10 лучших методов взлома блокчейна от Open Zeppelin

– Open Zeppelin, компания по кибербезопасности, предоставляющая инструменты для разработки и защиты децентрализованных приложений (dApps).

– Компания сообщила, что самая большая угроза для dApps – это не технология блокчейна, а злой умысел хакеров со всего мира.

Взлом блокчейна стал проблемой и угрожает экосистеме криптовалют. Хакеры могут нарушить безопасность блокчейна и украсть криптовалюту и цифровые активы. Вот почему компании работают над инновационными способами защиты своих систем от кибератак. Open Zeppelin опубликовал отчет, в котором обобщаются десять основных методов взлома блокчейна. 

Как хакеры представляют угрозу безопасности блокчейна?

51% Атаки

Эта атака происходит, когда хакер получает контроль как минимум над 51% или более вычислительной мощности в сети блокчейн. Это даст им возможность контролировать алгоритм консенсуса сети и манипулировать транзакциями. Это приведет к двойным тратам, когда хакер сможет повторить одну и ту же транзакцию. Например, Binance является крупным инвестором в мемкоин Dogecoin и стейблкоин Zilliqa и может легко манипулировать рынком криптовалют. 

Риски смарт-контрактов

Смарт-контракты — это самоисполняющиеся программы, построенные на базовой технологии блокчейн. Хакеры могут взломать код смарт-контрактов и манипулировать им, чтобы украсть информацию, средства или цифровые активы. 

Сибил атакует 

Такая атака происходит, когда хакер создал несколько поддельных удостоверений или узлов в сети блокчейн. Это позволяет им получить контроль над большей частью вычислительной мощности сети. Они могут манипулировать транзакциями в сети, чтобы способствовать финансированию терроризма или другой незаконной деятельности. 

Вредоносные атаки

Хакеры могут развернуть вредоносное ПО, чтобы получить доступ к ключам шифрования или личной информации пользователя, что позволяет им воровать из кошельков. Хакеры могут обманом заставить пользователей раскрыть свои личные ключи, которые могут быть использованы для получения несанкционированного доступа к их цифровым активам. 

Каковы 10 лучших методов взлома блокчейна по версии Open Zeppelin?

Ретроспектива проблемы интеграции Compound TUSD

Compound — это децентрализованный финансовый протокол, который помогает пользователям зарабатывать проценты на свои цифровые активы, занимая и предоставляя их взаймы в блокчейне Ethereum. TrueUSD — это стейблкоин, привязанный к доллару США. Одна из основных проблем интеграции с TUSD была связана с возможностью передачи активов. 

Чтобы использовать TUSD в Compound, его необходимо было передавать между адресами Ethereum. Однако в смарт-контракте TUSD была обнаружена ошибка, из-за которой некоторые переводы были заблокированы или задержаны. Это означало, что клиенты не могли снимать или вносить TUSD из Compound. Это привело к проблемам с ликвидностью, и пользователи потеряли возможность зарабатывать проценты или брать взаймы TUSD.

 6.2 L2 DAI позволяет красть проблемы при оценке кода

В конце февраля 2021 года при оценке кода смарт-контрактов StarkNet DAI Bridge была обнаружена проблема, которая могла позволить любому злоумышленнику украсть средства из системы DAI уровня 2 или L2. Эта проблема была обнаружена во время аудита Certora, организации, занимающейся безопасностью блокчейнов.

Проблема при оценке кода заключалась в уязвимой функции депозита контракта, которую хакер мог использовать для внесения монет DAI в систему L2 DAI; без фактической отправки монет. Это может позволить хакеру чеканить неограниченное количество монет DAI. Они могут продать его на рынке и получить огромную прибыль. Система StarkNet потеряла монеты на сумму более 200 миллионов долларов, заблокированные в ней на момент обнаружения. 

Проблема была решена командой StarkNet, которая объединилась с Certora для развертывания новой версии дефектного смарт-контракта. Затем новая версия была проверена компанией и признана безопасной. 

Отчет Avalanche о рисках на сумму 350 миллионов долларов

Этот риск относится к кибератаке, произошедшей в ноябре 2021 года, в результате которой были потеряны токены на сумму около 350 миллионов долларов. Эта атака была нацелена на Poly Network, платформу DeFi, которая позволяет пользователям обменивать криптовалюты. Злоумышленник воспользовался уязвимостью в коде смарт-контракта платформы, что позволило хакеру контролировать цифровые кошельки платформы. 

Обнаружив атаку, Poly Network обратилась к хакеру с просьбой вернуть украденные активы, заявив, что атака затронула платформу и ее пользователей. Злоумышленник неожиданно согласился вернуть украденные активы. Он также заявил, что намеревался выявить уязвимости, а не извлечь из них выгоду. Атаки подчеркивают важность аудита безопасности и тестирования смарт-контрактов для выявления уязвимостей до того, как ими можно будет воспользоваться. 

Как украсть 100 миллионов долларов из безупречных смарт-контрактов?

29 июня 2022 года благородный человек защитил сеть Moonbeam Network, раскрыв критический недостаток в дизайне цифровых активов стоимостью 100 миллионов долларов. Он был награжден максимальной суммой этой программы вознаграждений за ошибки от ImmuneF (1 миллион долларов) и бонусом (50 тысяч) от Moonwell. 

Moonriver и Moonbeam — платформы, совместимые с EVM. Между ними есть несколько предварительно скомпилированных смарт-контрактов. Разработчик не учел преимущество «вызова делегата» в EVM. Злонамеренный хакер может передать свой предварительно скомпилированный контракт, чтобы выдать себя за вызывающего абонента. Смарт-контракт не сможет определить фактического вызывающего абонента. Злоумышленник может перевести доступные средства сразу из контракта. 

Как PWNING сэкономил 7 тысяч ETH и выиграл награду за обнаружение ошибок в размере 6 миллионов долларов

PWNING — энтузиаст хакерского взлома, который недавно присоединился к миру криптовалют. За несколько месяцев до 14 июня 2022 года он сообщил о критической ошибке в движке Aurora Engine. По меньшей мере 7 тысяч Eth находились под угрозой кражи, пока он не нашел уязвимость и не помог команде Aurora решить проблему. Он также выиграл награду за обнаружение ошибок в размере 6 миллионов, что является вторым по величине вознаграждением в истории. 

Фантомные функции и отсутствие операций на миллиард долларов

Это две концепции, связанные с разработкой программного обеспечения и инжинирингом. Фантомные функции — это блоки кода, присутствующие в программной системе, но никогда не выполняемые. 10 января команда Dedaub раскрыла уязвимость в проекте Multi Chain, ранее называвшемся AnySwap. Multichain сделала публичное заявление, в котором основное внимание уделялось влиянию на своих клиентов. За этим заявлением последовали атаки и война флэш-ботов, в результате которой было потеряно 0.5% средств.  

Повторный вход только для чтения. Уязвимость, ответственная за риск в размере 100 миллионов долларов США.

Эта атака представляет собой вредоносный контракт, который может повторно вызывать себя и вытягивать средства из целевого контракта. 

Могут ли токены типа WETH оказаться неплатежеспособными?

WETH — это простой и фундаментальный контракт в экосистеме Ethereum. Если произойдет отмена привязки, как ETH, так и WETH потеряют ценность.  

 Уязвимость раскрыта в Profanity

Profanity — это инструмент Ethereum для адресации тщеславия. Теперь, если адрес кошелька пользователя был сгенерирован этим инструментом, его использование может быть небезопасным. Profanity использовала случайный 32-битный вектор для генерации 256-битного закрытого ключа, который предположительно небезопасен.

 Атака на Ethereum L2

Сообщалось о критической проблеме безопасности, которая могла быть использована любым злоумышленником для репликации денег в цепочке.  

Нэнси Дж. Аллен — криптоэнтузиаст и считает, что криптовалюты вдохновляют людей быть собственными банками и отходить от традиционных систем денежного обмена. Она также заинтригована технологией блокчейна и ее функционированием.

Последние сообщения Нэнси Дж. Аллен (увидеть все)