– Отворете Zeppelin, компания за киберсигурност, която предоставя инструменти за разработване и защита на децентрализирани приложения (dApps).
– Компанията разкри, че най-голямата заплаха за dApps не е блокчейн технологията, а злите намерения от хакери по целия свят.
Хакването на блокчейн се превърна в проблем и застрашава екосистемата на криптовалутата. Хакерите могат да нарушат сигурността на блокчейн, за да откраднат криптовалута и цифрови активи. Ето защо компаниите работят върху иновативни начини за защита на своите системи от кибератаки. Open Zeppelin публикува доклад, обобщаващ десетте най-добри техники за хакване на блокчейн.
Как хакерите създават заплахи за сигурността на блокчейн?
51% атаки
Тази атака се случва, когато хакер получи контрол върху поне 51% или повече от изчислителната мощност на блокчейн мрежа. Това ще им даде властта да контролират консенсусния алгоритъм на мрежата и да могат да манипулират транзакциите. Това ще доведе до двойно харчене, при което хакерът може да повтори същата транзакция. Например Binance е основен инвеститор в memecoin Dogecoin и stablecoin Zilliqa и може лесно да манипулира крипто пазара.
Рискове за интелигентен договор
Интелигентните договори са самоизпълняващи се програми, които са изградени върху основната блокчейн технология. Хакерите могат да проникнат в кода на интелигентните договори и да ги манипулират, за да откраднат информация или средства, или цифрови активи.
Сибил атакува
Такава атака възниква, когато хакер е създал множество фалшиви самоличности или възли в блокчейн мрежа. Това им позволява да получат контрол върху голяма част от изчислителната мощност на мрежата. Те могат да манипулират транзакции в мрежата, за да помогнат при финансиране на тероризъм или други незаконни дейности.
Атаки на зловреден софтуер
Хакерите могат да разположат злонамерен софтуер, за да получат достъп до ключовете за криптиране на потребителя или лична информация, което им позволява да крадат от портфейли. Хакерите могат да подмамят потребителите да разкрият личните си ключове, които могат да бъдат използвани за получаване на неоторизиран достъп до техните цифрови активи.
Кои са 10-те най-добри техники за хакване на блокчейн от Open Zeppelin?
Ретроспективен проблем за интегриране на Compound TUSD
Compound е децентрализиран финансов протокол, който помага на потребителите да печелят лихва върху своите цифрови активи, като ги заемат и заемат в блокчейна на Ethereum. TrueUSD е стабилна монета, обвързана с USD. Един от основните проблеми с интеграцията с TUSD беше свързан с възможността за прехвърляне на активи.
За да използвате TUSD на Compound, той трябваше да може да се прехвърля между адреси на Ethereum. Въпреки това беше открита грешка в интелигентния договор на TUSD и някои трансфери бяха блокирани или забавени. Това означава, че клиентите не могат да теглят или депозират TUSD от Compound. Това води до проблеми с ликвидността и потребителите губят възможности да печелят лихва или да заемат TUSD.
6.2 L2 DAI позволява проблеми с кражбата в оценките на кода
В края на февруари 2021 г. беше открит проблем в оценката на кода на интелигентните договори StarkNet DAI Bridge, който можеше да позволи на всеки хакер да ограби средства от Layer 2 или L2 DAI системата. Този проблем беше открит по време на одит от Certora, организация за сигурност на блокчейн.
Проблемът при оценката на кода включва уязвима депозитна функция на договора, която хакер може да е използвал, за да депозира DAI монети в L2 системата на DAI; без реално изпращане на монетите. Това може да позволи на хакер да сече неограничено количество DAI монети. Те могат да го продадат на пазара, за да спечелят огромни печалби. Системата StarkNet е загубила монети на стойност над $200 милиона, заключени в нея по време на откриването.
Проблемът беше разрешен от екипа на StarkNet, който се обедини с Certora, за да внедри нова версия на дефектния интелигентен договор. След това новата версия беше одитирана от компанията и счетена за безопасна.
Доклад за риска от $350 милиона на Avalanche
Този риск се отнася до кибератака, случила се през ноември 2021 г., която доведе до загуба на токени на стойност около $350 милиона. Тази атака беше насочена към Poly Network, платформа DeFi, която позволява на потребителите да обменят криптовалути. Нападателят се възползва от уязвимост в кода на интелигентния договор на платформата, което позволява на хакера да контролира цифровите портфейли на платформата.
При откриването на атаката Poly Network моли хакера да върне откраднатите активи, заявявайки, че атаката е засегнала платформата и нейните потребители. Нападателят изненадващо се съгласи да върне откраднатите активи. Той също така твърди, че възнамерява да разкрие уязвимостите, вместо да печели от тях. Атаките подчертават значението на одитите на сигурността и тестването на интелигентни договори за идентифициране на уязвимости, преди да могат да бъдат използвани.
Как да откраднете $100 милиона от безупречни интелигентни договори?
На 29 юни 2022 г. благороден човек защити Moonbeam Network, като разкри критичен пропуск в дизайна на цифрови активи, които бяха на стойност 100 милиона долара. Той получи максималната сума от тази програма за награди за грешки от ImmuneF ($1M) и бонус (50K) от Moonwell.
Moonriver и Moonbeam са EVM-съвместими платформи. Има някои предварително компилирани интелигентни договори между тях. Разработчикът не е взел предвид предимството на „обаждането на делегат“ в EVM. Злонамерен хакер може да прехвърли своя предварително компилиран договор, за да се представя за обаждащия се. Интелигентният договор няма да може да определи действителния обаждащ се. Нападателят може да прехвърли наличните средства веднага от договора.
Как PWNING спести 7K ETH и спечели $6 милиона награда за грешки
PWNING е хакерски ентусиаст, който наскоро се присъедини към страната на крипто. Няколко месеца преди 14 юни 2022 г. той съобщи за критична грешка в Aurora Engine. Най-малко 7K Eth бяха изложени на риск да бъдат откраднати, докато той не открие уязвимостта и не помогне на екипа на Aurora да коригира проблема. Той също така спечели награда за грешки от 6 милиона, втората най-висока в историята.
Фантомни функции и милиарди долари без операции
Това са две концепции, свързани с разработката и инженеринга на софтуер. Фантомните функции са блокове от код, присъстващи в софтуерна система, но никога не се изпълняват. На 10 януари екипът на Dedaub разкри уязвимост към проекта Multi Chain, по-рано AnySwap. Multichain направи публично съобщение, което се фокусира върху въздействието върху своите клиенти. Това съобщение беше последвано от атаки и флаш бот война, което доведе до загуба на 0.5% от средствата.
Повторно влизане само за четене - Уязвимост, отговорна за риск от $100 милиона във фондове
Тази атака е злонамерен договор, който ще може да се обажда многократно и да източва средства от целевия договор.
Възможно ли е токени като WETH да бъдат неплатежоспособни?
WETH е прост и основен договор в екосистемата Ethereum. Ако се извърши депегинг, ETH и WETH ще загубят стойност.
Уязвимост, разкрита в ругатните
Profanity е инструмент за суета на Ethereum, насочен към суета. Сега, ако адресът на портфейла на потребител е генериран от този инструмент, може да е опасно за него да го използва. Нецензурните думи използват произволен 32-битов вектор, за да генерират 256-битов частен ключ, за който се предполага, че е опасен.
Атака срещу Ethereum L2
Беше докладван критичен проблем със сигурността, който може да бъде използван от всеки нападател за репликиране на пари във веригата.
Нанси Дж. Алън е крипто ентусиаст и вярва, че криптовалутите вдъхновяват хората да бъдат свои собствени банки и да се отдръпнат от традиционните системи за паричен обмен. Тя също е заинтригувана от блокчейн технологията и нейното функциониране.
Източник: https://www.thecoinrepublic.com/2023/03/17/the-top-10-blockchain-hacking-techniques-by-open-zeppelin/