Узломы блокчейна будуць працягвацца да таго часу, пакуль кіберзлачынцы будуць лёгка выяўляць бяспеку уразлівасці. Вось што адбываецца, калі бяспекі не хапае, кажа Суміт Сідхарт, Заснавальнік SecOps Група.
З экспанентным ростам крыптавалют, NFT і іншых укараненняў блокчейна ніколі не было лепшага часу для кіберзлачынцаў, каб ператварыць уразлівасць у лёгкія і вялікія грошы.
Хакі і аўдыты бяспекі блокчейна
Мы бачым два розныя тыпы нападаў з удзелам крыптавалют. Адзін з іх сканцэнтраваны вакол канчатковага карыстальніка (ахвяры). Тэхніка атакі абапіраецца на прыёмы сацыяльнай інжынерыі, такія як перакананне ахвяры адправіць крыптавалюту зламысніку папернік.
Іншы тып узлому, які мы бачым, крыху больш складаны і патрабуе глыбокага разумення смарт-кантрактаў блокчейна і звязаных з імі кампанентаў, такіх як сайд-чэйн, крос-чэйн, кашалькі, разуменне розных пратаколаў і інш.
SecOps Group зараз запусціла аўдыт бяспекі смарт-кантрактаў блокчейна, каб дапамагчы распрацоўшчыкам блокчейна выявіць і выправіць праблемы бяспекі, перш чым яны будуць выкарыстаць у дзікай прыродзе.
Блокчэйн-хакі - з чаго яны пачынаюцца
Blockchain - гэта база дадзеных запісаў транзакцый, якая распаўсюджваецца, правяраецца і падтрымліваецца па ўсім свеце сеткай кампутараў. Замест адзінага цэнтральнага органа, напрыклад, банка, вялікая супольнасць кантралюе запісы ў Blockchain. Ніякая асобная асоба не можа кантраляваць гэтыя запісы. Блокчэйн заснаваны на дэцэнтралізаваных тэхналогіях. Разам гэтыя тэхналогіі функцыянуюць як аднарангавая сетка (P2P).
Тэхналогія блокчейн выкарыстоўваецца ў розных галінах. Згодна з нядаўнім даследаваннем, штогадовыя выдаткі кампаній на блокчейны да 16 года дасягнуць 2023 мільярдаў долараў CBIights. Хуткасць прыняцця тэхналогіі расце.
У цяперашні час на рынку ёсць розныя блокчейн-платформы. Кожная платформа выкарыстоўвае ўласную тэхналогію. Напрыклад, Эфириума платформа выкарыстоўвае мову Solidity. Платформа Hyperledger выкарыстоўвае мову Go. EOS платформа выкарыстоўвае вузел.js. Платформа Multichain выкарыстоўвае C++. Платформа Corda выкарыстоўвае мову Java/Kotlin і інш. Самая вядомая крыптавалюта Bitcoin (BTC) быў распрацаваны на платформе Bitcoin. Крыптавалюта эфір (ETH) была распрацавана на платформе Ethereum.
Калі што-небудзь з вышэйпералічанага скампраметавана, могуць узнікнуць вялізныя ўзломы.
Вядомыя хакі блокчэйна
Атака кашалькоў Solana - 7 мільёнаў долараў - 03 жніўня 2022 г
Салана гэта платформа, заснаваная на блокчейне. Многія прыкладанні Web3 разгортваюцца на блокчейне Solana, паколькі гэта эканамічна эфектыўна з пункту гледжання разгортвання. Нядаўна хак на аснове кашалька назіралася ў блокчейне Solana.
Асноўная прычына ўзлому незразумелая, але, здаецца, гэта адбылося з-за недахопу ў выкарыстоўваным праграмным забеспячэнні кашалька, што прывяло да скампраметацыі закрытага ключа і/або пачатковай фразы. Закрыты ключ унікальны і звязвае карыстальніка з яго адрасам блокчейна. Пачатковая фраза - гэта адбітак усіх актываў блокчейна карыстальніка, які выкарыстоўваецца ў якасці рэзервовай копіі, калі крыпта-кашалёк губляецца. Больш за 7,000 кашалькоў былі асушаны на суму больш за 7 мільёнаў долараў SOL лексемы.
Мост Axie Infinity Ronin Bridge - 625 мільёнаў долараў - 28 сакавіка 2022 г.
Найбуйнейшы крыпта-ўзлом у гісторыі, вымераны ў фіят-доларах, адбыўся пасля таго, як хакеры атрымалі кантроль над большасцю крыптаграфічных ключоў, якія забяспечваюць бяспеку гуляць, каб зарабіць крос-ланцуговы мост гульні. Чатыры з дзевяці ключоў былі скрадзеныя, калі распрацоўшчык Axie націснуў на падроблены PDF з прапановай працы.
Атака на мост Wormhole Cross Chain - 325 мільёнаў долараў - 2 лютага 2022 г.
Wormhole - гэта камбінаваны мост Web3 на блокчейне Ethereum і Solana. Ён выкарыстоўвае прамежкавы мост для перадачы токенаў паміж дзвюма рознымі сеткамі. Блокчейн-мост - гэта пратакол, які злучае два эканамічна і тэхналагічна асобных блокчейна для забеспячэння ўзаемадзеяння паміж імі.
Хакер выкарыстаў смарт-кантракты на мосце Solana-Ethereum, каб чаканіць і абнаяўляць абгорнуты эфір без унясення закладу. Гэта дазволіла хакерам скрасці ў агульнай складанасці 320 мільёнаў долараў Эфірыум і Салана жэтоны. Wormhole перайменаваў свой мост-партал і ў цяперашні час захоўвае больш за 480 мільёнаў долараў, па дадзеных кампаніі па крыптаданых Дэфі Лама.
Аўдыты разумных кантрактаў
Аўдыт смарт-кантракту - гэта шырокая метадычная праверка і аналіз кода смарт-кантракту, які выкарыстоўваецца для ўзаемадзеяння з крыптавалютай або блокчейном. Гэты працэс праводзіцца, каб выявіць памылкі, праблемы і ўразлівасці бяспекі ў кодзе, а таксама прапанаваць паляпшэнні і спосабы іх выпраўлення. Як правіла, аўдыт разумных кантрактаў неабходны, таму што большасць кантрактаў датычацца фінансавых актываў і/або каштоўных прадметаў.
Аўдыт бяспекі смарт-кантрактаў сёння стаў важным. Тысячы дэцэнтралізаваных фінансавых праектаў і праектаў NFT былі распрацаваны ў тэхналогіі блокчейн, таксама вядомай як web 3.0, таму іх абарона не менш важная, чым іх стварэнне.
Пра аўтара:
Суміт Сідхарт з'яўляецца заснавальнікам SecOps Група. Ён серыйны кіберпрадпрымальнік і вядомы спецыяліст у галіне бяспекі. Ён быў дакладчыкам і трэнерам на многіх міжнародных канферэнцыях, такіх як Black Hat, Defcon, HITB, Owasp Appsec і г.д. Падчас працы пентэстэрам ён напісаў шэраг кніг, артыкулаў, эксплойтаў і тэхнічных дакументаў па розных тэмах, звязаных з бяспекай прыкладанняў. Першы бізнес Сіда (NotSoSecure) быў набыты ў 2018 годзе Claranet Group. Цяпер ён кіруе буйной фірмай па кансультацыі па бяспецы (пентэставанне) пад назвай The SecOps Group. Ён таксама з'яўляецца дарадцам і анёлам-інвестарам у шматлікіх нішавых стартапах па кібербяспецы, такіх як Red Hunt Labs (кіраванне паверхняй нападаў), PureID (аўтэнтыфікацыя без пароля), VulnMachines (бясплатная лабараторная платформа пентэста) і RankedRight (платформа сартавання ўразлівасцей).
У вас ёсць што сказаць пра ўзломы блокчейна або што-небудзь яшчэ? напісаць нам або далучайцеся да абмеркавання ў нашай Telegram канал. Вы таксама можаце злавіць нас Цік Ток, Facebookабо Twitter.
адмова
Уся інфармацыя, размешчаная на нашым сайце, публікуецца добрасумленна і мае толькі агульны інфармацыйны характар. Любыя дзеянні, якія чытач ужывае з інфармацыяй, размешчанай на нашым сайце, строга на свой страх і рызыка.
Крыніца: https://beincrypto.com/blockchain-hacks-can-they-be-prevented-with-smart-contract-audits/