10 найкращих методів злому блокчейнів від Open Zeppelin

– Open Zeppelin, компанія з кібербезпеки, яка надає інструменти для розробки та захисту децентралізованих програм (dApps).

– Компанія виявила, що найбільшою загрозою для dApps є не технологія блокчейн, а злий намір хакерів у всьому світі.

Злом блокчейнів став проблемою та загрожує екосистемі криптовалют. Хакери можуть порушити безпеку блокчейну, щоб викрасти криптовалюту та цифрові активи. Ось чому компанії працюють над інноваційними способами захисту своїх систем від кібератак. Компанія Open Zeppelin опублікувала звіт, у якому підсумовує десять найкращих методів злому блокчейнів. 

Як хакери створюють загрози безпеці блокчейну?

51% атак

Ця атака відбувається, коли хакер отримує контроль над принаймні 51% або більше обчислювальної потужності в мережі блокчейн. Це дасть їм можливість контролювати мережевий алгоритм консенсусу та мати можливість маніпулювати транзакціями. Це призведе до подвійних витрат, коли хакер може повторити ту саму транзакцію. Наприклад, Binance є великим інвестором у мемкойн Dogecoin і стейблкоїн Zilliqa і може легко маніпулювати крипто-ринком. 

Ризики смарт-контракту

Розумні контракти — це самовиконувані програми, які побудовані на базовій технології блокчейн. Хакери можуть зламати код смарт-контрактів і маніпулювати ними, щоб викрасти інформацію, кошти або цифрові активи. 

Сибіла атакує 

Така атака відбувається, коли хакер створює кілька підроблених ідентифікаторів або вузлів у мережі блокчейн. Це дозволяє їм отримати контроль над значною частиною обчислювальної потужності мережі. Вони можуть маніпулювати транзакціями в мережі, щоб допомогти у фінансуванні тероризму чи іншій незаконній діяльності. 

Атаки зловмисного програмного забезпечення

Хакери можуть розгорнути зловмисне програмне забезпечення, щоб отримати доступ до ключів шифрування або особистої інформації користувача, дозволяючи їм викрадати з гаманців. Хакери можуть обманом змусити користувачів розкрити їхні закриті ключі, які можуть бути використані для отримання несанкціонованого доступу до їхніх цифрових активів. 

Які 10 найкращих методів злому блокчейнів від Open Zeppelin?

Ретроспектива інтеграції Compound TUSD

Compound — це децентралізований фінансовий протокол, який допомагає користувачам заробляти відсотки на свої цифрові активи, запозичуючи та позичаючи їх у блокчейні Ethereum. TrueUSD — стейблкойн, прив’язаний до долара США. Однією з головних проблем інтеграції з TUSD була можливість передачі активів. 

Щоб використовувати TUSD на Compound, його потрібно було передавати між адресами Ethereum. Однак у смарт-контракті TUSD було виявлено помилку, і деякі перекази були заблоковані або відкладені. Це означало, що клієнти не могли знімати або вносити TUSD із Комплексу. Це призвело до проблем з ліквідністю, і користувачі втратили можливість заробити відсотки або позичити TUSD.

 6.2 L2 DAI дозволяє викрадати проблеми під час оцінки коду

Наприкінці лютого 2021 року в оцінці коду смарт-контрактів StarkNet DAI Bridge було виявлено проблему, яка могла дозволити будь-якому зловмиснику грабувати кошти з системи DAI рівня 2 або L2. Ця проблема була виявлена ​​під час аудиту Certora, організації безпеки блокчейну.

Проблема в оцінці коду стосувалася вразливої ​​функції депозиту контракту, яку хакер міг використати для внесення монет DAI у систему L2 DAI; фактично не надсилаючи монети. Це може дозволити хакеру карбувати необмежену кількість монет DAI. Вони можуть продати його на ринку, щоб отримати величезні прибутки. Система StarkNet втратила заблоковані в ній монети на суму понад 200 мільйонів доларів на момент виявлення. 

Проблему було вирішено командою StarkNet, яка спільно з Certora розгорнула нову версію несправного смарт-контракту. Нова версія була перевірена компанією та визнана безпечною. 

Звіт Avalanche про ризики на 350 мільйонів доларів

Цей ризик стосується кібератаки, що сталася в листопаді 2021 року, в результаті якої було втрачено токенів на суму близько 350 мільйонів доларів. Ця атака була спрямована на Poly Network, платформу DeFi, яка дозволяє користувачам обмінювати криптовалюти. Зловмисник скористався вразливістю в коді смарт-контракту платформи, що дозволило хакеру контролювати цифрові гаманці платформи. 

Виявивши атаку, Poly Network благала хакера повернути вкрадені активи, заявивши, що атака вплинула на платформу та її користувачів. Зловмисник неочікувано погодився повернути вкрадене. Він також стверджував, що мав намір викрити вразливі місця, а не отримати від них прибуток. Ці атаки підкреслюють важливість перевірок безпеки та тестування смарт-контрактів для виявлення вразливостей, перш ніж ними можна буде скористатися. 

Як вкрасти 100 мільйонів доларів з бездоганних смарт-контрактів?

29 червня 2022 року благородна особа захистила Moonbeam Network, розкривши критичну помилку в дизайні цифрових активів, вартість яких становила 100 мільйонів доларів. Він отримав максимальну суму винагороди від ImmuneF ($1 млн) і бонус (50 тисяч) від Moonwell. 

Moonriver і Moonbeam є EVM-сумісними платформами. Між ними існує кілька попередньо скомпільованих смарт-контрактів. Розробник не взяв до уваги переваги «делегованого виклику» в EVM. Зловмисний хакер може передати свій попередньо скомпільований контракт, щоб видати себе за свого абонента. Розумний контракт не зможе визначити фактичного абонента. Зловмисник може перевести наявні кошти відразу з договору. 

Як PWNING заощадив 7 тисяч ETH і виграв винагороду за помилки в розмірі 6 мільйонів доларів

PWNING — ентузіаст хакерства, який нещодавно приєднався до країни крипто. За кілька місяців до 14 червня 2022 року він повідомив про критичну помилку в Aurora Engine. Принаймні 7K Eth були під загрозою викрадення, поки він не виявив уразливість і не допоміг команді Aurora вирішити проблему. Він також виграв баунті у розмірі 6 мільйонів, другий за величиною в історії. 

Фантомні функції та безопераційний мільярд доларів

Це дві концепції, пов’язані з розробкою та розробкою програмного забезпечення. Фантомні функції — це блоки коду, присутні в програмній системі, але ніколи не виконані. 10 січня команда Dedaub розкрила вразливість у проекті Multi Chain, раніше AnySwap. Компанія Multichain оголосила про вплив на своїх клієнтів. Після цього оголошення послідували атаки та війна флеш-ботів, що призвело до втрати 0.5% коштів.  

Reentrancy лише для читання – уразливість, що створює ризик у розмірі 100 мільйонів доларів США

Ця атака є зловмисним контрактом, який зможе повторно викликати себе та викачувати кошти з цільового контракту. 

Чи можуть такі токени, як WETH, бути неплатоспроможними?

WETH — це простий і фундаментальний контракт в екосистемі Ethereum. Якщо відключення відбудеться, і ETH, і WETH втратять цінність.  

 Вразливість, розкрита в ненормативній лексиці

Нецензурна лексика — це інструмент Ethereum для вирішення марнославства. Тепер, якщо адреса гаманця користувача була згенерована цим інструментом, вона може бути небезпечною для нього. Нецензурна лексика використовувала випадковий 32-бітний вектор для створення 256-бітного приватного ключа, який вважається небезпечним.

 Атака на Ethereum L2

Повідомлялося про критичну проблему безпеки, яку міг використати будь-який зловмисник для копіювання грошей у ланцюжку.  

Ненсі Дж. Аллен — крипто-ентузіаст і вважає, що криптовалюти надихають людей бути власними банками та відійти від традиційних систем грошового обміну. Вона також заінтригована технологією блокчейн та її функціонуванням.

Останні дописи Ненсі Дж. Аллен (бачити все)