– Open Zeppelin, spoločnosť zaoberajúca sa kybernetickou bezpečnosťou, ktorá poskytuje nástroje na vývoj a zabezpečenie decentralizovaných aplikácií (dApps).
– Spoločnosť odhalila, že najväčšou hrozbou pre dApps nie je technológia blockchain, ale zlý úmysel hackerov z celého sveta.
Hackovanie blockchainu sa stalo problémom a ohrozuje ekosystém kryptomien. Hackeri môžu prelomiť bezpečnosť blockchainu, aby ukradli kryptomeny a digitálne aktíva. To je dôvod, prečo spoločnosti pracujú na inovatívnych spôsoboch zabezpečenia svojich systémov pred kybernetickými útokmi. Open Zeppelin zverejnil správu, v ktorej zhrnul desať najlepších techník hackovania blockchainu.
Ako hackeri predstavujú hrozbu pre bezpečnosť blockchainu?
51 % útokov
K tomuto útoku dochádza, keď hacker získa kontrolu nad najmenej 51 % alebo viac výpočtového výkonu v blockchainovej sieti. To im poskytne právomoc ovládať konsenzuálny algoritmus siete a budú môcť manipulovať s transakciami. To bude mať za následok dvojité výdavky, kde môže hacker opakovať rovnakú transakciu. Napríklad Binance je hlavným investorom do memecoinov Dogecoin a stablecoin Zilliqa a môže ľahko manipulovať s kryptotrhom.
Riziká inteligentnej zmluvy
Inteligentné zmluvy sú samovykonávateľné programy, ktoré sú postavené na základnej technológii blockchain. Hackeri môžu preniknúť do kódu inteligentných zmlúv a manipulovať s nimi, aby ukradli informácie alebo finančné prostriedky alebo digitálne aktíva.
Sybil útočí
K takémuto útoku dochádza, keď hacker vytvoril viacero falošných identít alebo uzlov na blockchainovej sieti. To im umožňuje získať kontrolu nad veľkou časťou výpočtového výkonu siete. Môžu manipulovať transakcie v sieti, aby pomohli pri financovaní terorizmu alebo iných nezákonných činnostiach.
Škodlivé programy
Hackeri môžu nasadiť malvér, aby získali prístup k šifrovacím kľúčom alebo súkromným informáciám používateľa, čo im umožňuje kradnúť z peňaženiek. Hackeri môžu oklamať používateľov, aby odhalili svoje súkromné kľúče, ktoré môžu byť použité na získanie neoprávneného prístupu k ich digitálnym aktívam.
Aké sú 10 najlepších techník hackovania blockchainu od Open Zeppelin?
Retrospektíva zloženého problému integrácie TUSD
Compound je decentralizovaný finančný protokol, ktorý pomáha používateľom zarábať úroky z ich digitálnych aktív tým, že si ich požičiavajú a požičiavajú na blockchaine Ethereum. TrueUSD je stablecoin naviazaný na USD. Jeden z hlavných problémov integrácie s TUSD sa týkal prevoditeľnosti aktív.
Ak chcete použiť TUSD na zlúčenine, muselo byť prenosné medzi adresami Ethereum. V inteligentnej zmluve TUSD sa však našla chyba a niektoré prevody boli zablokované alebo oneskorené. To znamenalo, že zákazníci nemohli vybrať ani vložiť TUSD zo zlúčeniny. To vedie k problémom s likviditou a používatelia stratili príležitosti získať úrok alebo požičať si TUSD.
6.2 L2 DAI umožňuje kradnúť problémy pri hodnotení kódu
Koncom februára 2021 bol objavený problém v hodnotení kódu inteligentných zmlúv StarkNet DAI Bridge, ktorý mohol umožniť akémukoľvek útočníkovi ukoristiť prostriedky zo systému Layer 2 alebo L2 DAI. Tento problém bol zistený počas auditu Certora, bezpečnostnej organizácie pre blockchain.
Problém pri hodnotení kódu sa týkal funkcie zraniteľného vkladu zmluvy, ktorú mohol hacker použiť na vloženie mincí DAI do systému L2 DAI; bez skutočného odoslania mincí. To by mohlo hackerovi umožniť raziť neobmedzené množstvo DAI mincí. Môžu ho predať na trhu, aby zarobili obrovské zisky. Systém StarkNet stratil v čase objavu zamknuté mince v hodnote viac ako 200 miliónov dolárov.
Problém vyriešil tím StarkNet, ktorý sa spojil so spoločnosťou Certora, aby nasadili novú verziu chybnej inteligentnej zmluvy. Nová verzia bola následne auditovaná spoločnosťou a považovaná za bezpečnú.
Správa Avalanche o riziku 350 miliónov dolárov
Toto riziko sa týka kybernetického útoku, ku ktorému došlo v novembri 2021 a ktorý viedol k strate tokenov v hodnote približne 350 miliónov dolárov. Tento útok sa zameral na Poly Network, platformu DeFi, ktorá používateľom umožňuje vymieňať si kryptomeny. Útočník zneužil zraniteľnosť v kóde inteligentnej zmluvy platformy, čo umožnilo hackerovi ovládať digitálne peňaženky platformy.
Po zistení útoku Poly Network požiadala hackera, aby vrátil ukradnuté aktíva, pričom uviedol, že útok zasiahol platformu a jej používateľov. Útočník prekvapivo súhlasil s vrátením ukradnutého majetku. Tvrdil tiež, že mal v úmysle odhaliť slabé miesta, a nie z nich profitovať. Útoky zdôrazňujú dôležitosť bezpečnostných auditov a testovania inteligentných zmlúv na identifikáciu zraniteľných miest skôr, ako ich možno zneužiť.
Ako ukradnúť 100 miliónov dolárov z bezchybných inteligentných zmlúv?
Dňa 29. júna 2022 ušľachtilý jednotlivec ochránil Moonbeam Network odhalením kritickej chyby v dizajne digitálnych aktív, ktoré mali hodnotu 100 miliónov dolárov. Získal maximálnu sumu tohto bug bounty programu od ImmuneF (1 milión USD) a bonus (50 XNUMX) od Moonwell.
Moonriver a Moonbeam sú platformy kompatibilné s EVM. Medzi nimi existuje niekoľko predkompilovaných inteligentných zmlúv. Developer nezohľadnil výhodu „výzvy delegáta“ v EVM. Škodlivý hacker môže odovzdať svoju vopred skompilovanú zmluvu, aby sa vydával za svojho volajúceho. Inteligentná zmluva nebude schopná určiť skutočného volajúceho. Útočník môže okamžite previesť dostupné prostriedky zo zmluvy.
Ako PWNING ušetril 7K ETH a vyhral odmenu za chyby vo výške 6 miliónov dolárov
PWNING je hackerský nadšenec, ktorý sa nedávno pripojil k krajine kryptomien. Niekoľko mesiacov pred 14. júnom 2022 nahlásil kritickú chybu v motore Aurora. Minimálne 7K Eth bolo vystavené riziku odcudzenia, kým nenašiel zraniteľnosť a nepomohol tímu Aurora problém vyriešiť. Vyhral tiež odmenu za chyby vo výške 6 miliónov, druhú najvyššiu v histórii.
Fantómové funkcie a miliardové no-op
Toto sú dva pojmy súvisiace s vývojom softvéru a inžinierstvom. Fantómové funkcie sú bloky kódu prítomné v softvérovom systéme, ale nikdy sa nespustia. 10. januára tím Dedaub odhalil zraniteľnosť projektu Multi Chain, predtým AnySwap. Spoločnosť Multichain vydala verejné oznámenie, ktoré sa zameralo na dopad na svojich klientov. Po tomto oznámení nasledovali útoky a blesková vojna botov, čo malo za následok stratu 0.5 % finančných prostriedkov.
Reentrancy len na čítanie – Zraniteľnosť zodpovedná za riziko vo výške 100 miliónov USD vo finančných prostriedkoch
Tento útok je škodlivou zmluvou, ktorá sa bude môcť opakovane volať a odčerpávať finančné prostriedky z cielenej zmluvy.
Môžu byť žetóny ako WETH insolventné?
WETH je jednoduchý a základný kontrakt v ekosystéme Ethereum. Ak dôjde k depeggingu, ETH aj WETH stratia hodnotu.
Zraniteľnosť uvedená v vulgárnych výrazoch
Vulgárne výrazy sú Ethereum pomôcka na riešenie márnosti. Ak bola adresa peňaženky používateľa vygenerovaná týmto nástrojom, môže to byť pre neho nebezpečné. Vulgárne výrazy použili náhodný 32-bitový vektor na vygenerovanie 256-bitového súkromného kľúča, o ktorom sa predpokladá, že nie je bezpečný.
Útok na Ethereum L2
Bol nahlásený kritický bezpečnostný problém, ktorý by mohol použiť ktorýkoľvek útočník na replikáciu peňazí v reťazci.
Nancy J. Allen je nadšencom kryptomien a verí, že kryptomeny inšpirujú ľudí k tomu, aby boli vlastnými bankami a odišli od tradičných systémov menových výmen. Zaujíma ju aj technológia blockchain a jej fungovanie.
Zdroj: https://www.thecoinrepublic.com/2023/03/17/the-top-10-blockchain-hacking-techniques-by-open-zeppelin/