– Deschideți Zeppelin, o companie de securitate cibernetică care oferă instrumente pentru dezvoltarea și securizarea aplicațiilor descentralizate (dApps).
– Compania a dezvăluit că cea mai mare amenințare pentru dApps nu este tehnologia blockchain, ci intenția diabolică a hackerilor din întreaga lume.
Hackingul blockchain a devenit o problemă și amenință ecosistemul criptomonedei. Hackerii pot încălca securitatea blockchain pentru a fura criptomonede și active digitale. Acesta este motivul pentru care companiile lucrează la modalități inovatoare de a-și asigura sistemele împotriva atacurilor cibernetice. Open Zeppelin a lansat un raport care rezumă primele zece tehnici de hacking blockchain.
Cum reprezintă hackerii amenințări la adresa securității blockchain?
51% atacuri
Acest atac are loc atunci când un hacker câștigă controlul a cel puțin 51% sau mai mult din puterea de calcul dintr-o rețea blockchain. Acest lucru le va oferi puterea de a controla algoritmul de consens al rețelei și de a putea manipula tranzacțiile. Acest lucru va duce la cheltuieli duble, unde hackerul poate repeta aceeași tranzacție. De exemplu, Binance este un investitor major în memecoin Dogecoin și stablecoin Zilliqa și poate manipula cu ușurință piața cripto.
Riscuri de contracte inteligente
Contractele inteligente sunt programe auto-executive care sunt construite pe tehnologia blockchain de bază. Hackerii pot pirata codul contractelor inteligente și le pot manipula pentru a fura informații sau fonduri sau active digitale.
Sybil atacurile
Un astfel de atac are loc atunci când un hacker a creat mai multe identități sau noduri false într-o rețea blockchain. Acest lucru le permite să obțină controlul asupra unei părți majore a puterii de calcul a rețelei. Ei pot manipula tranzacțiile din rețea pentru a ajuta la finanțarea terorismului sau alte activități ilicite.
Atacuri malware
Hackerii pot implementa programe malware pentru a avea acces la cheile de criptare sau la informațiile private ale unui utilizator, permițându-le să fure din portofele. Hackerii pot păcăli utilizatorii să-și dezvăluie cheile private, care pot fi folosite pentru a obține acces neautorizat la activele lor digitale.
Care sunt primele 10 tehnici de hacking blockchain de la Open Zeppelin?
Compound TUSD Integrare Problemă Retrospectivă
Compound este un protocol de finanțare descentralizat care îi ajută pe utilizatori să câștige dobândă pe activele lor digitale împrumutându-le și împrumutându-le pe blockchain-ul Ethereum. TrueUSD este o monedă stabilă legată de USD. Una dintre principalele probleme de integrare cu TUSD a fost legată de transferabilitatea activelor.
Pentru a utiliza TUSD pe un compus, acesta trebuia să fie transferabil între adresele Ethereum. Cu toate acestea, a fost găsită o eroare în contractul inteligent al TUSD, iar unele transferuri au fost blocate sau întârziate. Acest lucru însemna că clienții nu puteau retrage sau depune TUSD din Compound. Astfel, ducând la probleme de lichiditate, utilizatorii au pierdut oportunități de a câștiga dobândă sau de a împrumuta TUSD.
6.2 L2 DAI permite furtul problemelor în evaluările codului
La sfârșitul lunii februarie 2021, a fost descoperită o problemă în evaluarea codului contractelor inteligente StarkNet DAI Bridge, care ar fi putut permite oricărui atacator să jefuiască fonduri din sistemul DAI Layer 2 sau L2. Această problemă a fost găsită în timpul unui audit de către Certora, o organizație de securitate blockchain.
Problema din evaluarea codului a implicat o funcție vulnerabilă de depozit a contractului, pe care un hacker ar fi putut-o folosi pentru a depune monede DAI în sistemul L2 al DAI; fără a trimite efectiv monedele. Acest lucru ar putea permite unui hacker să bată o cantitate nelimitată de monede DAI. Îl pot vinde pe piață pentru a obține profituri uriașe. Sistemul StarkNet a pierdut monede în valoare de peste 200 de milioane de dolari blocate în el în momentul descoperirii.
Problema a fost rezolvată de echipa StarkNet, care a făcut echipă cu Certora pentru a implementa o nouă versiune a contractului inteligent defect. Noua versiune a fost apoi auditată de companie și considerată sigură.
Raportul de risc de 350 milioane USD al Avalanșă
Acest risc se referă la un atac cibernetic care a avut loc în noiembrie 2021, care a dus la pierderea a aproximativ 350 de milioane de dolari în jetoane. Acest atac a vizat Poly Network, o platformă DeFi care permite utilizatorilor să facă schimb de criptomonede. Atacatorul a exploatat o vulnerabilitate din codul de contract inteligent al platformei, permițând hackerului să controleze portofelele digitale ale platformei.
La descoperirea atacului, Poly Network l-a rugat pe hacker să returneze bunurile furate, declarând că atacul a afectat platforma și utilizatorii acesteia. Atacatorul a acceptat în mod surprinzător să returneze bunurile furate. El a mai susținut că intenționează să expună vulnerabilitățile, mai degrabă decât să profite de pe urma acestora. Atacurile evidențiază importanța auditurilor de securitate și a testării contractelor inteligente pentru a identifica vulnerabilități înainte ca acestea să poată fi exploatate.
Cum să furi 100 de milioane de dolari din contracte inteligente fără cusur?
La 29 iunie 2022, o persoană nobilă a protejat Moonbeam Network dezvăluind un defect critic în proiectarea activelor digitale, care valorau 100 de milioane de dolari. I s-a acordat suma maximă a acestui program de recompensă pentru erori de către ImmuneF (1 milion de dolari) și un bonus (50) de la Moonwell.
Moonriver și Moonbeam sunt platforme compatibile cu EVM. Există câteva contracte inteligente precompilate între ei. Dezvoltatorul nu a luat în considerare avantajul „apelului delegat” din EVM. Un hacker rău intenționat își poate transmite contractul precompilat pentru a-și uzurpa identitatea apelantului. Contractul inteligent nu va putea determina apelantul real. Atacatorul poate transfera fondurile disponibile imediat din contract.
Cum a salvat PWNING 7K ETH și a câștigat o recompensă de 6 milioane USD pentru erori
PWNING este un pasionat de hacking care s-a alăturat recent tărâmului cripto. Cu câteva luni înainte de 14 iunie 2022, a raportat o eroare critică în motorul Aurora. Cel puțin 7K Eth riscau să fie furați până când a găsit vulnerabilitatea și a ajutat echipa Aurora să remedieze problema. De asemenea, a câștigat o recompensă de 6 milioane, a doua cea mai mare din istorie.
Funcții fantomă și fără operațiuni de miliarde de dolari
Acestea sunt două concepte legate de dezvoltarea software și inginerie. Funcțiile fantomă sunt blocuri de cod prezente într-un sistem software, dar niciodată executate. Pe 10 ianuarie, echipa Dedaub a dezvăluit vulnerabilitatea proiectului Multi Chain, fost AnySwap. Multichain a făcut un anunț public care sa concentrat pe impactul asupra clienților săi. Acest anunț a fost urmat de atacuri și de un război flash bot, care a dus la o pierdere de 0.5% din fonduri.
Reintrare numai în citire - O vulnerabilitate responsabilă pentru un risc de 100 milioane USD în fonduri
Acest atac este un contract rău intenționat care va putea să se autoinvoce în mod repetat și să scurgă fonduri din contractul vizat.
Ar putea fi insolvabile jetoane precum WETH?
WETH este un contract simplu și fundamental în ecosistemul Ethereum. Dacă are loc depegging, atât ETH, cât și WETH își vor pierde valoarea.
O vulnerabilitate dezvăluită în Profanity
Profanity este un instrument Ethereum care se adresează vanității. Acum, dacă adresa portofelului unui utilizator a fost generată de acest instrument, ar putea fi nesigur pentru utilizare. Profanity a folosit un vector aleatoriu de 32 de biți pentru a genera cheia privată de 256 de biți, care este suspectată a fi nesigură.
Atacul asupra Ethereum L2
A fost raportată o problemă critică de securitate, care ar putea fi folosită de orice atacator pentru a replica banii în lanț.
Nancy J. Allen este o pasionată de criptomonede și consideră că criptomonedele îi inspiră pe oameni să fie propriile bănci și să se îndepărteze de sistemele tradiționale de schimb monetar. Ea este, de asemenea, intrigata de tehnologia blockchain și de funcționarea acesteia.
Sursa: https://www.thecoinrepublic.com/2023/03/17/the-top-10-blockchain-hacking-techniques-by-open-zeppelin/