Open Zeppelin 10 populārākās blokķēdes uzlaušanas metodes

– Open Zeppelin, kiberdrošības uzņēmums, kas nodrošina rīkus decentralizētu lietojumprogrammu (dApps) izstrādei un nodrošināšanai.

- Uzņēmums atklāja, ka lielākais drauds dApps nav blokķēdes tehnoloģija, bet gan hakeru ļaunie nodomi visā pasaulē.

Blokķēdes uzlaušana ir kļuvusi par problēmu un apdraud kriptovalūtu ekosistēmu. Hakeri var pārkāpt blokķēdes drošību, lai nozagtu kriptovalūtu un digitālos aktīvus. Tāpēc uzņēmumi strādā pie inovatīviem veidiem, kā aizsargāt savas sistēmas no kiberuzbrukumiem. Open Zeppelin ir izlaidusi ziņojumu, kurā apkopoti desmit populārākie blokķēdes uzlaušanas paņēmieni. 

Kā hakeri rada draudus blokķēdes drošībai?

51% uzbrukumi

Šis uzbrukums notiek, kad hakeris iegūst kontroli pār vismaz 51% vai vairāk skaitļošanas jaudas blokķēdes tīklā. Tas viņiem dos tiesības kontrolēt tīkla konsensa algoritmu un manipulēt ar darījumiem. Tas radīs dubultus tēriņus, kur hakeris var atkārtot vienu un to pašu darījumu. Piemēram, Binance ir nozīmīgs investors memecoin Dogecoin un stablecoin Zilliqa, un tas var viegli manipulēt ar kriptovalūtu tirgu. 

Viedo līgumu riski

Viedie līgumi ir pašizpildes programmas, kuru pamatā ir blokķēdes tehnoloģija. Hakeri var uzlauzt viedo līgumu kodu un manipulēt ar tiem, lai nozagtu informāciju vai līdzekļus, vai digitālos īpašumus. 

Sybil Uzbrukumi 

Šāds uzbrukums notiek, ja hakeris blokķēdes tīklā ir izveidojis vairākas viltotas identitātes vai mezglus. Tas ļauj viņiem iegūt kontroli pār lielāko daļu tīkla skaitļošanas jaudas. Viņi var manipulēt ar darījumiem tīklā, lai palīdzētu teroristu finansēšanā vai citās nelikumīgās darbībās. 

Ļaunprātīgas programmatūras uzbrukumi

Hakeri var izvietot ļaunprātīgu programmatūru, lai piekļūtu lietotāja šifrēšanas atslēgām vai privātai informācijai, ļaujot viņiem zagt no makiem. Hakeri var maldināt lietotājus atklāt viņu privātās atslēgas, kuras var izmantot, lai iegūtu nesankcionētu piekļuvi viņu digitālajiem īpašumiem. 

Kādas ir Open Zeppelin 10 labākās blokķēdes uzlaušanas metodes?

Saliktā TUSD integrācijas problēmas retrospekcija

Compound ir decentralizēts finanšu protokols, kas palīdz lietotājiem nopelnīt procentus par saviem digitālajiem aktīviem, aizņemoties un aizdodot tos Ethereum blokķēdē. TrueUSD ir stabila monēta, kas piesaistīta USD. Viena no galvenajām integrācijas problēmām ar TUSD bija saistīta ar aktīvu pārvedamību. 

Lai izmantotu TUSD savienojumā, tam bija jābūt pārsūtāmam starp Ethereum adresēm. Tomēr TUSD viedajā līgumā tika atrasta kļūda, un daži pārskaitījumi tika bloķēti vai aizkavēti. Tas nozīmēja, ka klienti nevarēja izņemt vai iemaksāt TUSD no savienojuma. Tādējādi radās likviditātes problēmas un lietotāji zaudēja iespējas nopelnīt procentus vai aizņemties TUSD.

 6.2 L2 DAI ļauj zagt problēmas koda novērtējumos

2021. gada februāra beigās StarkNet DAI Bridge viedo līgumu koda novērtējumā tika atklāta problēma, kas varēja ļaut jebkuram uzbrucējam izlaupīt līdzekļus no Layer 2 vai L2 DAI sistēmas. Šī problēma tika konstatēta blokķēdes drošības organizācijas Certora audita laikā.

Koda novērtējuma problēma bija saistīta ar neaizsargātu līguma depozīta funkciju, ko hakeris varēja izmantot, lai noguldītu DAI monētas DAI L2 sistēmā; faktiski nenosūtot monētas. Tas varētu ļaut hakeram izkalt neierobežotu daudzumu DAI monētu. Viņi var to pārdot tirgū, lai nopelnītu milzīgu peļņu. StarkNet sistēma ir zaudējusi monētas vairāk nekā 200 miljonu USD vērtībā, kas tajā bija bloķētas atklāšanas brīdī. 

Problēmu atrisināja StarkNet komanda, kas sadarbojās ar Certora, lai izvietotu jaunu bojātā viedā līguma versiju. Pēc tam uzņēmums pārbaudīja jauno versiju, un tā tika uzskatīta par drošu. 

Avalanche riska pārskats par USD 350 miljoniem

Šis risks attiecas uz kiberuzbrukumu, kas notika 2021. gada novembrī, kā rezultātā tika zaudēti žetoni aptuveni 350 miljonu dolāru vērtībā. Šis uzbrukums bija vērsts uz Poly Network, DeFi platformu, kas ļauj lietotājiem apmainīties ar kriptovalūtām. Uzbrucējs izmantoja ievainojamību platformas viedā līguma kodā, ļaujot hakeram kontrolēt platformas digitālos makus. 

Atklājot uzbrukumu, Poly Network lūdza hakeri atdot nozagtos īpašumus, norādot, ka uzbrukums ir skāris platformu un tās lietotājus. Uzbrucējs pārsteidzošā kārtā piekrita atdot nozagtos īpašumus. Viņš arī apgalvoja, ka plāno atklāt ievainojamības, nevis gūt no tām peļņu. Uzbrukumi uzsver drošības auditu un viedo līgumu testēšanas nozīmi, lai identificētu ievainojamības, pirms tās var izmantot. 

Kā nozagt 100 miljonus USD no nevainojamiem viedajiem līgumiem?

29. gada 2022. jūnijā cēls indivīds aizsargāja Moonbeam tīklu, atklājot būtisku trūkumu digitālo līdzekļu dizainā, kuru vērtība bija 100 miljoni USD. ImmuneF viņam piešķīra maksimālo šīs kļūdu atlīdzības programmas summu (1 miljonu USD) un Moonwell prēmiju (50 XNUMX). 

Moonriver un Moonbeam ir ar EVM saderīgas platformas. Starp tiem ir daži iepriekš apkopoti viedie līgumi. Izstrādātājs neņēma vērā EVM “deleģētā zvana” priekšrocības. Ļaunprātīgs hakeris var nodot savu iepriekš sastādīto līgumu, lai uzdotos par savu zvanītāju. Viedais līgums nevarēs noteikt faktisko zvanītāju. Uzbrucējs var pārskaitīt pieejamos līdzekļus uzreiz no līguma. 

Kā PWNING ietaupīja 7 6 ETH un ieguva XNUMX M $ kļūdu

PWNING ir hakeru entuziasts, kurš nesen pievienojies kriptogrāfijas zemei. Dažus mēnešus pirms 14. gada 2022. jūnija viņš ziņoja par kritisku kļūdu Aurora dzinējā. Vismaz 7K Eth riskēja tikt nozagts, līdz viņš atrada ievainojamību un palīdzēja Aurora komandai novērst problēmu. Viņš arī ieguva kļūdu 6 miljonu apmērā, kas ir otrs lielākais vēsturē. 

Fantoma funkcijas un miljards dolāru no-op

Šie ir divi jēdzieni, kas saistīti ar programmatūras izstrādi un inženieriju. Fantoma funkcijas ir koda bloki, kas atrodas programmatūras sistēmā, bet nekad netiek izpildīti. 10. janvārī Dedaub komanda atklāja ievainojamību Multi Chain projektā, agrāk AnySwap. Multichain ir sniedzis publisku paziņojumu, kurā galvenā uzmanība tika pievērsta ietekmei uz saviem klientiem. Šim paziņojumam sekoja uzbrukumi un flash bot karš, kā rezultātā tika zaudēti 0.5% līdzekļu.  

Tikai lasāma atkārtota ievadīšana — ievainojamība, kas rada 100 miljonu dolāru lielu līdzekļu risku

Šis uzbrukums ir ļaunprātīgs līgums, kas varēs atkārtoti piezvanīt un izsūkt līdzekļus no mērķa līguma. 

Vai tādi marķieri kā WETH varētu būt maksātnespējīgi?

WETH ir vienkāršs un būtisks līgums Ethereum ekosistēmā. Ja tiks veikta atdalīšana, gan ETH, gan WETH zaudēs vērtību.  

 Vietnē Profanity atklāta ievainojamība

Profanity ir Ethereum iedomības rīks, kas vēršas pie iedomības. Tagad, ja lietotāja maka adresi ģenerēja šis rīks, lietotājam to varētu būt nedroši izmantot. Profanity izmantoja nejaušu 32 bitu vektoru, lai ģenerētu 256 bitu privāto atslēgu, kas tiek uzskatīta par nedrošu.

 Uzbrukums Ethereum L2

Tika ziņots par kritisku drošības problēmu, ko jebkurš uzbrucējs varēja izmantot, lai kopētu naudu ķēdē.  

Nensija J. Allena ir kriptovalūtas entuziaste un uzskata, ka kriptovalūtas iedvesmo cilvēkus būt par savām bankām un atkāpties no tradicionālajām naudas maiņas sistēmām. Viņu interesē arī blokķēdes tehnoloģija un tās darbība.

Nensijas J. Allenas jaunākās ziņas (redzēt visu)