Анализ крупнейших хакерских атак в области Web3

21 февраля 2025 года холодный кошелек Ethereum известной торговой платформы подвергся серьезной атаке, в результате чего было перемещено около 401,346 ETH, 15,000 cmETH, 8,000 mETH, 90,375 stETH и 90 USDT на неизвестный адрес, общая стоимость составила около 14,6 миллиарда долларов.

! [Является ли самая большая хакерская кража в истории Web3 горшком фронтенд-разработки?] ](https://img-cdn.gateio.im/webp-social/moments-8d65b2a4d75fc8afaac61f7d9d272cad.webp)

Злоумышленник с помощью тщательно продуманной фишинговой схемы заставил подписанта мультиподписного кошелька платформы одобрить злонамеренную транзакцию. Процесс атаки следующий:

1. Злоумышленник заранее развертывает вредоносный контракт, содержащий заднюю дверь для перевода средств.
2. Изменение интерфейса Safe, чтобы информация о транзакции, видимая подписчиком, не соответствовала данным, фактически отправляемым в аппаратный кошелек.
3. Получить три действительных подписи через поддельный интерфейс, заменить контракт реализации мультиподписного кошелька Safe на злонамеренный контракт, а затем контролировать холодный кошелек и переводить средства.

! [Является ли самая большая хакерская кража в истории Web3 горшком фронтенд-разработки?] ](https://img-cdn.gateio.im/webp-social/moments-2361c684ee13a28384521318c2a41aea.webp)

Пострадавшая платформа поручила Sygnia провести судебно-экспертное расследование для определения коренной причины атаки, выявления объема и источников атаки, а также разработки стратегий снижения рисков. Результаты расследования показывают:

• Ресурсы в хранилище AWS S3 Safe были подвержены инъекции вредоносного JavaScript кода.
• Время изменения ресурсов и история сети указывают на то, что вредоносный код был непосредственно внедрен в хранилище AWS S3 Safe.
• Внедрённый JavaScript-код предназначен для манипуляции сделками, изменяя содержание сделки в процессе подписания.
• Вредоносный код имеет определенные условия активации и выполняется только тогда, когда источник транзакции совпадает с определенным адресом контракта.
• Через две минуты после выполнения злонамеренной сделки была загружена обновленная версия ресурсов JavaScript, в которой удален злонамеренный код.
• Предварительные доказательства указывают на то, что атака исходила от инфраструктуры AWS Safe.
• В настоящее время не обнаружено признаков взлома инфраструктуры пострадавших платформ.

! [Является ли самая большая хакерская кража в истории Web3 горшком фронтенд-разработки?] ](https://img-cdn.gateio.im/webp-social/moments-6dc2dd1212c515b2b9a441f96056d74a.webp)

Это событие выявило глубокие проблемы в управлении безопасностью и технологической архитектуре криптовалютной индустрии. Основная проблема заключается в том, что сервис хранения AWS был взломан, что привело к изменению JavaScript и изменению содержимого транзакций, инициируемых фронтендом Safe. Если бы фронтенд Safe реализовал базовую проверку SRI, даже если бы JavaScript был изменен, это могло бы предотвратить такие инциденты. В то же время пострадавшая платформа не проверила информацию о транзакции перед подтверждением при использовании аппаратного кошелька, что является ключевой проблемой избыточного доверия к фронтенду Safe.

Аппаратные кошельки имеют ограничения при обработке сложных транзакций и не могут полностью анализировать и отображать подробные данные о транзакциях многофункционального кошелька, что приводит к тому, что подписанты выполняют "слепую подпись" без полного подтверждения содержания транзакции.

! [Является ли самая большая хакерская кража в истории Web3 горшком фронтенд-разработки?] ](https://img-cdn.gateio.im/webp-social/moments-c2097f94873e8dd960c76f6a66677f53.webp)

С быстрым развитием технологий Web3 границы между безопасностью фронтенда и безопасностью блокчейна становятся все более размытыми. Традиционные уязвимости фронтенда (такие как XSS, CSRF) представляют новые измерения атак в среде Web3, в то время как уязвимости смарт-контрактов, недостатки управления приватными ключами и другие проблемы еще больше увеличивают риски.

Чтобы справиться с этими вызовами, отрасли необходимо предпринять следующие меры:

1. Реализация структурированной проверки подписей EIP-712, чтобы обеспечить генерацию проверяемых данных на фронтенде и проверку подписей умным контрактом.
2. Обновите прошивку аппаратного кошелька, поддерживающую EIP-712, и обеспечьте принудительное выполнение семантического соответствия в цепочке.
3. Всеобъемлющее улучшение безопасности устройств, верификации сделок и механизмов управления рисками.
4. Фронтенд-разработка должна строго проверять этапы доступа к DApp, подключения кошелька, подписания сообщений, подписания транзакций и обработки транзакций.
5. Регулярно проводить аудит безопасности смарт-контрактов в блокчейне.

! [Является ли самая большая хакерская кража в истории Web3 горшком фронтенд-разработки?] ](https://img-cdn.gateio.im/webp-social/moments-740aeb7db597b7e46d23b958f7ad918c.webp)

Только через многоуровневые и всесторонние меры безопасности можно эффективно защитить ценность и доверие каждой транзакции в открытой среде Web3, осуществив переход от "пассивного исправления" к "активному иммунитету".