– Open Zeppelin, firma zajmująca się cyberbezpieczeństwem, która dostarcza narzędzia do tworzenia i zabezpieczania zdecentralizowanych aplikacji (dApps).
– Firma ujawniła, że największym zagrożeniem dla dApps nie jest technologia blockchain, ale złe zamiary hakerów z całego świata.
Hakowanie Blockchain stało się problemem i zagraża ekosystemowi kryptowalut. Hakerzy mogą naruszyć zabezpieczenia łańcucha bloków, aby ukraść kryptowalutę i zasoby cyfrowe. Dlatego firmy pracują nad innowacyjnymi sposobami zabezpieczenia swoich systemów przed cyberatakami. Open Zeppelin opublikował raport podsumowujący dziesięć najlepszych technik hakerskich na blockchainie.
W jaki sposób hakerzy stwarzają zagrożenia dla bezpieczeństwa Blockchain?
51% ataków
Ten atak ma miejsce, gdy haker uzyskuje kontrolę nad co najmniej 51% lub więcej mocy obliczeniowej w sieci blockchain. To da im moc kontrolowania algorytmu konsensusu sieci i będzie w stanie manipulować transakcjami. Spowoduje to podwójne wydatki, w których haker może powtórzyć tę samą transakcję. Na przykład Binance jest głównym inwestorem w memecoin Dogecoin i stablecoin Zilliqa i może łatwo manipulować rynkiem kryptograficznym.
Ryzyko inteligentnych kontraktów
Inteligentne kontrakty to samowykonujące się programy, które są zbudowane na podstawowej technologii blockchain. Hakerzy mogą włamać się do kodu inteligentnych kontraktów i manipulować nimi w celu kradzieży informacji, funduszy lub zasobów cyfrowych.
Ataki Sybilli
Taki atak ma miejsce, gdy haker stworzył wiele fałszywych tożsamości lub węzłów w sieci blockchain. Pozwala im to uzyskać kontrolę nad znaczną częścią mocy obliczeniowej sieci. Mogą manipulować transakcjami w sieci, aby pomóc w finansowaniu terroryzmu lub innych nielegalnych działaniach.
Ataki złośliwego oprogramowania
Hakerzy mogą wdrażać złośliwe oprogramowanie, aby uzyskać dostęp do kluczy szyfrujących użytkownika lub prywatnych informacji, umożliwiając im kradzież z portfeli. Hakerzy mogą nakłaniać użytkowników do ujawnienia ich kluczy prywatnych, których można użyć do uzyskania nieautoryzowanego dostępu do ich zasobów cyfrowych.
Jakie są 10 najlepszych technik hakowania Blockchain według Open Zeppelin?
Retrospektywa problemu z integracją złożonego TUSD
Compound to zdecentralizowany protokół finansowy, który pomaga użytkownikom zarabiać na ich aktywach cyfrowych poprzez pożyczanie i pożyczanie ich na blockchainie Ethereum. TrueUSD to stablecoin powiązany z USD. Jeden z głównych problemów związanych z integracją z TUSD był związany z możliwością przenoszenia aktywów.
Aby użyć TUSD na Związku, musiało być możliwe przenoszenie między adresami Ethereum. Jednak w smart kontrakcie TUSD znaleziono błąd, przez co niektóre przelewy zostały zablokowane lub opóźnione. Oznaczało to, że klienci nie mogli wypłacić ani zdeponować TUSD z Compound. Prowadzi to do problemów z płynnością, a użytkownicy tracą możliwość zarobienia odsetek lub pożyczenia TUSD.
6.2 L2 DAI umożliwia kradzież problemów w ocenie kodu
Pod koniec lutego 2021 r. wykryto błąd w ocenie kodu inteligentnych kontraktów StarkNet DAI Bridge, który mógł pozwolić każdemu atakującemu na kradzież środków z systemu Layer 2 lub L2 DAI. Ten problem został wykryty podczas audytu przeprowadzonego przez Certora, organizację zajmującą się bezpieczeństwem blockchain.
Problem w ocenie kodu dotyczył podatnej na ataki funkcji depozytowej umowy, którą haker mógł wykorzystać do zdeponowania monet DAI w systemie L2 DAI; bez faktycznego wysyłania monet. Może to pozwolić hakerowi na wybicie nieograniczonej liczby monet DAI. Mogą sprzedawać go na rynku, aby zarobić ogromne zyski. System StarkNet stracił monety o wartości ponad 200 milionów dolarów, które były w nim zamknięte w momencie odkrycia.
Problem został rozwiązany przez zespół StarkNet, który połączył siły z firmą Certora w celu wdrożenia nowej wersji wadliwego inteligentnego kontraktu. Nowa wersja została następnie skontrolowana przez firmę i uznana za bezpieczną.
Raport ryzyka Avalanche o wartości 350 milionów dolarów
Ryzyko to odnosi się do cyberataku, który miał miejsce w listopadzie 2021 r., w wyniku którego utracono tokeny o wartości około 350 mln USD. Celem tego ataku była Poly Network, platforma DeFi, która umożliwia użytkownikom wymianę kryptowalut. Atakujący wykorzystał lukę w kodzie inteligentnego kontraktu platformy, umożliwiając hakerowi kontrolę nad cyfrowymi portfelami platformy.
Po wykryciu ataku firma Poly Network błagała hakera o zwrot skradzionych aktywów, stwierdzając, że atak wpłynął na platformę i jej użytkowników. Napastnik nieoczekiwanie zgodził się zwrócić skradzione mienie. Twierdził również, że zamierzał ujawnić luki, a nie czerpać z nich korzyści. Ataki podkreślają znaczenie audytów bezpieczeństwa i testowania inteligentnych kontraktów w celu zidentyfikowania luk w zabezpieczeniach, zanim będą mogły zostać wykorzystane.
Jak ukraść 100 milionów dolarów z bezbłędnych inteligentnych kontraktów?
29 czerwca 2022 r. pewna szlachetna osoba chroniła Moonbeam Network, ujawniając krytyczną wadę w projekcie zasobów cyfrowych, które były warte 100 milionów dolarów. Otrzymał maksymalną kwotę tego programu nagrody za błędy od ImmuneF (1 mln USD) oraz premię (50 XNUMX) od Moonwell.
Moonriver i Moonbeam to platformy kompatybilne z EVM. Istnieje między nimi kilka wstępnie skompilowanych inteligentnych kontraktów. Deweloper nie wziął pod uwagę korzyści z „wezwania delegata” w EVM. Złośliwy haker może przekazać swoją prekompilowaną umowę, aby podszyć się pod dzwoniącego. Inteligentna umowa nie będzie w stanie określić rzeczywistego dzwoniącego. Atakujący może natychmiast przelać dostępne środki z kontraktu.
W jaki sposób PWNING zaoszczędził 7 6 ETH i wygrał nagrodę za błąd w wysokości XNUMX milionów dolarów
PWNING to entuzjasta hakowania, który niedawno dołączył do krainy kryptowalut. Kilka miesięcy przed 14 czerwca 2022 roku zgłosił krytyczny błąd w silniku Aurora. Co najmniej 7 6 Eth było zagrożonych kradzieżą, dopóki nie znalazł luki w zabezpieczeniach i nie pomógł zespołowi Aurora rozwiązać problemu. Zdobył także nagrodę za błąd w wysokości XNUMX milionów, drugą najwyższą w historii.
Phantom Functions i Billion Dollar no-op
Są to dwie koncepcje związane z tworzeniem i inżynierią oprogramowania. Funkcje fantomowe to bloki kodu obecne w systemie oprogramowania, ale nigdy nie wykonywane. 10 stycznia zespół Dedaub ujawnił lukę w projekcie Multi Chain, dawniej AnySwap. Multichain wydał publiczne oświadczenie, które skupiało się na wpływie na swoich klientów. Po tym ogłoszeniu nastąpiły ataki i wojna flash botów, w wyniku której utracono 0.5% środków.
Ponowne wejście tylko do odczytu — luka odpowiedzialna za ryzyko 100 mln USD w środkach
Atak ten jest złośliwą umową, która będzie w stanie wywoływać się wielokrotnie i drenować środki z docelowej umowy.
Czy tokeny takie jak WETH mogą być niewypłacalne?
WETH to prosta i podstawowa umowa w ekosystemie Ethereum. Jeśli nastąpi depegging, zarówno ETH, jak i WETH stracą na wartości.
Luka ujawniona w Profanity
Wulgaryzmy to narzędzie próżności Ethereum adresujące próżność. Teraz, jeśli adres portfela użytkownika został wygenerowany przez to narzędzie, korzystanie z niego może być niebezpieczne. Profanity użył losowego 32-bitowego wektora do wygenerowania 256-bitowego klucza prywatnego, który prawdopodobnie jest niebezpieczny.
Atak na Ethereum L2
Zgłoszono krytyczny problem bezpieczeństwa, który może zostać wykorzystany przez każdego atakującego do replikacji pieniędzy w łańcuchu.
Nancy J. Allen jest entuzjastką kryptowalut i wierzy, że kryptowaluty inspirują ludzi do bycia własnymi bankami i odchodzenia od tradycyjnych systemów wymiany walut. Intryguje ją również technologia blockchain i jej działanie.
Źródło: https://www.thecoinrepublic.com/2023/03/17/the-top-10-blockchain-hacking-techniques-by-open-zeppelin/