A 10 legjobb blokklánc-hackelési technika az Open Zeppelintől

– Open Zeppelin, egy kiberbiztonsági vállalat, amely eszközöket biztosít a decentralizált alkalmazások (dApps) fejlesztéséhez és biztosításához.

– A vállalat felfedte, hogy a dApps számára a legnagyobb veszélyt nem a blokklánc technológia jelenti, hanem a hackerek gonosz szándéka világszerte.

A blokklánc-hackelés problémává vált, és veszélyezteti a kriptovaluta ökoszisztémáját. A hackerek feltörhetik a blokklánc biztonságát, hogy kriptovalutákat és digitális eszközöket lopjanak el. Ez az oka annak, hogy a vállalatok innovatív módszereken dolgoznak, hogy megvédjék rendszereiket a kibertámadásoktól. Az Open Zeppelin kiadott egy jelentést, amely összefoglalja a tíz legjobb blokklánc-hackelési technikát. 

Hogyan fenyegetik a hackerek a blokklánc biztonságát?

51% támadások

Ez a támadás akkor következik be, amikor egy hacker átveszi az irányítást a blokklánc-hálózat számítási teljesítményének legalább 51%-a felett. Ez lehetővé teszi számukra a hálózat konszenzusos algoritmusának vezérlését és a tranzakciók manipulálását. Ez kétszeres költést eredményez, ahol a hacker megismételheti ugyanazt a tranzakciót. Például a Binance jelentős befektető a memecoin Dogecoin és a Stablecoin Zilliqa piacán, és könnyen manipulálhatja a kriptopiacot. 

Intelligens szerződéses kockázatok

Az intelligens szerződések olyan önvégrehajtó programok, amelyek a mögöttes blokklánc technológiára épülnek. A hackerek feltörhetik az intelligens szerződések kódját, és manipulálhatják azokat, hogy információkat, pénzeszközöket vagy digitális eszközöket lopjanak el. 

Sybil támad 

Ilyen támadás akkor történik, amikor egy hacker több hamis identitást vagy csomópontot hozott létre egy blokklánc hálózaton. Ez lehetővé teszi számukra, hogy megszerezzék az irányítást a hálózat számítási teljesítményének jelentős része felett. Manipulálhatják a hálózaton lebonyolított tranzakciókat, hogy elősegítsék a terrorizmus finanszírozását vagy más tiltott tevékenységeket. 

Malware támadások

A hackerek rosszindulatú programokat telepíthetnek, hogy hozzáférjenek a felhasználó titkosítási kulcsaihoz vagy személyes adataihoz, lehetővé téve számukra, hogy lopjanak a pénztárcákból. A hackerek rávehetik a felhasználókat, hogy felfedjék privát kulcsaikat, amelyek segítségével illetéktelenül hozzáférhetnek digitális eszközeikhez. 

Mi az Open Zeppelin 10 legjobb blokklánc-hackelési technikája?

Összetett TUSD integrációs probléma retrospektív

A Compound egy decentralizált pénzügyi protokoll, amely segít a felhasználóknak kamatozni digitális eszközeik után az Ethereum blokkláncon történő kölcsönzés és kölcsönadás révén. A TrueUSD egy stabil érme, amely az USD-hez van kötve. A TUSD-vel kapcsolatos egyik fő integrációs probléma az eszközök átruházhatóságával volt kapcsolatos. 

Ahhoz, hogy a TUSD-t egy Compoundon használhassuk, átvihetőnek kellett lennie az Ethereum-címek között. Hibát találtak azonban a TUSD intelligens szerződésében, és néhány átutalást blokkoltak vagy késtek. Ez azt jelentette, hogy az ügyfelek nem vehettek fel vagy nem fizethettek be TUSD-t az alapból. Ez likviditási problémákhoz vezetett, és a felhasználók elvesztették a kamatszerzési vagy TUSD-hitel felvételi lehetőségeiket.

 6.2 Az L2 DAI lehetővé teszi a kódfelmérések során felmerülő problémák ellopását

2021. február végén hibát fedeztek fel a StarkNet DAI Bridge intelligens szerződéseinek kódértékelése során, amely lehetővé tette volna bármely támadó számára, hogy pénzt zsákmányoljon a Layer 2 vagy L2 DAI rendszerből. Ezt a problémát a Certora, a blokklánc-biztonsági szervezet auditja során találták meg.

A kód értékelésének kérdése a szerződés sérülékeny letéti funkcióját érintette, amelyet egy hacker használhatott DAI érmék letétbe helyezésére a DAI L2 rendszerébe; anélkül, hogy ténylegesen elküldené az érméket. Ez lehetővé teheti a hacker számára, hogy korlátlan mennyiségű DAI-érmét verhessen. Eladhatják a piacon, hogy hatalmas haszonra tegyenek szert. A StarkNet rendszer több mint 200 millió dollár értékű érméket veszített, amelyeket a felfedezés időpontjában zártak. 

A problémát a StarkNet csapata oldotta meg, akik a Certorával együttműködve telepítették a hibás intelligens szerződés új verzióját. Az új verziót ezután a cég auditálta, és biztonságosnak ítélte. 

Az Avalanche 350 millió dolláros kockázati jelentése

Ez a kockázat egy 2021 novemberében történt kibertámadásra utal, amely körülbelül 350 millió dollár értékű tokenek elvesztését eredményezte. Ez a támadás a Poly Network-et célozta, egy DeFi platformot, amely lehetővé teszi a felhasználók számára kriptovaluták cseréjét. A támadó kihasználta a platform intelligens szerződési kódjának egy sérülékenységét, lehetővé téve a hacker számára, hogy irányítsa a platform digitális pénztárcáját. 

A támadás felfedezésekor a Poly Network arra kérte a hackert, hogy adja vissza az ellopott eszközöket, kijelentve, hogy a támadás érintette a platformot és annak felhasználóit. A támadó meglepő módon beleegyezett, hogy visszaadja az ellopott eszközöket. Azt is állította, hogy inkább a sebezhetőséget akarta feltárni, mintsem profitálni belőlük. A támadások rávilágítanak a biztonsági auditok és az intelligens szerződések tesztelésének fontosságára, hogy azonosítsák a sérülékenységeket, mielőtt azok kihasználhatóak lennének. 

Hogyan lophatunk el 100 millió dollárt hibátlan intelligens szerződésekből?

29. június 2022-én egy nemes egyén megvédte a Moonbeam hálózatot azzal, hogy felfedte a 100 millió dollár értékű digitális eszközök tervezésének kritikus hibáját. Az ImmuneF megkapta a hibaprogram maximális összegét (1 millió dollár), valamint egy bónuszt (50 ezer) a Moonwelltől. 

A Moonriver és a Moonbeam EVM-kompatibilis platformok. Van köztük néhány előre összeállított intelligens szerződés. A fejlesztő nem vette figyelembe az EVM „delegate call” előnyeit. Egy rosszindulatú hacker átadhatja előre összeállított szerződését, hogy kiadja magát hívójának. Az intelligens szerződés nem fogja tudni meghatározni a tényleges hívót. A támadó a szerződésből azonnal átutalhatja a rendelkezésre álló pénzeszközöket. 

Hogyan mentett meg PWNING 7K ETH-t, és nyert 6 millió dolláros hibadíjat?

PWNING egy hacker rajongó, aki nemrégiben csatlakozott a kriptográfia földjéhez. Néhány hónappal 14. június 2022. előtt jelentett egy kritikus hibát az Aurora Engine-ben. Legalább 7K Eth-t fenyegetett az ellopás, amíg meg nem találta a sebezhetőséget, és nem segített az Aurora csapatának kijavítani a problémát. 6 milliós hibadíjat is nyert, ami a második legmagasabb a történelemben. 

Phantom Functions és Billion Dollar no-op

Ez két fogalom a szoftverfejlesztéshez és a tervezéshez kapcsolódik. A fantomfüggvények olyan kódblokkok, amelyek jelen vannak a szoftverrendszerben, de soha nem kerülnek végrehajtásra. Január 10-én a Dedaub csapata nyilvánosságra hozta a Multi Chain projekt, korábban AnySwap sebezhetőségét. A Multichain nyilvános bejelentést tett, amelyben az ügyfeleire gyakorolt ​​hatásra összpontosított. Ezt a bejelentést támadások és flash bot háború követte, ami 0.5%-os forráskiesést eredményezett.  

Csak olvasható újraindulás – 100 millió dolláros alap kockázatáért felelős sebezhetőség

Ez a támadás egy rosszindulatú szerződés, amely képes lesz ismételten felhívni magát, és elszívni a pénzeszközöket a célzott szerződésből. 

Lehetnek fizetésképtelenek az olyan tokenek, mint a WETH?

A WETH egy egyszerű és alapvető szerződés az Ethereum ökoszisztémában. Ha a depeggelés megtörténik, az ETH és a WETH is veszít értékéből.  

 A Profanity-ben feltárt sebezhetőség

A trágárság az Ethereum hiúságmegszólító eszköze. Ha egy felhasználó pénztárcacímét ez az eszköz hozta létre, előfordulhat, hogy nem biztonságos a használata. A trágárság egy véletlenszerű 32 bites vektort használt a 256 bites privát kulcs létrehozásához, amelyről azt gyanítják, hogy nem biztonságos.

 Támadás az Ethereum L2 ellen

Kritikus biztonsági problémát jelentettek, amelyet bármely támadó felhasználhat a láncon lévő pénz replikálására.  

Nancy J. Allen a kriptográfia rajongója, és úgy véli, hogy a kriptovaluták arra ösztönzik az embereket, hogy saját bankjaik legyenek, és félrelépjenek a hagyományos monetáris csererendszerektől. A blokklánc technológia és annak működése is érdekli őt.

Nancy J. Allen legújabb bejegyzései (az összes megtekintése)