10 лучших методов взлома блокчейна от Open Zeppelin

– Open Zeppelin, компания по кибербезопасности, предоставляющая инструменты для разработки и защиты децентрализованных приложений (dApps).

— Компания показала, что самая большая угроза для dApps — это не технология блокчейна, а злой умысел хакеров по всему миру.

Взлом блокчейна стал проблемой и угрожает экосистеме криптовалюты. Хакеры могут нарушить безопасность блокчейна, чтобы украсть криптовалюту и цифровые активы. Вот почему компании работают над инновационными способами защиты своих систем от кибератак. Open Zeppelin выпустил отчет, в котором обобщаются десять самых популярных методов взлома блокчейна. 

Как хакеры представляют угрозу для безопасности блокчейна?

51% Атаки

Эта атака происходит, когда хакер получает контроль как минимум над 51% или более вычислительной мощности в сети блокчейна. Это даст им возможность контролировать алгоритм консенсуса сети и манипулировать транзакциями. Это приведет к двойным расходам, когда хакер может повторить одну и ту же транзакцию. Например, Binance является крупным инвестором в мемкойн Dogecoin и стейблкоин Zilliqa и может легко манипулировать рынком криптовалют. 

Риски смарт-контрактов

Смарт-контракты — это самоисполняющиеся программы, построенные на базовой технологии блокчейна. Хакеры могут взломать код смарт-контрактов и манипулировать ими для кражи информации, средств или цифровых активов. 

Сибил атакует 

Такая атака происходит, когда хакер создал несколько поддельных идентификаторов или узлов в сети блокчейн. Это позволяет им получить контроль над большей частью вычислительной мощности сети. Они могут манипулировать транзакциями в сети, чтобы помочь в финансировании терроризма или других незаконных действиях. 

Вредоносные атаки

Хакеры могут использовать вредоносное ПО, чтобы получить доступ к ключам шифрования или личной информации пользователя, что позволяет им воровать из кошельков. Хакеры могут обманом заставить пользователей раскрыть свои закрытые ключи, которые могут быть использованы для получения несанкционированного доступа к их цифровым активам. 

Каковы 10 лучших методов взлома блокчейна от Open Zeppelin?

Ретроспектива проблемы интеграции составного TUSD

Compound — это децентрализованный финансовый протокол, который помогает пользователям получать проценты по своим цифровым активам, занимая и одалживая их в блокчейне Ethereum. TrueUSD — это стейблкоин, привязанный к доллару США. Одна из основных проблем интеграции с TUSD была связана с возможностью передачи активов. 

Чтобы использовать TUSD на соединении, его нужно было передавать между адресами Ethereum. Однако в смарт-контракте TUSD была обнаружена ошибка, и некоторые переводы были заблокированы или задержаны. Это означало, что клиенты не могли снимать или вносить TUSD из Compound. Это привело к проблемам с ликвидностью, и пользователи потеряли возможность зарабатывать проценты или занимать TUSD.

 6.2 L2 DAI позволяет воровать проблемы при оценке кода

В конце февраля 2021 года в оценке кода смарт-контрактов StarkNet DAI Bridge была обнаружена проблема, которая могла позволить любому злоумышленнику получить средства из системы DAI уровня 2 или L2. Эта проблема была обнаружена во время аудита Certora, организации по безопасности блокчейна.

Проблема в оценке кода заключалась в уязвимой функции депозита контракта, которую хакер мог использовать для внесения монет DAI в систему L2 DAI; фактически не отправляя монеты. Это может позволить хакеру чеканить неограниченное количество монет DAI. Они могут продать его на рынке, чтобы получить огромную прибыль. Система StarkNet потеряла монеты на сумму более 200 миллионов долларов, заблокированные в ней на момент обнаружения. 

Проблема была решена командой StarkNet, которая объединилась с Certora для развертывания новой версии неисправного смарт-контракта. Затем новая версия была проверена компанией и признана безопасной. 

Отчет о рисках Avalanche на 350 миллионов долларов

Этот риск относится к кибератаке, которая произошла в ноябре 2021 года и привела к потере токенов на сумму около 350 миллионов долларов. Эта атака была нацелена на Poly Network, платформу DeFi, которая позволяет пользователям обмениваться криптовалютами. Злоумышленник воспользовался уязвимостью в коде смарт-контракта платформы, что позволило хакеру контролировать цифровые кошельки платформы. 

Обнаружив атаку, Poly Network обратилась к хакеру с просьбой вернуть украденные активы, заявив, что атака затронула платформу и ее пользователей. Злоумышленник неожиданно согласился вернуть украденные активы. Он также утверждал, что намеревался выявить уязвимости, а не извлечь из них выгоду. Атаки подчеркивают важность аудита безопасности и тестирования смарт-контрактов для выявления уязвимостей, прежде чем их можно будет использовать. 

Как украсть 100 миллионов долларов из безупречных смарт-контрактов?

29 июня 2022 года благородный человек защитил Moonbeam Network, обнаружив критический недостаток в конструкции цифровых активов на сумму 100 миллионов долларов. Он получил максимальную сумму этой программы вознаграждения за ошибки от ImmuneF (1 миллион долларов) и бонус (50 XNUMX) от Moonwell. 

Moonriver и Moonbeam являются EVM-совместимыми платформами. Между ними есть предварительно скомпилированные смарт-контракты. Разработчик не учел преимущество «вызова делегата» в EVM. Злоумышленник-хакер может передать предварительно скомпилированный контракт, чтобы выдать себя за вызывающую сторону. Смарт-контракт не сможет определить фактического вызывающего абонента. Злоумышленник может перевести имеющиеся средства сразу с контракта. 

Как PWNING сэкономил 7 тысяч ETH и выиграл вознаграждение за обнаружение ошибок в размере 6 миллионов долларов

PWNING — хакерский энтузиаст, который недавно присоединился к миру криптовалют. За несколько месяцев до 14 июня 2022 года он сообщил о критической ошибке в Aurora Engine. По крайней мере 7 тысяч Eth находились под угрозой кражи, пока он не нашел уязвимость и не помог команде Aurora решить проблему. Он также выиграл награду в размере 6 миллионов жуков, что стало вторым по величине в истории. 

Фантомные функции и бездействие на миллиард долларов

Это две концепции, связанные с разработкой программного обеспечения и проектированием. Фантомные функции — это блоки кода, присутствующие в программной системе, но никогда не выполняемые. 10 января команда Dedaub раскрыла уязвимость в проекте Multi Chain, ранее называвшемся AnySwap. Multichain сделал публичное заявление, в котором основное внимание уделялось влиянию на своих клиентов. За этим объявлением последовали атаки и война флеш-ботов, в результате которой было потеряно 0.5% средств.  

Reentrancy только для чтения - уязвимость, ответственная за риск в размере 100 миллионов долларов в фондах.

Эта атака представляет собой вредоносный контракт, который может неоднократно вызывать сам себя и выкачивать средства из целевого контракта. 

Могут ли такие токены, как WETH, быть неплатежеспособными?

WETH — это простой и фундаментальный контракт в экосистеме Ethereum. Если произойдет депривязка, и ETH, и WETH потеряют свою ценность.  

 Уязвимость раскрыта в Profanity

Profanity — это инструмент адресации тщеславия Ethereum. Теперь, если адрес кошелька пользователя был сгенерирован этим инструментом, это может быть небезопасно для них. Ненормативная лексика использовала случайный 32-битный вектор для генерации 256-битного закрытого ключа, который предположительно небезопасен.

 Атака на Ethereum L2

Сообщалось о критической проблеме безопасности, которую может использовать любой злоумышленник для репликации денег в цепочке.  

Нэнси Дж. Аллен — криптоэнтузиаст и считает, что криптовалюты вдохновляют людей быть собственными банками и отходить от традиционных систем денежного обмена. Она также заинтригована технологией блокчейна и ее функционированием.

Последние сообщения Нэнси Дж. Аллен (увидеть все)