Уроки по безопасности фронтенда из крупнейшей хакерской атаки в истории Web3
21 февраля 2025 года известная торговая платформа стала жертвой крупного инцидента с безопасностью, в результате чего около 1,46 миллиарда долларов криптоактивов было переведено на неизвестный адрес. Этот инцидент не только шокировал всю криптоиндустрию, но и вызвал глубокие размышления о безопасности Web3.
Обзор событий
Атакующий с помощью тщательно спроектированной фишинговой атаки успешно заставил подписантов мультиподписного кошелька одобрить вредоносную транзакцию. Конкретные шаги следующие:
Нападающий заранее развертывает вредоносный контракт с бэкдором для перевода средств.
Изменение интерфейса Safe, чтобы информация о транзакции, которую видит подписант, не совпадала с данными, фактически отправляемыми на аппаратный кошелек.
Получение действительной подписи через поддельный интерфейс, замена реализации контракта многофакторного кошелька Safe, что позволяет контролировать холодный кошелек и переводить активы.
Опрос показал
После расследования и получения доказательств профессиональным учреждением, предварительные результаты показывают:
В облачном хранилище Safe обнаружены ресурсы с внедрённым вредоносным кодом JavaScript.
Вредоносный код предназначен для манипуляции сделками и изменения содержимого сделки в процессе подписания.
Источник атаки, похоже, исходит из облачной инфраструктуры Safe.
В настоящее время не обнаружено признаков того, что инфраструктура самой торговой платформы была взломана.
! [Является ли самая большая хакерская кража в истории Web3 горшком фронтенд-разработки?] ](https://img-cdn.gateio.im/webp-social/moments-2361c684ee13a28384521318c2a41aea.webp)
Анализ угроз безопасности
Уязвимости безопасности на стороне клиента: Safe на стороне клиента не имеет базовой проверки целостности ресурсов (SRI), что позволяет выполнять измененный код JavaScript.
Ограничения аппаратного кошелька: при обработке сложных транзакций аппаратный кошелек не может полностью интерпретировать и отображать детализированные данные транзакций многофункционального кошелька, что приводит к риску "слепой подписи".
Проблема доверия пользователя: подписывающий слишком доверяет интерфейсу и подтверждает транзакцию, не проверив содержание.
Слияние фронтенд-безопасности и Web3
С развитием технологий Web3 границы между безопасностью фронтенда и безопасностью блокчейна становятся все более размытыми. Традиционные уязвимости фронтенда могут иметь более серьезные последствия в среде Web3, в то время как уязвимости смарт-контрактов и проблемы управления приватными ключами еще больше увеличивают риски.
Сцена 1: Изменение параметров сделки
Вопрос: интерфейс показывает перевод, фактически выполняется авторизация.
Решение: использование структурированной подписи EIP-712 для проверки
Генерация проверяемых данных на стороне клиента
Проверка подписи смарт-контракта
Эффект: любое изменение параметров на стороне клиента приведет к несовпадению подписи, и сделка автоматически откатится.
Сцена 2: Угон слепой подписи
Вопрос: Правила анализа аппаратного кошелька были изменены, что привело к несоответствию отображаемого содержимого и фактического исполнения.
Реализация обязательного семантического сопоставления на цепочке
Рекомендации по безопасности
Реализовать многоуровневый механизм безопасности, включая безопасность устройства, проверку транзакций и механизмы управления рисками.
Фронтенд-разработка требует全面验证 этапов доступа к DApp, подключения кошелька, подписи сообщений, подписи транзакций и обработки после транзакции.
Используйте инструменты безопасности аудита смарт-контрактов, такие как формальная верификация и AI-поддерживаемая генерация безопасных спецификаций.
Создание системы мониторинга в реальном времени для своевременного выявления и реагирования на потенциальные угрозы безопасности.
Повышение осведомленности пользователей о безопасности, формирование хороших привычек верификации сделок.
Заключение
Событие с Bybit выявило глубокие проблемы в управлении безопасностью и технической архитектуре в индустрии криптовалют. В условиях постоянно evolving атакующих технологий индустрия должна комплексно улучшить защитные способности на нескольких уровнях. Фронтенд-разработчики должны стремиться создать более безопасный и надежный пользовательский опыт, осуществив переход от "пассивного исправления" к "активному иммунитету". Только так можно действительно защитить ценность и доверие каждой транзакции в открытом мире Web3.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
8 Лайков
Награда
8
4
Поделиться
комментарий
0/400
NftPhilanthropist
· 07-22 14:38
*поправляет очки* ещё один день, ещё $1.4B момент для обучения по верификации воздействия, если честно
Посмотреть ОригиналОтветить0
PaperHandsCriminal
· 07-19 21:22
Мне плохо, я снова пропустил 10-кратный рост вчера!
Новые вызовы безопасности фронтенда Web3: предупреждения и меры по поводу инцидента с хакером на сумму 1,46 миллиарда долларов
Уроки по безопасности фронтенда из крупнейшей хакерской атаки в истории Web3
21 февраля 2025 года известная торговая платформа стала жертвой крупного инцидента с безопасностью, в результате чего около 1,46 миллиарда долларов криптоактивов было переведено на неизвестный адрес. Этот инцидент не только шокировал всю криптоиндустрию, но и вызвал глубокие размышления о безопасности Web3.
Обзор событий
Атакующий с помощью тщательно спроектированной фишинговой атаки успешно заставил подписантов мультиподписного кошелька одобрить вредоносную транзакцию. Конкретные шаги следующие:
Опрос показал
После расследования и получения доказательств профессиональным учреждением, предварительные результаты показывают:
! [Является ли самая большая хакерская кража в истории Web3 горшком фронтенд-разработки?] ](https://img-cdn.gateio.im/webp-social/moments-2361c684ee13a28384521318c2a41aea.webp)
Анализ угроз безопасности
Уязвимости безопасности на стороне клиента: Safe на стороне клиента не имеет базовой проверки целостности ресурсов (SRI), что позволяет выполнять измененный код JavaScript.
Ограничения аппаратного кошелька: при обработке сложных транзакций аппаратный кошелек не может полностью интерпретировать и отображать детализированные данные транзакций многофункционального кошелька, что приводит к риску "слепой подписи".
Проблема доверия пользователя: подписывающий слишком доверяет интерфейсу и подтверждает транзакцию, не проверив содержание.
Слияние фронтенд-безопасности и Web3
С развитием технологий Web3 границы между безопасностью фронтенда и безопасностью блокчейна становятся все более размытыми. Традиционные уязвимости фронтенда могут иметь более серьезные последствия в среде Web3, в то время как уязвимости смарт-контрактов и проблемы управления приватными ключами еще больше увеличивают риски.
Сцена 1: Изменение параметров сделки
Вопрос: интерфейс показывает перевод, фактически выполняется авторизация.
Решение: использование структурированной подписи EIP-712 для проверки
Эффект: любое изменение параметров на стороне клиента приведет к несовпадению подписи, и сделка автоматически откатится.
Сцена 2: Угон слепой подписи
Вопрос: Правила анализа аппаратного кошелька были изменены, что привело к несоответствию отображаемого содержимого и фактического исполнения.
Решение:
Рекомендации по безопасности
Реализовать многоуровневый механизм безопасности, включая безопасность устройства, проверку транзакций и механизмы управления рисками.
Фронтенд-разработка требует全面验证 этапов доступа к DApp, подключения кошелька, подписи сообщений, подписи транзакций и обработки после транзакции.
Используйте инструменты безопасности аудита смарт-контрактов, такие как формальная верификация и AI-поддерживаемая генерация безопасных спецификаций.
Создание системы мониторинга в реальном времени для своевременного выявления и реагирования на потенциальные угрозы безопасности.
Повышение осведомленности пользователей о безопасности, формирование хороших привычек верификации сделок.
Заключение
Событие с Bybit выявило глубокие проблемы в управлении безопасностью и технической архитектуре в индустрии криптовалют. В условиях постоянно evolving атакующих технологий индустрия должна комплексно улучшить защитные способности на нескольких уровнях. Фронтенд-разработчики должны стремиться создать более безопасный и надежный пользовательский опыт, осуществив переход от "пассивного исправления" к "активному иммунитету". Только так можно действительно защитить ценность и доверие каждой транзакции в открытом мире Web3.