Уроки безпеки на фронті з найбільшої атаки хакерів в історії Web3
21 лютого 2025 року, одна відома торгова платформа зазнала серйозної безпекової події, приблизно 14,6 мільярда доларів США криптоактивів було переведено на невідому адресу. Ця подія не тільки шокувала всю криптоіндустрію, але й викликала глибокі роздуми про безпеку Web3.
Огляд подій
Зловмисники за допомогою ретельно спланованої фішингової атаки успішно змусили підписувачів мультипідписного гаманця схвалити шкідливу транзакцію. Конкретні кроки такі:
Зловмисник заздалегідь розгортає шкідливий контракт з бекдором для переказу коштів.
Змініть інтерфейс Safe, щоб інформація про транзакцію, яку бачить підписувач, не відповідала даним, які насправді надсилаються до апаратного гаманця.
Отримання дійсного підпису через підроблений інтерфейс, заміна реалізаційного контракту Safe мультипідписного гаманця, що дозволяє контролювати холодний гаманець і переміщати активи.
! [Чи є найбільша хакерська крадіжка в історії Web3 горщиком для front-end розробки?] ](https://img-cdn.gateio.im/webp-social/moments-8d65b2a4d75fc8afaac61f7d9d272cad.webp)
Дослідження виявило
Після проведення експертного розслідування, попередні результати показують:
У Safe в хмарному сховищі виявлено ресурси з впровадженим шкідливим JavaScript-кодом.
Зловмисний код призначений для маніпуляції交易, змінюючи вміст交易 під час процесу підписання.
Джерело атаки, здається, походить з хмарної інфраструктури Safe.
Наразі не виявлено ознак вторгнення в інфраструктуру торгової платформи.
Аналіз ризиків безпеки
Вразливості безпеки фронтенду: Фронтенд Safe не має базової перевірки цілісності ресурсів (SRI), що дозволяє виконувати модифікований JavaScript-код.
Обмеження апаратного гаманця: при обробці складних транзакцій апаратний гаманець не може повністю роз解析 і відобразити детальні дані транзакцій багаторазового підпису, що призводить до ризику "сліпого підпису".
Проблема довіри користувачів: підписувач надмірно довіряє інтерфейсу, не перевіряючи належним чином вміст транзакції перед підтвердженням.
Злиття фронтової безпеки та Web3
З розвитком технологій Web3 межа між безпекою фронтенду та безпекою блокчейну стає все більш розмитою. Традиційні уразливості фронтенду можуть призвести до більш серйозних наслідків у середовищі Web3, тоді як уразливості смарт-контрактів та проблеми з управлінням приватними ключами ще більше збільшують ризики.
Сцена 1: Зміна параметрів угоди
Проблема: інтерфейс показує переказ, фактично виконується авторизація.
Рішення: використання структурованого підпису EIP-712 для перевірки
Генерація перевіряючих даних на фронтенді
Перевірка підпису смарт-контракту
Ефект: будь-яке підроблення параметрів на передньому плані призведе до невідповідності підпису, транзакція автоматично скасовується.
! [Чи є найбільша хакерська крадіжка в історії Web3 горщиком для front-end розробки?] ](https://img-cdn.gateio.im/webp-social/moments-7459ae123ad754ab26d265aa5c612554.webp)
Сцена 2: Сліпа підписка
Проблема: правила розшифровки апаратного гаманця були змінені, що призвело до невідповідності між відображуваним вмістом і фактичним виконанням.
Рішення:
Оновіть мікропрограму апаратного гаманця, щоб підтримувати EIP-712
Реалізація обов'язкового семантичного збігу на ланцюгу
Рекомендації з безпеки
Впровадження багаторівневої системи безпеки, яка включає безпеку пристроїв, перевірку транзакцій та механізми управління ризиками.
Розробка фронт-енду потребує всебічної перевірки етапів доступу до DApp, підключення гаманця, підпису повідомлень, підпису транзакцій та обробки після транзакції.
Використовуйте інструменти безпеки аудиту смарт-контрактів, такі як формальна верифікація та AI-підтримуване генерування стандартів безпеки.
Створити систему моніторингу в реальному часі для своєчасного виявлення та реагування на потенційні загрози безпеці.
Підвищити обізнаність користувачів про безпеку, виховувати хороші звички перевірки торгів.
Висновок
Подія з Bybit виявила глибокі проблеми в управлінні безпекою та технічній архітектурі в індустрії криптовалют. У відповідь на постійно еволюціонуючі техніки атак, галузь повинна всебічно покращити свої захисні можливості на кількох рівнях. Розробники фронт-енду повинні прагнути створити більш безпечний і надійний досвід взаємодії з користувачем, реалізуючи перехід від "пасивного виправлення" до "активного імунітету". Тільки так можна дійсно захистити цінність та довіру кожної транзакції в відкритому світі Web3.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
8 лайків
Нагородити
8
4
Поділіться
Прокоментувати
0/400
NftPhilanthropist
· 07-22 14:38
*коригує окуляри* ще один день, ще $1.4B навчальний момент для верифікації впливу, якщо чесно
Переглянути оригіналвідповісти на0
PaperHandsCriminal
· 07-19 21:22
Мені погано. Вчора знову пропустив, як 10 разів пробіг!
Нові виклики безпеки фронтенду Web3: попередження та заходи у зв'язку з інцидентом хакера на 1,46 мільярда доларів
Уроки безпеки на фронті з найбільшої атаки хакерів в історії Web3
21 лютого 2025 року, одна відома торгова платформа зазнала серйозної безпекової події, приблизно 14,6 мільярда доларів США криптоактивів було переведено на невідому адресу. Ця подія не тільки шокувала всю криптоіндустрію, але й викликала глибокі роздуми про безпеку Web3.
Огляд подій
Зловмисники за допомогою ретельно спланованої фішингової атаки успішно змусили підписувачів мультипідписного гаманця схвалити шкідливу транзакцію. Конкретні кроки такі:
! [Чи є найбільша хакерська крадіжка в історії Web3 горщиком для front-end розробки?] ](https://img-cdn.gateio.im/webp-social/moments-8d65b2a4d75fc8afaac61f7d9d272cad.webp)
Дослідження виявило
Після проведення експертного розслідування, попередні результати показують:
Аналіз ризиків безпеки
Вразливості безпеки фронтенду: Фронтенд Safe не має базової перевірки цілісності ресурсів (SRI), що дозволяє виконувати модифікований JavaScript-код.
Обмеження апаратного гаманця: при обробці складних транзакцій апаратний гаманець не може повністю роз解析 і відобразити детальні дані транзакцій багаторазового підпису, що призводить до ризику "сліпого підпису".
Проблема довіри користувачів: підписувач надмірно довіряє інтерфейсу, не перевіряючи належним чином вміст транзакції перед підтвердженням.
Злиття фронтової безпеки та Web3
З розвитком технологій Web3 межа між безпекою фронтенду та безпекою блокчейну стає все більш розмитою. Традиційні уразливості фронтенду можуть призвести до більш серйозних наслідків у середовищі Web3, тоді як уразливості смарт-контрактів та проблеми з управлінням приватними ключами ще більше збільшують ризики.
Сцена 1: Зміна параметрів угоди
Проблема: інтерфейс показує переказ, фактично виконується авторизація.
Рішення: використання структурованого підпису EIP-712 для перевірки
Ефект: будь-яке підроблення параметрів на передньому плані призведе до невідповідності підпису, транзакція автоматично скасовується.
! [Чи є найбільша хакерська крадіжка в історії Web3 горщиком для front-end розробки?] ](https://img-cdn.gateio.im/webp-social/moments-7459ae123ad754ab26d265aa5c612554.webp)
Сцена 2: Сліпа підписка
Проблема: правила розшифровки апаратного гаманця були змінені, що призвело до невідповідності між відображуваним вмістом і фактичним виконанням.
Рішення:
Рекомендації з безпеки
Впровадження багаторівневої системи безпеки, яка включає безпеку пристроїв, перевірку транзакцій та механізми управління ризиками.
Розробка фронт-енду потребує всебічної перевірки етапів доступу до DApp, підключення гаманця, підпису повідомлень, підпису транзакцій та обробки після транзакції.
Використовуйте інструменти безпеки аудиту смарт-контрактів, такі як формальна верифікація та AI-підтримуване генерування стандартів безпеки.
Створити систему моніторингу в реальному часі для своєчасного виявлення та реагування на потенційні загрози безпеці.
Підвищити обізнаність користувачів про безпеку, виховувати хороші звички перевірки торгів.
Висновок
Подія з Bybit виявила глибокі проблеми в управлінні безпекою та технічній архітектурі в індустрії криптовалют. У відповідь на постійно еволюціонуючі техніки атак, галузь повинна всебічно покращити свої захисні можливості на кількох рівнях. Розробники фронт-енду повинні прагнути створити більш безпечний і надійний досвід взаємодії з користувачем, реалізуючи перехід від "пасивного виправлення" до "активного імунітету". Тільки так можна дійсно захистити цінність та довіру кожної транзакції в відкритому світі Web3.