10 лепшых метадаў узлому блокчейна ад Open Zeppelin

– Адкрыйце Zeppelin, кампанію па кібербяспецы, якая прадастаўляе інструменты для распрацоўкі і абароны дэцэнтралізаваных прыкладанняў (dApps).

– Кампанія паказала, што самай вялікай пагрозай для dApps з’яўляецца не тэхналогія блокчейн, а злыя намеры хакераў з усяго свету.

Узлом блокчейна стаў праблемай і пагражае экасістэме криптовалюты. Хакеры могуць парушыць бяспеку блокчейна, каб скрасці крыптавалюту і лічбавыя актывы. Вось чаму кампаніі працуюць над інавацыйнымі спосабамі абароны сваіх сістэм ад кібератак. Кампанія Open Zeppelin выпусціла справаздачу, у якой абагульняюцца дзесяць лепшых метадаў узлому блокчейнов. 

Як хакеры ствараюць пагрозы бяспецы блокчейна?

51% нападаў

Гэтая атака адбываецца, калі хакер атрымлівае кантроль над як мінімум 51% або больш вылічальнай магутнасці ў сетцы блокчейн. Гэта дасць ім магчымасць кантраляваць алгарытм кансенсусу сеткі і магчымасць маніпуляваць транзакцыямі. Гэта прывядзе да падвойных выдаткаў, калі хакер можа паўтарыць адну і тую ж транзакцыю. Напрыклад, Binance з'яўляецца буйным інвестарам у мемекойн Dogecoin і стейблкойн Zilliqa і можа лёгка маніпуляваць крыптарынкам. 

Рызыкі смарт-кантракту

Разумныя кантракты - гэта самавыконвальныя праграмы, якія пабудаваны на аснове тэхналогіі блокчейн. Хакеры могуць узламаць код смарт-кантрактаў і маніпуляваць імі, каб скрасці інфармацыю, сродкі або лічбавыя актывы. 

Сібіл атакуе 

Такая атака адбываецца, калі хакер стварыў некалькі падробленых асоб або вузлоў у сетцы блокчейн. Гэта дазваляе ім атрымаць кантроль над асноўнай часткай вылічальнай магутнасці сеткі. Яны могуць маніпуляваць транзакцыямі ў сетцы, каб дапамагчы ў фінансаванні тэрарызму або іншай незаконнай дзейнасці. 

Атакі шкоднасных праграм

Хакеры могуць разгарнуць шкоднасныя праграмы, каб атрымаць доступ да ключоў шыфравання або прыватнай інфармацыі карыстальніка, што дазваляе ім красці з кашалькоў. Хакеры могуць падманам прымусіць карыстальнікаў раскрыць іх асабістыя ключы, якія можна выкарыстоўваць для атрымання несанкцыянаванага доступу да іх лічбавых актываў. 

Якія 10 лепшых метадаў узлому блокчейна ад Open Zeppelin?

Рэтраспектыва выпуску Compound TUSD Integration

Compound - гэта дэцэнтралізаваны фінансавы пратакол, які дапамагае карыстальнікам атрымліваць працэнты за свае лічбавыя актывы, пазычаючы і пазычаючы іх у блокчейне Ethereum. TrueUSD - гэта стейблкойн, прывязаны да даляра ЗША. Адна з асноўных праблем інтэграцыі з TUSD была звязана з магчымасцю перадачы актываў. 

Каб выкарыстоўваць TUSD на Compound, яго трэба было перадаваць паміж адрасамі Ethereum. Аднак у смарт-кантракце TUSD была выяўлена памылка, і некаторыя пераклады былі заблакіраваны або адкладзены. Гэта азначала, што кліенты не маглі зняць або ўнесці TUSD з Compound. Гэта прывяло да праблем з ліквіднасцю, і карыстальнікі страцілі магчымасць зарабіць працэнты або пазычыць TUSD.

 6.2 L2 DAI дазваляе красці праблемы ў ацэнцы кода

У канцы лютага 2021 года ў ацэнцы кода смарт-кантрактаў StarkNet DAI Bridge была выяўлена праблема, якая магла дазволіць любому зламысніку выкрасці сродкі з сістэмы DAI ўзроўню 2 або L2. Гэтая праблема была выяўлена падчас аўдыту Certora, арганізацыі бяспекі блокчейна.

Праблема пры ацэнцы кода ўключала ўразлівую функцыю дэпазіту кантракта, якую хакер мог выкарыстаць для ўнясення манет DAI у сістэму L2 DAI; без фактычнай адпраўкі манет. Гэта можа дазволіць хакеру чаканіць неабмежаваную колькасць манет DAI. Яны могуць прадаць яго на рынку, каб атрымаць велізарны прыбытак. Сістэма StarkNet страціла манеты на суму больш за 200 мільёнаў долараў, заблакіраваныя ў ёй на момант выяўлення. 

Праблема была вырашана камандай StarkNet, якая сумесна з Certora разгарнула новую версію няспраўнага смарт-кантракту. Затым новая версія была праверана кампаніяй і прызнана бяспечнай. 

Справаздача аб рызыцы Avalanche на 350 мільёнаў долараў

Гэтая рызыка адносіцца да кібератакі, якая адбылася ў лістападзе 2021 года, у выніку якой былі страчаны токены на суму каля 350 мільёнаў долараў. Гэтая атака была накіравана на Poly Network, платформу DeFi, якая дазваляе карыстальнікам абменьвацца крыптавалютамі. Зламыснік выкарыстаў уразлівасць у кодзе смарт-кантракту платформы, што дазволіла хакеру кантраляваць лічбавыя кашалькі платформы. 

Выявіўшы атаку, Poly Network папрасіла хакера вярнуць скрадзеныя актывы, заявіўшы, што атака закранула платформу і яе карыстальнікаў. Зламыснік нечакана пагадзіўся вярнуць скрадзеныя актывы. Ён таксама сцвярджаў, што меў намер выкрыць уразлівасці, а не атрымаць з іх прыбытак. Атакі падкрэсліваюць важнасць аўдыту бяспекі і тэставання смарт-кантрактаў для выяўлення ўразлівасцяў, перш чым іх можна будзе выкарыстоўваць. 

Як скрасці 100 мільёнаў долараў з бездакорных смарт-кантрактаў?

29 чэрвеня 2022 года высакародная асоба абараніла Moonbeam Network, раскрыўшы крытычны недахоп у распрацоўцы лічбавых актываў, якія каштавалі 100 мільёнаў долараў. Ён атрымаў максімальную суму гэтай праграмы ўзнагароджання за памылак ад ImmuneF (1 мільён долараў) і бонус (50 тысяч) ад Moonwell. 

Moonriver і Moonbeam - гэта EVM-сумяшчальныя платформы. Паміж імі існуе некалькі загадзя скампіляваных смарт-кантрактаў. Распрацоўшчык не ўлічыў перавагі «выкліку дэлегата» ў EVM. Злосны хакер можа перадаць загадзя скампіляваны кантракт, каб выдаць сябе за абанента. Смарт-кантракт не зможа вызначыць фактычнага абанента. Зламыснік можа перавесці наяўныя сродкі адразу з дагавора. 

Як PWNING зэканоміла 7 тыс. ETH і выйграла ўзнагароду за памылкі ў памеры 6 мільёнаў долараў

PWNING - энтузіяст хакерства, які нядаўна далучыўся да краіны крыпта. За некалькі месяцаў да 14 чэрвеня 2022 года ён паведаміў аб крытычнай памылцы ў Aurora Engine. Прынамсі 7K Eth былі пад пагрозай крадзяжу, пакуль ён не знайшоў уразлівасць і не дапамог камандзе Aurora вырашыць праблему. Ён таксама выйграў ўзнагароду за памылак у 6 мільёнаў, другую па велічыні ў гісторыі. 

Phantom Functions і мільярды долараў

Гэта два паняцці, звязаныя з распрацоўкай і распрацоўкай праграмнага забеспячэння. Фантомныя функцыі - гэта блокі кода, якія прысутнічаюць у праграмнай сістэме, але ніколі не выконваюцца. 10 студзеня каманда Dedaub раскрыла ўразлівасць у праекце Multi Chain, раней AnySwap. Multichain зрабіў публічную заяву, у якой засяродзіўся на ўплыве на сваіх кліентаў. За гэтай заявай рушылі ўслед атакі і вайна флэш-ботаў, што прывяло да страты 0.5% сродкаў.  

Reentrancy толькі для чытання - уразлівасць, адказная за рызыку 100 мільёнаў долараў сродкаў

Гэтая атака з'яўляецца шкоднасным кантрактам, які зможа выклікаць сябе неаднаразова і выцягваць сродкі з мэтавага кантракту. 

Ці могуць такія токены, як WETH, быць неплацежаздольнымі?

WETH - гэта просты і фундаментальны кантракт у экасістэме Ethereum. Калі адбудзецца адключэнне прывязкі, ETH і WETH страцяць каштоўнасць.  

 Уразлівасць, выяўленая ў нецэнзурнай лексіцы

Ненарматыўная лексіка - гэта інструмент Ethereum для барацьбы з марнасцю. Цяпер, калі адрас кашалька карыстальніка быў згенераваны гэтым інструментам, выкарыстанне ім можа быць небяспечным. Ненарматыўная лексіка выкарыстоўвала выпадковы 32-бітны вектар для стварэння 256-бітнага закрытага ключа, які, як мяркуецца, небяспечны.

 Атака на Ethereum L2

Паведамляецца аб крытычнай праблеме бяспекі, якую можа выкарыстаць любы зламыснік для рэплікацыі грошай у ланцужку.  

Нэнсі Дж. Ален з'яўляецца крыпта-энтузіясткай і лічыць, што криптовалюты натхняюць людзей быць уласнымі банкамі і адыходзіць ад традыцыйных сістэм грашовага абмену. Яе таксама зацікавіла тэхналогія блокчейн і яе функцыянаванне.

Апошнія паведамленні Нэнсі Дж. Ален (гл. усе)