Анализ крупнейшей в истории Web3 хакерской атаки и выводы по безопасности для фронтенда
21 февраля 2025 года одна известная торговая платформа стала жертвой серьезного инцидента безопасности, в результате которого около 1,46 миллиарда долларов США в криптоактивах были переведены на неизвестный адрес. Этот инцидент считается одной из крупнейших атак Хакер в истории Web3 и вызвал широкое обсуждение в индустрии о безопасности управления криптовалютами.
! [Является ли самая большая хакерская кража в истории Web3 горшком фронтенд-разработки?] ](https://img-cdn.gateio.im/webp-social/moments-8d65b2a4d75fc8afaac61f7d9d272cad.webp)
Обзор событий
Атакующий с помощью тщательно продуманной фишинговой атаки успешно заставил подписчиков многоподписного кошелька выполнить злонамеренную транзакцию. Этапы атаки включают:
Предварительно развернуть вредоносный контракт с задней дверью для перевода средств
Изменение интерфейса Safe, чтобы информация о транзакции, видимая подписантом, не соответствовала данным, отправляемым на аппаратный кошелек.
Получить действительную подпись путем подделки интерфейса, заменить реализацию контракта мультиподписного кошелька Safe, а затем контролировать холодный кошелек и переводить средства.
! [Является ли самая большая хакерская кража в истории Web3 горшком фронтенд-разработки?] ](https://img-cdn.gateio.im/webp-social/moments-2361c684ee13a28384521318c2a41aea.webp)
Исследование показало
Безопасная компания Sygnia, получившая поручение провести расследование, опубликовала предварительный отчет, в котором указаны основные находки:
Обнаружен внедренный вредоносный JavaScript код в бакете AWS S3 Safe
Анализ кода показывает, что его основной целью является подделка содержания транзакции в процессе подписания
Вредоносный код имеет определенные условия активации и выполняется только для определенных адресов контрактов.
Источник атаки, по всей видимости, поступает из инфраструктуры AWS от Safe
В настоящее время не выявлено признаков вторжения в инфраструктуру самой жертвы.
Анализ уязвимостей безопасности
Уязвимость безопасности службы хранения AWS: изменение кода JavaScript стало ключевым моментом этой атаки
Недостаточная проверка на стороне клиента: если фронтенд Safe реализовал базовую проверку SRI, это может предотвратить подобные атаки.
Ограничения аппаратного кошелька: при обработке сложных транзакций не может полностью интерпретировать и отображать подробную информацию.
Риски пользовательских операций: подписывающий осуществил "слепую подпись" без достаточной проверки содержания транзакции.
! [Является ли самая большая хакерская кража в истории Web3 горшком фронтенд-разработки?] ](https://img-cdn.gateio.im/webp-social/moments-7459ae123ad754ab26d265aa5c612554.webp)
Слияние безопасности фронтенда и безопасности Web3
С развитием технологий Web3 границы между безопасностью фронтенда и безопасностью блокчейна становятся все более размытыми. Традиционные уязвимости фронтенда проявляют новые векторы атак в среде Web3, в то время как уязвимости смарт-контрактов и проблемы управления приватными ключами дополнительно увеличивают риски.
Защита от подделки параметров транзакции
Вопрос: интерфейс показывает перевод, фактически выполняется авторизация
Решение: использовать структурированную подпись EIP-712 для проверки
Генерация проверяемых данных на стороне клиента
Проверка подписи смарт-контракта
Эффект: любое изменение параметров на стороне клиента приведет к несоответствию подписи, и транзакция будет автоматически откатена.
Защита от слепых подписей
Вопрос: Правила расшифровки аппаратного кошелька были изменены
Решение: семантический анализ аппаратного кошелька + вторичная проверка в цепочке
Обновление прошивки аппаратного кошелька для поддержки EIP-712
Реализация обязательного семантического соответствия на блокчейне
! [Является ли самая большая хакерская кража в истории Web3 горшком фронтенд-разработки?] ](https://img-cdn.gateio.im/webp-social/moments-c2097f94873e8dd960c76f6a66677f53.webp)
Рекомендации по безопасности
Полное обновление системы управления безопасностью, включая безопасность оборудования, проверку сделок и механизмы управления рисками
Frontend разработка должна строго проверять такие этапы, как доступ к DApp, подключение кошелька, подпись сообщений и подпись транзакций.
Проведение аудита безопасности смарт-контрактов на блокчейне, использование инструментов на базе ИИ для проверки корректности кода
Создание круглосуточной системы мониторинга для своевременного выявления и реагирования на потенциальные уязвимости零日 и события безопасности
Укрепить обучение пользователей, повысить бдительность к сложным сделкам и операциям с подписями
! [Является ли самая большая хакерская кража в истории Web3 горшком фронтенд-разработки?] ](https://img-cdn.gateio.im/webp-social/moments-740aeb7db597b7e46d23b958f7ad918c.webp)
Заключение
Этот重大安全事件揭示了 проблемы в области安全管理和技术架构 в индустрии криптовалют. В условиях постоянно развивающихся технологий攻击黑客行业 необходимо всесторонне повысить защитные能力 на нескольких уровнях. Frontend-разработчики должны осознать свою ключевую роль в безопасности Web3, постоянно оптимизируя и проверяя каждую интерактивную часть, переходя от "пассивного исправления" к "активному иммунитету". Только создав всестороннюю и многоуровневую систему защиты, можно действительно защитить ценность и доверие каждой транзакции в открытом мире Web3.
! [Является ли самая большая хакерская кража в истории Web3 горшком фронтенд-разработки?] ](https://img-cdn.gateio.im/webp-social/moments-10f36747a8c10ec675545d45b3dfd8dc.webp)
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
9
Репост
Поделиться
комментарий
0/400
ValidatorViking
· 08-09 18:39
опытные валидаторы предвидели это... уязвимости фронтенда всегда были нашей ахиллесовой пятой, смх. возвращаемся к холодному хранилищу.
Посмотреть ОригиналОтветить0
AllInDaddy
· 08-09 15:41
Играть с Кошелек, лучше сразу голым бегать.
Посмотреть ОригиналОтветить0
GamefiEscapeArtist
· 08-08 04:56
Черт возьми, в этом контракте все еще есть проблема!
Посмотреть ОригиналОтветить0
0xTherapist
· 08-07 12:44
差不多 Мошенничество 都学会了
Посмотреть ОригиналОтветить0
GateUser-00be86fc
· 08-07 08:09
Снова начинаем жарить в сковороде
Посмотреть ОригиналОтветить0
AirdropHuntress
· 08-07 08:06
Ранее говорилось, что безопасность на фронт-энде — это всего лишь декорация. Посмотрев на данные, видно, что все это рукожопо исполнили арбитражный контракт.
Посмотреть ОригиналОтветить0
BugBountyHunter
· 08-07 08:05
Поиграй и развлекайся 14.6 миллиардов
Посмотреть ОригиналОтветить0
MysteryBoxOpener
· 08-07 07:54
Кровные компенсации Закрытая позиция просто так сбежали.
Посмотреть ОригиналОтветить0
Layer2Arbitrageur
· 08-07 07:46
представь себе, что ты не очищаешь свой фронтенд kek
Самая большая хакерская атака в истории Web3: уязвимость фронтенда привела к убыткам в 1,46 миллиарда долларов
Анализ крупнейшей в истории Web3 хакерской атаки и выводы по безопасности для фронтенда
21 февраля 2025 года одна известная торговая платформа стала жертвой серьезного инцидента безопасности, в результате которого около 1,46 миллиарда долларов США в криптоактивах были переведены на неизвестный адрес. Этот инцидент считается одной из крупнейших атак Хакер в истории Web3 и вызвал широкое обсуждение в индустрии о безопасности управления криптовалютами.
! [Является ли самая большая хакерская кража в истории Web3 горшком фронтенд-разработки?] ](https://img-cdn.gateio.im/webp-social/moments-8d65b2a4d75fc8afaac61f7d9d272cad.webp)
Обзор событий
Атакующий с помощью тщательно продуманной фишинговой атаки успешно заставил подписчиков многоподписного кошелька выполнить злонамеренную транзакцию. Этапы атаки включают:
! [Является ли самая большая хакерская кража в истории Web3 горшком фронтенд-разработки?] ](https://img-cdn.gateio.im/webp-social/moments-2361c684ee13a28384521318c2a41aea.webp)
Исследование показало
Безопасная компания Sygnia, получившая поручение провести расследование, опубликовала предварительный отчет, в котором указаны основные находки:
Анализ уязвимостей безопасности
! [Является ли самая большая хакерская кража в истории Web3 горшком фронтенд-разработки?] ](https://img-cdn.gateio.im/webp-social/moments-7459ae123ad754ab26d265aa5c612554.webp)
Слияние безопасности фронтенда и безопасности Web3
С развитием технологий Web3 границы между безопасностью фронтенда и безопасностью блокчейна становятся все более размытыми. Традиционные уязвимости фронтенда проявляют новые векторы атак в среде Web3, в то время как уязвимости смарт-контрактов и проблемы управления приватными ключами дополнительно увеличивают риски.
Защита от подделки параметров транзакции
Вопрос: интерфейс показывает перевод, фактически выполняется авторизация
Решение: использовать структурированную подпись EIP-712 для проверки
Эффект: любое изменение параметров на стороне клиента приведет к несоответствию подписи, и транзакция будет автоматически откатена.
Защита от слепых подписей
Вопрос: Правила расшифровки аппаратного кошелька были изменены
Решение: семантический анализ аппаратного кошелька + вторичная проверка в цепочке
! [Является ли самая большая хакерская кража в истории Web3 горшком фронтенд-разработки?] ](https://img-cdn.gateio.im/webp-social/moments-c2097f94873e8dd960c76f6a66677f53.webp)
Рекомендации по безопасности
! [Является ли самая большая хакерская кража в истории Web3 горшком фронтенд-разработки?] ](https://img-cdn.gateio.im/webp-social/moments-740aeb7db597b7e46d23b958f7ad918c.webp)
Заключение
Этот重大安全事件揭示了 проблемы в области安全管理和技术架构 в индустрии криптовалют. В условиях постоянно развивающихся технологий攻击黑客行业 необходимо всесторонне повысить защитные能力 на нескольких уровнях. Frontend-разработчики должны осознать свою ключевую роль в безопасности Web3, постоянно оптимизируя и проверяя каждую интерактивную часть, переходя от "пассивного исправления" к "активному иммунитету". Только создав всестороннюю и многоуровневую систему защиты, можно действительно защитить ценность и доверие каждой транзакции в открытом мире Web3.
! [Является ли самая большая хакерская кража в истории Web3 горшком фронтенд-разработки?] ](https://img-cdn.gateio.im/webp-social/moments-10f36747a8c10ec675545d45b3dfd8dc.webp)