– Buksan ang Zeppelin, isang kumpanya ng cybersecurity na nagbibigay ng mga tool para sa pagbuo at pag-secure ng mga desentralisadong aplikasyon(dApps).
– Ibinunyag ng kumpanya na ang pinakamalaking banta sa dApps ay hindi ang teknolohiya ng blockchain kundi ang masamang hangarin mula sa mga hacker sa buong mundo.
Ang pag-hack ng blockchain ay naging isang problema at nagbabanta sa cryptocurrency ecosystem. Maaaring labagin ng mga hacker ang seguridad ng blockchain upang magnakaw ng cryptocurrency at mga digital asset. Ito ang dahilan kung bakit ang mga kumpanya ay gumagawa ng mga makabagong paraan upang ma-secure ang kanilang mga system mula sa mga cyber-attack. Ang Open Zeppelin ay naglabas ng isang ulat na nagbubuod sa nangungunang sampung mga diskarte sa pag-hack ng blockchain.
Paano Nagbabanta ang mga Hacker sa Blockchain Security?
51% Pag-atake
Ang pag-atake na ito ay nangyayari kapag ang isang hacker ay nakakuha ng kontrol ng hindi bababa sa 51% o higit pa sa kapangyarihan sa pag-compute sa isang blockchain network. Bibigyan sila nito ng kapangyarihang kontrolin ang consensus algorithm ng network at magagawang manipulahin ang mga transaksyon. Magreresulta ito sa dobleng paggastos, kung saan maaaring ulitin ng hacker ang parehong transaksyon. Halimbawa, ang Binance ay isang pangunahing mamumuhunan sa memecoin Dogecoin at stablecoin Zilliqa, at madaling manipulahin ang crypto market.
Mga Panganib sa Smart Contract
Ang mga matalinong kontrata ay mga self-executing program na binuo sa pinagbabatayan na teknolohiya ng blockchain. Maaaring i-hack ng mga hacker ang code ng mga matalinong kontrata at manipulahin ang mga ito upang magnakaw ng impormasyon o mga pondo, o mga digital na asset.
Mga Pag-atake ng Sybil
Ang ganitong pag-atake ay nangyayari kapag ang isang hacker ay lumikha ng maraming pekeng pagkakakilanlan o node sa isang blockchain network. Ito ay nagpapahintulot sa kanila na makakuha ng kontrol sa isang malaking bahagi ng kapangyarihan ng pag-compute ng network. Maaari nilang manipulahin ang mga transaksyon sa network upang tumulong sa pagpopondo ng terorista o iba pang mga ipinagbabawal na aktibidad.
Pag-atake ng Malware
Maaaring mag-deploy ng malware ang mga hacker para makakuha ng access sa mga encryption key o pribadong impormasyon ng user, na nagpapahintulot sa kanila na magnakaw mula sa mga wallet. Maaaring linlangin ng mga hacker ang mga user na ibunyag ang kanilang mga pribadong key, na maaaring magamit upang makakuha ng hindi awtorisadong pag-access sa kanilang mga digital na asset.
Ano Ang Nangungunang 10 Blockchain Hacking Techniques Ng Open Zeppelin?
Compound TUSD Integration Issue Retrospective
Ang Compound ay isang desentralisadong protocol sa pananalapi na tumutulong sa mga user na makakuha ng interes sa kanilang mga digital na asset sa pamamagitan ng paghiram at pagpapahiram sa kanila sa Ethereum blockchain. Ang TrueUSD ay isang stablecoin na naka-peg sa USD. Ang isa sa mga pangunahing isyu sa pagsasama sa TUSD ay nauugnay sa kakayahang ilipat ng asset.
Upang magamit ang TUSD sa isang Compound, kailangan itong mailipat sa pagitan ng mga Ethereum address. Gayunpaman, may nakitang bug sa smart contract ng TUSD, at na-block o naantala ang ilang paglilipat. Nangangahulugan ito na ang mga customer ay hindi maaaring mag-withdraw o magdeposito ng TUSD mula sa Compound. Dahil dito, humahantong sa mga isyu sa pagkatubig at nawalan ng mga pagkakataon ang mga user na kumita ng interes o humiram ng TUSD.
6.2 L2 DAI ay nagbibigay-daan sa mga isyu sa pagnanakaw sa mga pagtatasa ng code
Sa katapusan ng Pebrero 2021, natuklasan ang isang isyu sa pagtatasa ng code ng mga matalinong kontrata ng StarkNet DAI Bridge, na maaaring nagbigay-daan sa sinumang umaatake na magnakaw ng mga pondo mula sa Layer 2 o L2 DAI system. Ang isyung ito ay natagpuan sa panahon ng pag-audit ng Certora, isang blockchain security organization.
Ang isyu sa pagtatasa ng code ay nagsasangkot ng isang mahinang pag-andar ng deposito ng kontrata, na maaaring ginamit ng isang hacker upang magdeposito ng mga DAI coin sa L2 system ng DAI; nang hindi aktwal na nagpapadala ng mga barya. Maaari nitong payagan ang isang hacker na mag-mint ng walang limitasyong halaga ng mga DAI coins. Maaari nilang ibenta ito sa merkado upang kumita ng malaking kita. Ang sistema ng StarkNet ay nawalan ng mahigit $200 M na halaga ng mga barya na naka-lock dito sa oras ng pagtuklas.
Ang isyu ay nalutas ng StarkNet team, na nakipagtulungan sa Certora upang mag-deploy ng bagong bersyon ng may sira na smart contract. Ang bagong bersyon ay sinuri ng kumpanya at itinuring na ligtas.
Ang $350 M na Ulat sa Panganib ng Avalanche
Ang panganib na ito ay tumutukoy sa isang cyber attack na nangyari noong Nobyembre 2021, na nagresulta sa pagkawala ng humigit-kumulang $350 M na halaga ng mga token. Ang pag-atakeng ito ay naka-target sa Poly Network, isang DeFi platform na nagpapahintulot sa mga user na makipagpalitan ng mga cryptocurrencies. Sinamantala ng attacker ang isang kahinaan sa smart contract code ng platform, na nagpapahintulot sa hacker na kontrolin ang mga digital wallet ng platform.
Nang matuklasan ang pag-atake, nakiusap ang Poly Network sa hacker na ibalik ang mga ninakaw na asset, na nagsasaad na ang pag-atake ay nakaapekto sa platform at sa mga gumagamit nito. Nakakagulat na pumayag ang umaatake na ibalik ang mga ninakaw na ari-arian. Sinabi rin niya na nilayon niyang ilantad ang mga kahinaan sa halip na kumita mula sa mga ito. Itinatampok ng mga pag-atake ang kahalagahan ng mga pag-audit sa seguridad at pagsubok ng mga matalinong kontrata upang matukoy ang mga kahinaan bago sila mapagsamantalahan.
Paano magnakaw ng $100 M mula sa mga walang kamaliang matalinong kontrata?
Noong ika-29 ng Hunyo 2022, pinrotektahan ng isang marangal na indibidwal ang Moonbeam Network sa pamamagitan ng pagsisiwalat ng isang kritikal na depekto sa disenyo ng mga digital asset, na nagkakahalaga ng $100 milyon. Ginawaran siya ng maximum na halaga ng bug bounty program na ito ng ImmuneF($1M) at isang bonus (50K) mula kay Moonwell.
Ang Moonriver at Moonbeam ay mga platform na katugma sa EVM. Mayroong ilang mga precompiled na smart contract sa pagitan nila. Hindi sinamantala ng developer ang 'delegate call' sa EVM bilang pagsasaalang-alang. Ang isang nakakahamak na hacker ay maaaring pumasa sa paunang pinagsama-samang kontrata nito upang gayahin ang tumatawag nito. Hindi matutukoy ng matalinong kontrata ang aktwal na tumatawag. Maaaring ilipat kaagad ng umaatake ang mga magagamit na pondo mula sa kontrata.
Paano nakatipid ang PWNING ng 7K ETH at nanalo ng $6 M bug bounty
Ang PWNING ay isang mahilig sa pag-hack na kamakailan ay sumali sa lupain ng crypto. Ilang buwan bago ang ika-14 ng Hunyo, 2022, nag-ulat siya ng kritikal na bug sa Aurora Engine. Hindi bababa sa 7K Eth ang nasa panganib na manakaw hanggang sa matagpuan niya ang kahinaan at tinulungan ang Aurora team na ayusin ang isyu. Nanalo rin siya ng bug bounty na 6 milyon, ang pangalawang pinakamataas sa kasaysayan.
Mga Phantom Function at Billion Dollar no-op
Ito ay dalawang konsepto na may kaugnayan sa software development at engineering. Ang mga phantom function ay mga bloke ng code na naroroon sa isang software system ngunit hindi kailanman naisakatuparan. Noong Enero 10, isiniwalat ng koponan ng Dedaub ang kahinaan sa proyekto ng Multi Chain, na dating AnySwap. Ang Multichain ay gumawa ng pampublikong anunsyo na nakatuon sa epekto sa mga kliyente nito. Ang anunsyo na ito ay sinundan ng mga pag-atake at isang flash bot war, na nagresulta sa pagkawala ng 0.5% ng mga pondo.
Read-only Reentrancy- Isang kahinaan na responsable para sa panganib na $100M sa mga pondo
Ang pag-atake na ito ay isang nakakahamak na kontrata na magagawang tumawag sa sarili nang paulit-ulit at mag-drain ng mga pondo mula sa naka-target na kontrata.
Maaari bang maging insolvent ang mga token tulad ng WETH?
Ang WETH ay isang simple at pangunahing kontrata sa Ethereum ecosystem. Kung maganap ang depegging, parehong mawawalan ng halaga ang ETH at WETH.
Isang kahinaan na ibinunyag sa Kabastusan
Ang kabastusan ay isang Ethereum vanity addressing vanity tool. Ngayon kung ang wallet address ng isang user ay nabuo ng tool na ito, maaaring hindi ligtas para sa kanila na gamitin. Gumamit ang kabastusan ng random na 32-bit vector para buuin ang 256-bit private key, na pinaghihinalaang hindi ligtas.
Pag-atake sa Ethereum L2
Isang kritikal na isyu sa seguridad ang iniulat, na maaaring gamitin ng sinumang umaatake upang kopyahin ang pera sa chain.
Si Nancy J. Allen ay isang mahilig sa crypto at naniniwala na ang mga cryptocurrencies ay nagbibigay inspirasyon sa mga tao na maging sarili nilang mga bangko at tumabi sa mga tradisyunal na monetary exchange system. Naiintriga rin siya sa teknolohiya ng blockchain at sa paggana nito.
Pinagmulan: https://www.thecoinrepublic.com/2023/03/17/the-top-10-blockchain-hacking-techniques-by-open-zeppelin/