– Odprite Zeppelin, podjetje za kibernetsko varnost, ki ponuja orodja za razvoj in zaščito decentraliziranih aplikacij (dApps).
– Podjetje je razkrilo, da največja grožnja dApps ni tehnologija veriženja blokov, temveč zlobni nameni hekerjev po vsem svetu.
Vdiranje v blokovne verige je postalo problem in ogroža ekosistem kriptovalut. Hekerji lahko vdrejo v varnost verige blokov in ukradejo kriptovalute in digitalna sredstva. Zato podjetja delajo na inovativnih načinih za zaščito svojih sistemov pred kibernetskimi napadi. Open Zeppelin je izdal poročilo, ki povzema deset najboljših tehnik vdiranja v blockchain.
Kako hekerji predstavljajo grožnje varnosti verige blokov?
51% napadov
Ta napad se zgodi, ko heker pridobi nadzor nad vsaj 51 % ali več računalniške moči v omrežju blockchain. To jim bo dalo moč za nadzor omrežnega algoritma soglasja in lahko manipulirajo s transakcijami. To bo povzročilo dvojno porabo, kjer lahko heker ponovi isto transakcijo. Na primer, Binance je velik vlagatelj v memecoin Dogecoin in stablecoin Zilliqa ter lahko zlahka manipulira s kripto trgom.
Tveganja pametne pogodbe
Pametne pogodbe so samoizvršljivi programi, ki temeljijo na osnovni tehnologiji veriženja blokov. Hekerji lahko vdrejo v kodo pametnih pogodb in z njimi manipulirajo, da ukradejo informacije ali sredstva ali digitalna sredstva.
Sybil napade
Do takšnega napada pride, ko heker ustvari več lažnih identitet ali vozlišč v omrežju blockchain. To jim omogoča, da pridobijo nadzor nad večjim delom računalniške moči omrežja. Lahko manipulirajo s transakcijami v omrežju, da pomagajo pri financiranju terorizma ali drugih nedovoljenih dejavnostih.
Napadi zlonamerne programske opreme
Hekerji lahko uporabijo zlonamerno programsko opremo, da dobijo dostop do uporabnikovih šifrirnih ključev ali zasebnih podatkov, kar jim omogoči krajo iz denarnic. Hekerji lahko zavedejo uporabnike, da razkrijejo njihove zasebne ključe, s katerimi lahko pridobijo nepooblaščen dostop do svojih digitalnih sredstev.
Katerih je 10 najboljših tehnik vdiranja v verigo blokov po Open Zeppelin?
Compound TUSD Integration Issue Retrospective
Compound je decentraliziran finančni protokol, ki uporabnikom pomaga zaslužiti obresti za njihova digitalna sredstva tako, da si jih izposojajo in posojajo v verigi blokov Ethereum. TrueUSD je stabilni coin, vezan na USD. Eno od glavnih vprašanj integracije s TUSD je bilo povezano s prenosljivostjo sredstev.
Za uporabo TUSD na spojini je morala biti prenosljiva med naslovi Ethereum. Vendar je bila najdena napaka v pametni pogodbi TUSD in nekateri prenosi so bili blokirani ali odloženi. To je pomenilo, da stranke niso mogle dvigniti ali položiti TUSD iz Compounda. To je povzročilo težave z likvidnostjo in uporabniki so izgubili priložnosti za zaslužek z obrestmi ali izposojo TUSD.
6.2 L2 DAI omogoča težave s krajo pri ocenjevanju kode
Konec februarja 2021 je bila odkrita težava pri oceni kode pametnih pogodb StarkNet DAI Bridge, ki bi lahko kateremu koli napadalcu omogočila plenjenje sredstev iz sistema DAI ravni 2 ali L2. To težavo je med revizijo odkrila Certora, organizacija za varnost verige blokov.
Težava pri oceni kode je vključevala ranljivo depozitno funkcijo pogodbe, ki bi jo heker lahko uporabil za deponiranje kovancev DAI v sistem L2 DAI; ne da bi dejansko poslali kovance. To bi lahko hekerju omogočilo kovanje neomejene količine DAI kovancev. Lahko ga prodajo na trgu in zaslužijo ogromne dobičke. Sistem StarkNet je izgubil več kot 200 milijonov dolarjev kovancev, ki so bili v njem zaklenjeni v času odkritja.
Težavo je rešila ekipa StarkNet, ki je skupaj s podjetjem Certora uvedla novo različico okvarjene pametne pogodbe. Novo različico je nato pregledalo podjetje in ocenilo, da je varna.
Avalancheovo poročilo o tveganju v višini 350 milijonov dolarjev
To tveganje se nanaša na kibernetski napad, ki se je zgodil novembra 2021, kar je povzročilo izgubo žetonov v vrednosti približno 350 milijonov USD. Ta napad je bil usmerjen na Poly Network, platformo DeFi, ki uporabnikom omogoča menjavo kriptovalut. Napadalec je izkoristil ranljivost v kodi pametne pogodbe platforme, kar je hekerju omogočilo nadzor nad digitalnimi denarnicami platforme.
Po odkritju napada je Poly Network prosil hekerja, naj vrne ukradena sredstva, in izjavil, da je napad prizadel platformo in njene uporabnike. Napadalec je presenetljivo pristal na vrnitev ukradenega premoženja. Trdil je tudi, da je nameraval razkriti ranljivosti, namesto da bi od njih zaslužil. Napadi poudarjajo pomen varnostnih revizij in testiranja pametnih pogodb za odkrivanje ranljivosti, preden jih je mogoče izkoristiti.
Kako ukrasti 100 milijonov dolarjev iz brezhibnih pametnih pogodb?
29. junija 2022 je plemenit posameznik zaščitil omrežje Moonbeam z razkritjem kritične napake v zasnovi digitalnih sredstev, ki so bila vredna 100 milijonov dolarjev. ImmuneF mu je podelil najvišji znesek tega programa nagrajevanja hroščev (1 milijon dolarjev) in bonus (50 tisoč) od Moonwella.
Moonriver in Moonbeam sta platformi, združljivi z EVM. Med njimi je nekaj vnaprej sestavljenih pametnih pogodb. Razvijalec ni upošteval prednosti 'delegate call' v EVM. Zlonamerni heker lahko posreduje svojo vnaprej prevedeno pogodbo, da se izda za svojega klicatelja. Pametna pogodba ne bo mogla določiti dejanskega klicatelja. Napadalec lahko prenese razpoložljiva sredstva takoj iz pogodbe.
Kako je PWNING prihranil 7K ETH in osvojil nagrado za hrošče v vrednosti 6 milijonov $
PWNING je hekerski navdušenec, ki se je nedavno pridružil deželi kriptovalut. Nekaj mesecev pred 14. junijem 2022 je prijavil kritično napako v motorju Aurora. Vsaj 7K Eth je bilo v nevarnosti, da bodo ukradeni, dokler ni našel ranljivosti in pomagal ekipi Aurora odpraviti težavo. Dobil je tudi nagrado za hrošče v višini 6 milijonov, drugo največjo nagrado v zgodovini.
Fantomske funkcije in brez operacije za milijardo dolarjev
To sta dva koncepta, povezana z razvojem in inženiringom programske opreme. Fantomske funkcije so bloki kode, ki so prisotni v programskem sistemu, vendar se nikoli ne izvajajo. 10. januarja je ekipa Dedaub razkrila ranljivost projekta Multi Chain, prej AnySwap. Podjetje Multichain je objavilo javno objavo, ki se je osredotočila na vpliv na njegove stranke. Tej objavi so sledili napadi in vojna flash botov, kar je povzročilo izgubo 0.5 % sredstev.
Ponovni vstop samo za branje - ranljivost, ki je odgovorna za tveganje v višini 100 milijonov $ v sredstvih
Ta napad je zlonamerna pogodba, ki bo lahko sama sebe večkrat klicala in črpala sredstva iz ciljne pogodbe.
Ali so lahko žetoni, kot je WETH, plačilno nesposobni?
WETH je preprosta in temeljna pogodba v ekosistemu Ethereum. Če pride do depegginga, bosta tako ETH kot WETH izgubila vrednost.
Ranljivost, razkrita v Profanity
Profanity je orodje za nečimrnost Ethereum, ki obravnava nečimrnost. Če je bil naslov denarnice uporabnika ustvarjen s tem orodjem, uporaba morda ne bo varna. Prekletstvo je uporabilo naključni 32-bitni vektor za ustvarjanje 256-bitnega zasebnega ključa, za katerega se sumi, da ni varen.
Napad na Ethereum L2
Prijavljena je bila kritična varnostna težava, ki bi jo lahko uporabil kateri koli napadalec za podvajanje denarja v verigi.
Nancy J. Allen je kripto navdušenka in verjame, da kriptovalute navdihujejo ljudi, da postanejo svoje banke in se odmaknejo od tradicionalnih sistemov denarne menjave. Navdušuje jo tudi tehnologija blockchain in njeno delovanje.
Vir: https://www.thecoinrepublic.com/2023/03/17/the-top-10-blockchain-hacking-techniques-by-open-zeppelin/