– Open Zeppelin, společnost zabývající se kybernetickou bezpečností, která poskytuje nástroje pro vývoj a zabezpečení decentralizovaných aplikací (dApps).
– Společnost odhalila, že největší hrozbou pro dApps není technologie blockchain, ale zlý úmysl hackerů z celého světa.
Hackování blockchainu se stalo problémem a ohrožuje ekosystém kryptoměn. Hackeři mohou prolomit zabezpečení blockchainu a ukrást kryptoměny a digitální aktiva. To je důvod, proč společnosti pracují na inovativních způsobech, jak zabezpečit své systémy před kybernetickými útoky. Open Zeppelin vydal zprávu shrnující deset nejlepších technik hackování blockchainu.
Jak hackeři představují hrozby pro zabezpečení blockchainu?
51 % útoků
K tomuto útoku dochází, když hacker získá kontrolu nad alespoň 51 % nebo více výpočetního výkonu v blockchainové síti. To jim dá sílu řídit konsensuální algoritmus sítě a být schopni manipulovat s transakcemi. To bude mít za následek dvojí útratu, kdy hacker může opakovat stejnou transakci. Například Binance je významným investorem do memecoinů Dogecoin a stablecoinů Zilliqa a může snadno manipulovat s kryptotrhem.
Rizika inteligentní smlouvy
Inteligentní smlouvy jsou samospouštěcí programy, které jsou postaveny na základní technologii blockchain. Hackeři se mohou nabourat do kódu chytrých kontraktů a manipulovat s nimi, aby ukradli informace nebo finanční prostředky nebo digitální aktiva.
Sybil útočí
K takovému útoku dochází, když hacker vytvořil více falešných identit nebo uzlů na blockchainové síti. To jim umožňuje získat kontrolu nad velkou částí výpočetního výkonu sítě. Mohou manipulovat transakce na síti, aby pomohli při financování terorismu nebo jiných nezákonných aktivit.
Malwarové útoky
Hackeři mohou nasadit malware, aby získali přístup k šifrovacím klíčům nebo soukromým informacím uživatele, což jim umožňuje krást z peněženek. Hackeři mohou uživatele oklamat, aby odhalili své soukromé klíče, které lze použít k získání neoprávněného přístupu k jejich digitálním aktivům.
Jaké jsou 10 nejlepších technik hackování blockchainu od Open Zeppelin?
Retrospektiva složeného problému integrace TUSD
Compound je decentralizovaný finanční protokol, který pomáhá uživatelům získávat úroky z jejich digitálních aktiv tím, že si je půjčují a půjčují na blockchainu Ethereum. TrueUSD je stablecoin navázaný na USD. Jeden z hlavních problémů integrace s TUSD souvisel s převoditelností aktiv.
Aby bylo možné použít TUSD na Compound, muselo být přenosné mezi adresami Ethereum. V chytré smlouvě TUSD však byla nalezena chyba a některé převody byly zablokovány nebo zpožděny. To znamenalo, že zákazníci nemohli vybrat nebo vložit TUSD ze směsi. To vedlo k problémům s likviditou a uživatelé ztratili příležitost získat úrok nebo si půjčit TUSD.
6.2 L2 DAI umožňuje kradení problémů při hodnocení kódu
Na konci února 2021 byl objeven problém v hodnocení kódu chytrých kontraktů StarkNet DAI Bridge, který mohl umožnit jakémukoli útočníkovi ukořistit prostředky ze systému Layer 2 nebo L2 DAI. Tento problém byl zjištěn během auditu Certora, bezpečnostní organizace pro blockchain.
Problém při hodnocení kódu zahrnoval funkci zranitelného vkladu smlouvy, kterou mohl hacker použít k uložení mincí DAI do systému L2 DAI; bez skutečného odeslání mincí. To by mohlo hackerovi umožnit razit neomezené množství DAI coinů. Mohou to prodat na trhu, aby vydělali obrovské zisky. Systém StarkNet v době objevu ztratil více než 200 milionů dolarů mincí v něm zamčených.
Problém vyřešil tým StarkNet, který se spojil s Certorou, aby nasadili novou verzi vadného smart kontraktu. Nová verze byla poté společností auditována a považována za bezpečnou.
Zpráva Avalanche o riziku 350 milionů dolarů
Toto riziko se týká kybernetického útoku, ke kterému došlo v listopadu 2021 a který měl za následek ztrátu tokenů v hodnotě přibližně 350 milionů dolarů. Tento útok se zaměřil na Poly Network, platformu DeFi, která uživatelům umožňuje směňovat kryptoměny. Útočník zneužil zranitelnost v kódu inteligentní smlouvy platformy a umožnil hackerovi ovládat digitální peněženky platformy.
Po odhalení útoku Poly Network požádala hackera, aby vrátil ukradený majetek, s tím, že útok zasáhl platformu a její uživatele. Útočník překvapivě souhlasil s navrácením ukradeného majetku. Tvrdil také, že měl v úmyslu odhalit zranitelnost spíše než z nich profitovat. Útoky zdůrazňují důležitost bezpečnostních auditů a testování chytrých kontraktů k identifikaci zranitelností dříve, než je lze zneužít.
Jak ukrást 100 milionů dolarů z bezchybných chytrých smluv?
června 29 ušlechtilý jedinec ochránil Moonbeam Network odhalením kritické chyby v designu digitálních aktiv, která měla hodnotu 2022 milionů dolarů. Získal maximální částku tohoto bug bounty programu od ImmuneF (100 milion $) a bonus (1 50) od Moonwell.
Moonriver a Moonbeam jsou platformy kompatibilní s EVM. Mezi nimi existuje několik předkompilovaných inteligentních smluv. Vývojář nevzal v úvahu výhodu „volání delegáta“ v EVM. Zlomyslný hacker může předat svou předem zkompilovanou smlouvu, aby se vydával za volajícího. Inteligentní smlouva nebude schopna určit skutečného volajícího. Útočník může okamžitě převést dostupné prostředky ze smlouvy.
Jak PWNING ušetřil 7K ETH a vyhrál odměnu za chyby ve výši 6 milionů $
PWNING je hackerský nadšenec, který nedávno vstoupil do země kryptoměn. Několik měsíců před 14. červnem 2022 nahlásil kritickou chybu v Aurora Engine. Nejméně 7K Eth byli vystaveni riziku odcizení, dokud nenašli zranitelnost a nepomohli týmu Aurora problém vyřešit. Vyhrál také odměnu za chyby ve výši 6 milionů, druhou nejvyšší v historii.
Fantomové funkce a miliardový no-op
Jedná se o dva koncepty související s vývojem softwaru a inženýrstvím. Fantomové funkce jsou bloky kódu přítomné v softwarovém systému, ale nikdy nebyly provedeny. 10. ledna tým Dedaub odhalil zranitelnost projektu Multi Chain, dříve AnySwap. Multichain učinil veřejné oznámení, které se zaměřilo na dopad na své klienty. Po tomto oznámení následovaly útoky a blesková válka botů, což vedlo ke ztrátě 0.5 % finančních prostředků.
Reentrancy pouze pro čtení – zranitelnost zodpovědná za riziko ve výši 100 milionů $ ve finančních prostředcích
Tento útok je škodlivá smlouva, která se bude moci opakovaně volat a odčerpávat finanční prostředky z cílené smlouvy.
Mohou být tokeny jako WETH insolventní?
WETH je jednoduchá a základní smlouva v ekosystému Ethereum. Pokud dojde k depeggingu, ETH i WETH ztratí hodnotu.
Chyba zabezpečení uvedená v vulgárních výrazech
Vulgární výrazy jsou Ethereum marnivostní nástroj. Nyní, pokud byla adresa peněženky uživatele vygenerována tímto nástrojem, může být pro ně použití nebezpečné. Vulgární výrazy použily náhodný 32bitový vektor k vygenerování 256bitového soukromého klíče, který je podezřelý, že není bezpečný.
Útok na Ethereum L2
Byl hlášen kritický problém se zabezpečením, který by mohl použít jakýkoli útočník k replikaci peněz v řetězci.
Nancy J. Allen je nadšenec do kryptoměn a věří, že kryptoměny inspirují lidi k tomu, aby byli vlastními bankami a odstoupili od tradičních peněžních směnných systémů. Zajímá ji také technologie blockchain a její fungování.
Zdroj: https://www.thecoinrepublic.com/2023/03/17/the-top-10-blockchain-hacking-techniques-by-open-zeppelin/