– Open Zeppelin, küberturvalisuse ettevõte, mis pakub tööriistu detsentraliseeritud rakenduste (dApps) arendamiseks ja turvamiseks.
- Ettevõte paljastas, et suurim oht dAppsile ei ole plokiahela tehnoloogia, vaid häkkerite kurjad kavatsused kogu maailmas.
Plokiahela häkkimine on muutunud probleemiks ja ohustab krüptovaluutade ökosüsteemi. Häkkerid võivad rikkuda plokiahela turvalisust, et varastada krüptovaluutat ja digitaalseid varasid. Seetõttu töötavad ettevõtted uuenduslike viiside kallal, et kaitsta oma süsteeme küberrünnakute eest. Open Zeppelin avaldas raporti, mis võtab kokku kümme parimat plokiahela häkkimise tehnikat.
Kuidas häkkerid plokiahela turvalisusele ohtu kujutavad?
51% ründab
See rünnak toimub siis, kui häkker saavutab kontrolli vähemalt 51% või enama arvutusvõimsuse üle plokiahela võrgus. See annab neile võimaluse kontrollida võrgu konsensusalgoritmi ja tehinguid manipuleerida. See toob kaasa topeltkulutused, kus häkker võib sama tehingut korrata. Näiteks on Binance suurinvestor memecoin Dogecoin ja stablecoin Zilliqa ning suudab krüptoturgu hõlpsalt manipuleerida.
Nutikad lepinguriskid
Nutikad lepingud on isetäituvad programmid, mis on üles ehitatud aluseks olevale plokiahela tehnoloogiale. Häkkerid saavad sisse murda nutikate lepingute koodi ja neid manipuleerida, et varastada teavet, raha või digitaalseid varasid.
Sybil ründab
Selline rünnak leiab aset siis, kui häkker on loonud plokiahela võrgus mitu võltsitud identiteeti või sõlme. See võimaldab neil saada kontrolli suurema osa võrgu arvutusvõimsusest. Nad saavad manipuleerida võrgus tehtavate tehingutega, et aidata kaasa terrorismi rahastamisele või muule ebaseaduslikule tegevusele.
Pahavara rünnakud
Häkkerid saavad juurutada pahavara, et saada juurdepääs kasutaja krüpteerimisvõtmetele või privaatsele teabele, võimaldades neil rahakotist varastada. Häkkerid võivad petta kasutajaid avaldama oma privaatvõtmeid, mida saab kasutada nende digitaalsetele varadele volitamata juurdepääsu saamiseks.
Millised on Open Zeppelini 10 parimat plokiahela häkkimise tehnikat?
TUSD integratsiooniprobleemi tagasivaade
Compound on detsentraliseeritud finantsprotokoll, mis aitab kasutajatel oma digitaalsete varade pealt intressi teenida, laenates ja laenates neid Ethereumi plokiahelas. TrueUSD on USD-ga seotud stabiilne münt. Üks peamisi integratsiooniprobleeme TUSD-ga oli seotud varade ülekantavusega.
TUSD kasutamiseks ühendis pidi see olema ülekantav Ethereumi aadresside vahel. TUSD nutikas lepingus leiti aga viga ja mõned ülekanded blokeeriti või viibisid. See tähendas, et kliendid ei saanud Ühendusest TUSD-d välja võtta ega sisse maksta. See põhjustas likviidsusprobleeme ja kasutajad kaotasid võimaluse teenida intressi või laenata TUSD-d.
6.2 L2 DAI võimaldab koodide hindamisel probleeme varastada
2021. aasta veebruari lõpus avastati StarkNet DAI Bridge nutikate lepingute koodihinnangus probleem, mis oleks võinud võimaldada igal ründajal 2. kihi või L2 DAI süsteemist raha rüüstata. See probleem leiti plokiahela turvaorganisatsiooni Certora auditi käigus.
Koodi hindamise probleem hõlmas lepingu haavatavat deponeerimisfunktsiooni, mida häkker oleks võinud kasutada DAI müntide deponeerimiseks DAI L2 süsteemi; ilma tegelikult münte saatmata. See võib võimaldada häkkeril vermida piiramatul hulgal DAI münte. Nad saavad selle turule müüa, et teenida tohutut kasumit. StarkNeti süsteem on kaotanud üle 200 miljoni dollari väärtuses münte, mis olid selle avastamise ajal lukustatud.
Probleemi lahendas StarkNeti meeskond, kes tegi koostööd Certoraga, et juurutada defektse nutika lepingu uus versioon. Seejärel auditeeris ettevõte uut versiooni ja see loeti ohutuks.
Avalanche'i 350 miljoni dollari riskiaruanne
See risk viitab 2021. aasta novembris toimunud küberrünnakule, mille tulemusel kaotati umbes 350 miljoni dollari väärtuses žetoone. See rünnak oli suunatud Poly Networkile, DeFi platvormile, mis võimaldab kasutajatel krüptovaluutasid vahetada. Ründaja kasutas ära platvormi nutika lepingu koodi haavatavust, võimaldades häkkeril juhtida platvormi digitaalseid rahakotte.
Rünnaku avastamisel palus Poly Network häkkeril varastatud varad tagastada, väites, et rünnak mõjutas platvormi ja selle kasutajaid. Ründaja oli üllatuslikult nõus varastatud varad tagastama. Ta väitis ka, et kavatseb haavatavused paljastada, mitte neist kasu saada. Rünnakud rõhutavad turvaauditite ja nutikate lepingute testimise tähtsust, et tuvastada haavatavused enne, kui neid saab ära kasutada.
Kuidas varastada veatutelt nutikatelt lepingutelt 100 miljonit dollarit?
29. juunil 2022 kaitses üllas isik Moonbeami võrku, avalikustades kriitilise vea digitaalsete varade disainis, mille väärtus oli 100 miljonit dollarit. ImmuneF autasustas talle selle vearahaprogrammi maksimumsumma (1 miljon dollarit) ja Moonwelli boonus (50 XNUMX).
Moonriver ja Moonbeam on EVM-iga ühilduvad platvormid. Nende vahel on mõned eelkoostatud nutikad lepingud. Arendaja ei võtnud arvesse EVM-i delegeerimiskõne eelist. Pahatahtlik häkker võib helistaja kehastamiseks edastada oma eelkoostatud lepingu. Nutikas leping ei suuda tegelikku helistajat kindlaks teha. Ründaja saab olemasolevad rahalised vahendid kohe lepingust üle kanda.
Kuidas PWNING säästis 7K ETH ja võitis 6 miljoni dollari suuruse vearaha?
PWNING on häkkimise entusiast, kes on hiljuti liitunud krüptomaaga. Mõni kuu enne 14. juunit 2022 teatas ta kriitilisest veast Aurora mootoris. Vähemalt 7K Eth oli varastamise ohus, kuni ta leidis haavatavuse ja aitas Aurora meeskonnal probleemi lahendada. Ta võitis ka 6 miljoni suuruse vearaha, mis on ajaloo suuruselt teine.
Phantom Functions ja miljardi dollari no-op
Need on kaks tarkvaraarenduse ja -tehnoloogiaga seotud kontseptsiooni. Fantoomfunktsioonid on tarkvarasüsteemis olevad koodiplokid, mida pole kunagi käivitatud. 10. jaanuaril avalikustas Dedaubi meeskond haavatavuse Multi Chain projektis, varem AnySwap. Multichain on teinud avaliku teadaande, mis keskendus mõjule oma klientidele. Sellele teadaandele järgnesid rünnakud ja flash bot sõda, mille tulemuseks oli 0.5% rahakaotus.
Kirjutuskaitstud taaskasutamine – haavatavus, mis põhjustab 100 miljoni dollari suuruse fondi riski
See rünnak on pahatahtlik leping, mis suudab end korduvalt helistada ja sihtlepingust raha välja tõmmata.
Kas sellised märgid nagu WETH võivad olla maksejõuetud?
WETH on lihtne ja põhiline leping Ethereumi ökosüsteemis. Kui dedegging toimub, kaotavad nii ETH kui ka WETH väärtuse.
Jaotises Profanity avalikustatud haavatavus
Roppused on Ethereumi edevuse adresseerimise tööriist. Kui see tööriist genereeris kasutaja rahakoti aadressi, võib selle kasutamine olla ohtlik. Profanity kasutas 32-bitise privaatvõtme genereerimiseks juhuslikku 256-bitist vektorit, mis kahtlustatakse olevat ohtlik.
Rünnak Ethereum L2 vastu
Teatati kriitilisest turvaprobleemist, mida iga ründaja võis kasutada ketis oleva raha kopeerimiseks.
Nancy J. Allen on krüptoentusiast ja usub, et krüptovaluutad inspireerivad inimesi olema omaenda pangad ja astuma kõrvale traditsioonilistest rahavahetussüsteemidest. Teda huvitab ka plokiahela tehnoloogia ja selle toimimine.
Allikas: https://www.thecoinrepublic.com/2023/03/17/the-top-10-blockchain-hacking-techniques-by-open-zeppelin/