Подія атаки на Fei Protocol

30 квітня 2022 року пул Rari Fuse, що належить Fei Protocol, зазнав атаки з використанням флеш-кредитів у поєднанні з повторними входами, що призвело до збитків у 80,34 млн доларів. Ця атака завдала проекту фатального удару, в результаті чого 20 серпня проект оголосив про закриття.

Зловмисник реалізує атаку наступними кроками:

1. Швидкий кредит з Balancer: Vault
2. Використання запозичених коштів для заставного кредитування в Rari Capital
3. Використання cEther від Rari Capital для реалізації вразливості повторного входу в контракті
4. Використовуючи конструкцію функції атаки зворотного виклику, витягти всі токени з пулу
5. Повернення кредиту на блискавку, передача отриманого від атаки

Типи поширених вразливостей

У процесі аудиту смарт-контрактів найпоширеніші вразливості можна розділити на чотири основні категорії:

1. Атака повторного входу ERC721/ERC1155: при використанні функцій _safeMint(), _safeTransfer() тощо, може бути викликане виконання шкідливого коду через атаку повторного входу.

2. Логічна уразливість:
   • Недостатня увага до особливих сценаріїв, таких як самостійна передача, що призводить до створення чогось з нічого
   • Дизайн функцій неповний, наприклад, відсутні функції витягнення або ліквідації

3. Відсутність автентифікації: ключові функції, такі як емісія монет, налаштування ролей тощо, не мають ефективного контролю доступу.

4. Маніпуляція цінами:
   • Не використана середньозважена ціна за часом
   • Прямо використовувати пропорцію залишку токенів у контракті як ціну

Рекомендації щодо запобігання вразливостям

1. Суворо дотримуйтесь дизайну "Перевірка - Дія - Взаємодія".
2. Всебічно враховуйте різні граничні випадки та спеціальні сценарії
3. Удосконалення функціонального дизайну контрактів, забезпечення відповідних супутніх функцій для ключових операцій
4. Впровадження суворого управління правами доступу з багатократною верифікацією ключових функцій
5. Використовуйте надійні цінові oracle, уникайте використання джерел цінових даних, які легко маніпулювати.
6. Регулярно проводьте аудит смарт-контрактів, використовуючи поєднання автоматизованих інструментів та ручного перегляду професійними командами безпеки.

Завдяки впровадженню цих запобіжних заходів можна значно підвищити безпеку смарт-контрактів та знизити ризик атак. Проте, з постійним розвитком методів атак, командам проектів потрібно залишатися на чеку, постійно стежити за останніми тенденціями безпеки та своєчасно оновлювати стратегії захисту.