Аналіз найбільшого у історії Web3 хакерського нападу та уроки безпеки для фронтенду
21 лютого 2025 року, одна відома торгова платформа стала жертвою серйозного інциденту безпеки, в результаті якого близько 1,46 мільярда доларів США криптоактивів було переведено на невідому адресу. Цей інцидент вважається одним із найбільших хакерських атак в історії Web3, що викликало широкі обговорення в галузі управління безпекою криптовалют.
Огляд події
Зловмисники за допомогою ретельно спланованої фішингової атаки успішно спонукали підписанта багатопідписного гаманця виконати шкідливу транзакцію. Кроки атаки включають:
Попереднє розгортання шкідливого контракту з бекдором для переказу коштів
Змінити інтерфейс Safe, щоб інформація про транзакції, яку бачить підписувач, не відповідала даним, надісланим на апаратний гаманець.
Отримання дійсного підпису шляхом підробки інтерфейсу, заміна реалізаційного контракту багатопідпису Safe, а також контроль холодного гаманця і переміщення коштів
! [Чи є найбільша хакерська крадіжка в історії Web3 горщиком для front-end розробки?] ](https://img-cdn.gateio.im/webp-social/moments-2361c684ee13a28384521318c2a41aea.webp)
Дослідження показало
Компанія безпеки Sygnia, яка була уповноважена провести розслідування, опублікувала попередній звіт розслідування, в якому основні висновки такі:
Виявлено ін'єкційний шкідливий код JavaScript у сховищі AWS S3 Safe
Аналіз коду показує, що його основною метою є підробка вмісту транзакції під час процесу підписання.
Шкідливий код має специфічні умови активації та виконується лише для певних адрес контрактів.
Джерело атаки, ймовірно, походить з AWS інфраструктури Safe
Наразі не виявлено ознак вторгнення в інфраструктуру самих постраждалих платформ.
! [Чи є найбільша хакерська крадіжка в історії Web3 горщиком для front-end розробки?] ](https://img-cdn.gateio.im/webp-social/moments-6dc2dd1212c515b2b9a441f96056d74a.webp)
Аналіз вразливостей безпеки
Вразливість безпеки служби зберігання AWS: зміна коду JavaScript є ключовим етапом цієї атаки.
Недостатня валідація на стороні клієнта: якщо фронтенд Safe реалізував базову валідацію SRI, це може допомогти уникнути таких атак.
Обмеження апаратних гаманців: неможливість повноцінного аналізу та відображення деталей під час обробки складних транзакцій.
Ризик користувача: підписувач виконав "сліпу підпис" без достатньої перевірки змісту транзакції.
Інтеграція безпеки фронтенду та безпеки Web3
З розвитком технологій Web3 кордони між безпекою фронтенду та безпекою блокчейну стають все більш розмитими. Традиційні вразливості фронтенду в середовищі Web3 набувають нових вимірів атак, в той час як вразливості смарт-контрактів та проблеми з управлінням приватними ключами ще більше посилюють ризики.
Захист від підробки параметрів交易
Проблема: інтерфейс показує переказ, фактично виконує авторизацію
Рішення: використання структурованого підпису EIP-712 для перевірки
Генерація перевірних даних на стороні клієнта
Перевірка підпису смарт-контракту
Ефект: будь-яке спотворення параметрів на передньому плані призведе до невідповідності підпису, транзакція буде автоматично скасована.
Захист від сліпого підпису
Питання: правила розшифровки апаратного гаманця були змінені
Рішення: семантичний аналіз апаратного гаманця + повторна верифікація в ланцюгу
Оновлення прошивки апаратного гаманця для підтримки EIP-712
Реалізація обов'язкового семантичного співпадіння на блокчейні
Рекомендації з безпеки
Повна модернізація системи управління безпекою, включаючи безпеку обладнання, верифікацію транзакцій та механізми управління ризиками
Розробка інтерфейсу повинна здійснювати строгу перевірку на етапах доступу до DApp, підключення гаманця, підписання повідомлень, підписання транзакцій тощо.
Проведення аудиту безпеки смарт-контрактів, використовуючи інструменти на базі ШІ для перевірки коректності коду
Створити цілодобову систему моніторингу для своєчасного виявлення та реагування на потенційні нульові вразливості та події безпеки
Посилити навчання користувачів, підвищити обізнаність щодо складних транзакцій та операцій підпису
Висновок
Ця велика безпекова подія виявила глибокі проблеми в управлінні безпекою та технологічній архітектурі в індустрії криптовалют. З огляду на постійно еволюціонуючі технології хакерських атак, галузі потрібно всебічно підвищити захисні можливості на кількох рівнях. Розробники переднього плану повинні усвідомити свою ключову роль у безпеці Web3, постійно оптимізуючи та перевіряючи всі етапи взаємодії, здійснюючи перехід від "пасивного ремонту" до "активного імунітету". Лише створивши всебічну, багатошарову систему безпекового захисту, можна дійсно забезпечити цінність та довіру кожної транзакції у відкритому світі Web3.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
10 лайків
Нагородити
10
9
Репост
Поділіться
Прокоментувати
0/400
ValidatorViking
· 21год тому
валідатори, перевірені в боях, це передбачали... експлойти на фронтенді завжди були нашим ахіллесовим підошвою, смх. назад до холодного зберігання.
Переглянути оригіналвідповісти на0
AllInDaddy
· 08-09 15:41
Грайте з чим завгодно, краще просто іти без нічого.
Переглянути оригіналвідповісти на0
GamefiEscapeArtist
· 08-08 04:56
Це жахливо, у цього контракту все ще є проблеми!
Переглянути оригіналвідповісти на0
0xTherapist
· 08-07 12:44
Практично всі навчилися шахрайству.
Переглянути оригіналвідповісти на0
GateUser-00be86fc
· 08-07 08:09
Знову починається смаження в сковороді
Переглянути оригіналвідповісти на0
AirdropHuntress
· 08-07 08:06
Раніше казали, що безпека фронтенду — це лише формальність. Дивлячись на дані, видно, що виконано арбітражний контракт з рук.
Переглянути оригіналвідповісти на0
BugBountyHunter
· 08-07 08:05
Пограйся, розважайся 14,6 мільярдів
Переглянути оригіналвідповісти на0
MysteryBoxOpener
· 08-07 07:54
Кровна компенсація Закрита позиція ось так і втекла.
Найбільша хакерська атака в історії Web3: вразливість на фронті призвела до втрат у 1,46 мільярда доларів.
Аналіз найбільшого у історії Web3 хакерського нападу та уроки безпеки для фронтенду
21 лютого 2025 року, одна відома торгова платформа стала жертвою серйозного інциденту безпеки, в результаті якого близько 1,46 мільярда доларів США криптоактивів було переведено на невідому адресу. Цей інцидент вважається одним із найбільших хакерських атак в історії Web3, що викликало широкі обговорення в галузі управління безпекою криптовалют.
Огляд події
Зловмисники за допомогою ретельно спланованої фішингової атаки успішно спонукали підписанта багатопідписного гаманця виконати шкідливу транзакцію. Кроки атаки включають:
! [Чи є найбільша хакерська крадіжка в історії Web3 горщиком для front-end розробки?] ](https://img-cdn.gateio.im/webp-social/moments-2361c684ee13a28384521318c2a41aea.webp)
Дослідження показало
Компанія безпеки Sygnia, яка була уповноважена провести розслідування, опублікувала попередній звіт розслідування, в якому основні висновки такі:
! [Чи є найбільша хакерська крадіжка в історії Web3 горщиком для front-end розробки?] ](https://img-cdn.gateio.im/webp-social/moments-6dc2dd1212c515b2b9a441f96056d74a.webp)
Аналіз вразливостей безпеки
Інтеграція безпеки фронтенду та безпеки Web3
З розвитком технологій Web3 кордони між безпекою фронтенду та безпекою блокчейну стають все більш розмитими. Традиційні вразливості фронтенду в середовищі Web3 набувають нових вимірів атак, в той час як вразливості смарт-контрактів та проблеми з управлінням приватними ключами ще більше посилюють ризики.
Захист від підробки параметрів交易
Проблема: інтерфейс показує переказ, фактично виконує авторизацію
Рішення: використання структурованого підпису EIP-712 для перевірки
Ефект: будь-яке спотворення параметрів на передньому плані призведе до невідповідності підпису, транзакція буде автоматично скасована.
Захист від сліпого підпису
Питання: правила розшифровки апаратного гаманця були змінені
Рішення: семантичний аналіз апаратного гаманця + повторна верифікація в ланцюгу
Рекомендації з безпеки
Висновок
Ця велика безпекова подія виявила глибокі проблеми в управлінні безпекою та технологічній архітектурі в індустрії криптовалют. З огляду на постійно еволюціонуючі технології хакерських атак, галузі потрібно всебічно підвищити захисні можливості на кількох рівнях. Розробники переднього плану повинні усвідомити свою ключову роль у безпеці Web3, постійно оптимізуючи та перевіряючи всі етапи взаємодії, здійснюючи перехід від "пасивного ремонту" до "активного імунітету". Лише створивши всебічну, багатошарову систему безпекового захисту, можна дійсно забезпечити цінність та довіру кожної транзакції у відкритому світі Web3.