Найбільша атака хакерів в історії Web3: вкрадено активи на 1,46 мільярда доларів. Глибокий аналіз вразливості гаманця із кількома підписами.

robot
Генерація анотацій у процесі

Аналіз найбільшої в історії Web3 атаки Хакера

21 лютого 2025 року холодний гаманець Ethereum відомої торговельної платформи зазнав серйозної безпекової атаки. Зловмисники за допомогою ретельно спроектованих фішингових схем змусили підписувачів мультипідпису підписати шкідливі транзакції, що призвело до переміщення близько 1,46 мільярда доларів США криптоактивів на невідому адресу.

Web3 історія найбільшої крадіжки на мільярди – це вина фронтенд-розробки?

Огляд процесу атаки

Основні етапи атаки такі:

  1. Попередньо розгорнути шкідливий контракт, що містить бекдор для переміщення коштів.
  2. Змінити інтерфейс мультипідписного гаманця, щоб підписанти бачили інформацію про транзакцію, яка не відповідає даним, надісланим на апаратний гаманець.
  3. Отримати три дійсні підписи через підроблений інтерфейс, замінивши реалізаційний контракт мультипідписного гаманця на шкідливу версію.
  4. Контроль холодного гаманця та переміщення великої кількості активів.

Web3 історія найбільшого крадіжки хакерів - це провина фронтенд-розробки?

Дослідження виявило

Компанія з безпеки Sygnia, яка була уповноважена провести розслідування, опублікувала попередній звіт, основні висновки якого включають:

  • У сховищі AWS S3, що використовується для мультипідписних гаманців, виявлено вставлений шкідливий код JavaScript.
  • Аналіз коду показує, що його основна мета полягає в підробці змісту транзакції під час процесу підписання.
  • Зловмисний код має певні умови активації і діє лише для конкретних адрес контрактів.
  • Невдовзі після завершення атаки було завантажено оновлену версію ресурсів JavaScript, в якій було видалено шкідливий код.
  • Попередні докази вказують на те, що атака походила з інфраструктури AWS мультипідписного гаманця.
  • Наразі не виявлено ознак зламу інфраструктури самої торгової платформи.

Чи винен фронтенд-розробник у найбільшій крадіжці в історії Web3?

Аналіз безпеки

Ця подія виявила кілька рівнів проблем безпеки:

  1. Безпека хмарного зберігання: Бакет AWS S3 був змінений, що свідчить про наявність вразливостей у системі контролю доступу до хмарних сервісів.

  2. Недостатня безпека верифікації на фронтенді: якщо фронтенд багатопідписного гаманця реалізує повну верифікацію цілісності підресурсів (SRI), навіть якщо JavaScript буде змінено, це може запобігти таким атакам.

  3. Обмеження апаратного гаманця: під час обробки складних транзакцій апаратний гаманець не може повністю розібратися і відобразити детальні дані транзакцій багатопідписного гаманця, що призводить до "сліпого підпису" підписувача.

  4. Надмірна довіра до фронтенду: торговельна платформа надмірно довіряє фронтенду мультипідписного гаманця, ігноруючи повторну перевірку фактичного змісту угоди.

Чи винен фронтальний розробник у найбільшій крадіжці в історії Web3?

Рекомендації щодо безпеки

Щоб запобігти подібним атакам, можна вжити такі заходи:

  1. Впровадження структурованої перевірки підписів EIP-712:
    • Генерація перевірних даних на стороні клієнта
    • Перевірка підпису смарт-контракту, щоб забезпечити автоматичне скасування угоди при будь-якому спотворенні параметрів

Чи є найбільша в історії Web3 крадіжка хакерським злочином фронтенд-розробки?

  1. Оновлення прошивки апаратного гаманця, що підтримує більш просунуте семантичне розпізнавання:
    • Підвищення здатності до аналізу складних угод
    • Реалізація обов'язкового семантичного збігу в ланцюзі

Чи винен фронтенд-розробник у найбільшій крадіжці в історії Web3?

  1. Посилення безпеки хмарних послуг:

    • Суворе управління правами доступу до хмарних сервісів, таких як AWS
    • Періодичний аудит і моніторинг змін ключових ресурсів
  2. Багаторівневий механізм перевірки:

    • Введення багатосторонньої перевірки в ключових операціях
    • Використання перехресної перевірки вмісту транзакцій на основі даних в мережі та поза нею
  3. Постійний аудит безпеки:

    • Регулярно проводити всебічну оцінку безпеки
    • Використання передових AI-асистованих інструментів для аудиту коду смарт-контрактів

Висновок

Веб3-галузі стають усе складнішими виклики безпеки, що вимагає всебічного підвищення захисних можливостей на кількох рівнях, від безпеки пристроїв, верифікації транзакцій до механізмів управління ризиками. Розробники фронтенду повинні суворо перевіряти на всіх етапах доступ до DApp, підключення гаманців, підписування повідомлень, підписування транзакцій тощо. Лише створивши всебічну лінію оборони, можна насправді захистити цінність та довіру кожної транзакції у відкритому світі Web3.

Чи винен фронтенд-розробник у найбільшій крадіжці в історії Web3?

AWS7.02%
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
  • Нагородити
  • 6
  • Поділіться
Прокоментувати
0/400
StablecoinArbitrageurvip
· 07-20 03:24
*регулює електронну таблицю* статистично кажучи, це було неминуче, враховуючи коефіцієнти ризику у впровадженні мультипідпису...
Переглянути оригіналвідповісти на0
DeFiAlchemistvip
· 07-17 16:08
сакральна нумерологія попереджала нас... трансмутація 1.46B була неминучою
Переглянути оригіналвідповісти на0
OnchainArchaeologistvip
· 07-17 04:03
Далеко від реальності, справді програли в цій ситуації.
Переглянути оригіналвідповісти на0
CryptoMotivatorvip
· 07-17 04:01
Втомився, знову прийшов рибалити.
Переглянути оригіналвідповісти на0
LiquidationWizardvip
· 07-17 03:58
Чи є насправді такі дурні люди, які можуть підписувати сліпо?
Переглянути оригіналвідповісти на0
OnChainSleuthvip
· 07-17 03:52
Холодний гаманець навіть якщо дуже холодний, все ще не зупинить
Переглянути оригіналвідповісти на0
  • Закріпити