Топ 10 техники за хакирање на блокчејн од Open Zeppelin

– Open Zeppelin, компанија за сајбер безбедност која обезбедува алатки за развој и обезбедување на децентрализирани апликации (dApps).

– Компанијата откри дека најголемата закана за dApps не е блокчејн технологијата, туку злата намера на хакерите ширум светот.

Хакирањето на блокчејн стана проблем и му се заканува на екосистемот на криптовалути. Хакерите можат да ја нарушат безбедноста на блокчејн за да украдат криптовалути и дигитални средства. Ова е причината зошто компаниите работат на иновативни начини да ги заштитат своите системи од сајбер-напади. Open Zeppelin објави извештај во кој ги сумира првите десет техники за хакирање на блокчејн. 

Како хакерите претставуваат закани за безбедноста на блокчејн?

51% Напади

Овој напад се случува кога хакер ќе добие контрола над најмалку 51% или повеќе од компјутерската моќ на блокчејн мрежа. Ова ќе им даде моќ да го контролираат алгоритмот за консензус на мрежата и да можат да манипулираат со трансакциите. Ова ќе резултира со двојно трошење, каде што хакерот може да ја повтори истата трансакција. На пример, Binance е главен инвеститор во memecoin Dogecoin и stablecoin Zilliqa и лесно може да манипулира со крипто-пазарот. 

Паметни ризици од договор

Паметните договори се само-извршливи програми кои се изградени на основната блокчејн технологија. Хакерите можат да го пробијат кодот на паметните договори и да манипулираат со нив за да украдат информации или средства или дигитални средства. 

Сибилна напади 

Таков напад се случува кога хакер создал повеќе лажни идентитети или јазли на блокчејн мрежа. Ова им овозможува да добијат контрола над голем дел од компјутерската моќ на мрежата. Тие можат да манипулираат со трансакции на мрежата за да помогнат во финансирање на тероризам или други незаконски активности. 

Напади на малициозен софтвер

Хакерите можат да распоредат малициозен софтвер за да добијат пристап до клучевите за шифрирање или приватните информации на корисникот, дозволувајќи им да крадат од паричниците. Хакерите можат да ги измамат корисниците да ги откријат нивните приватни клучеви, кои може да се користат за неовластен пристап до нивните дигитални средства. 

Кои се најдобрите 10 техники за хакирање на блокчејн од Open Zeppelin?

Соединение TUSD интеграциско прашање Ретроспектива

Compound е децентрализиран финансиски протокол кој им помага на корисниците да заработат камата на нивните дигитални средства со позајмување и позајмување на блокчејнот Ethereum. TrueUSD е стабилна валута поврзана со УСД. Едно од главните прашања за интеграција со TUSD беше поврзано со преносливоста на средствата. 

За да се користи TUSD на соединение, тој мораше да биде пренослив помеѓу адресите на Ethereum. Сепак, беше пронајдена грешка во паметниот договор на TUSD, а некои трансфери беа блокирани или одложени. Ова значеше дека клиентите не можеа да повлечат или депонираат TUSD од Соединението. Тоа доведува до проблеми со ликвидноста и корисниците ги загубија можностите да заработат камата или да позајмат TUSD.

 6.2 L2 DAI дозволува крадење прашања во проценките на кодот

На крајот на февруари 2021 година, беше откриен проблем во проценката на кодот на паметните договори StarkNet DAI Bridge, што можеше да му дозволи на секој напаѓач да ограби средства од системот Layer 2 или L2 DAI. Овој проблем беше откриен за време на ревизија од Certora, организација за безбедност на блокчејн.

Прашањето во проценката на кодот вклучуваше ранлива функција на депозит од договорот, која хакер можеше да ја искористи за да ги депонира монетите на DAI во системот L2 на DAI; без всушност да ги испратите монетите. Ова може да му овозможи на хакерот да кова неограничено количество монети DAI. Тие можат да го продадат на пазарот за да заработат огромен профит. Системот StarkNet изгуби монети во вредност од над 200 милиони долари заклучени во него во моментот на откривање. 

Проблемот беше решен од тимот на StarkNet, кој се здружи со Certora за да распореди нова верзија на дефектниот паметен договор. Новата верзија потоа беше ревидирана од компанијата и се сметаше за безбедна. 

Извештај за ризик од 350 милиони долари на Лавина

Овој ризик се однесува на сајбер напад што се случи во ноември 2021 година, што резултираше со загуба на токени во вредност од околу 350 милиони долари. Овој напад беше насочен кон Poly Network, платформа DeFi која им овозможува на корисниците да разменуваат криптовалути. Напаѓачот ја искористил ранливоста во кодот за паметни договори на платформата, дозволувајќи му на хакерот да ги контролира дигиталните паричници на платформата. 

По откривањето на нападот, Poly Network го замоли хакерот да ги врати украдените средства, наведувајќи дека нападот влијаел на платформата и нејзините корисници. Напаѓачот изненадувачки се согласил да ги врати украдените средства. Тој исто така тврдеше дека имал намера да ги открие ранливостите наместо да профитира од нив. Нападите ја истакнуваат важноста на безбедносните ревизии и тестирањето на паметните договори за да се идентификуваат ранливостите пред тие да бидат искористени. 

Како да украдете 100 милиони долари од беспрекорни паметни договори?

На 29 јуни 2022 година, благороден поединец ја заштити мрежата на Месечината со откривање на критичен пропуст во дизајнот на дигиталните средства, вредни 100 милиони долари. Тој беше награден со максимален износ од оваа програма за баунтирање грешки од ImmuneF (1 милион долари) и бонус (50 илјади) од Moonwell. 

Moonriver и Moonbeam се платформи компатибилни со EVM. Има некои претходно составени паметни договори меѓу нив. Инвеститорот не ја искористи предноста од „повикот за делегат“ во EVM. Злонамерен хакер може да го предаде својот претходно компајлиран договор за да го имитира својот повикувач. Паметниот договор нема да може да го одреди вистинскиот повикувач. Напаѓачот може веднаш да ги префрли расположливите средства од договорот. 

Како PWNING заштеди 7K ETH и освои награда од 6 милиони долари за грешки

PWNING е ентузијаст за хакирање кој неодамна се приклучи на земјата на крипто. Неколку месеци пред 14 јуни 2022 година, тој пријави критична грешка во моторот Аурора. Најмалку 7K Eth беа изложени на ризик да бидат украдени додека не ја пронајде ранливоста и не му помогна на тимот на Аурора да го реши проблемот. Тој, исто така, доби награда за бубачки од 6 милиони, втора најголема во историјата. 

Фантомски функции и милијарда долари no-op

Ова се два концепта поврзани со развој на софтвер и инженерство. Фантомските функции се блокови од код присутни во софтверски систем, но никогаш не се извршуваат. На 10 јануари, тимот на Dedaub ја откри ранливоста на проектот Multi Chain, порано AnySwap. Multichain објави јавна објава која се фокусираше на влијанието врз своите клиенти. Оваа објава беше проследена со напади и флеш бот војна, што резултираше со загуба од 0.5% од средствата.  

Повторно влегување само за читање - Ранливост одговорна за ризик од 100 милиони долари во средства

Овој напад е злонамерен договор што ќе може постојано да се повикува себеси и да ги троши средствата од целниот договор. 

Дали токените како WETH можат да бидат несолвентни?

WETH е едноставен и основен договор во екосистемот Ethereum. Ако се изврши депегирање, и ETH и WETH ќе ја изгубат вредноста.  

 Ранливост откриена во вулгарности

Вулгарноста е алатка за суета за адресирање на Ethereum за суета. Сега, ако адресата на паричникот на корисникот е генерирана од оваа алатка, може да биде небезбедна за него да ја користи. Вулгарноста користеше случаен 32-битен вектор за генерирање на 256-битен приватен клуч, за кој постои сомневање дека е небезбеден.

 Напаѓање на Ethereum L2

Пријавен е критичен безбедносен проблем, кој може да го искористи секој напаѓач за да реплицира пари на ланецот.  

Ненси Џеј. Таа е исто така заинтригирана од блокчејн технологијата и нејзиното функционирање.

Најнови објави на Ненси Џ. Ален (Види се)