– Open Zeppelin, et cybersikkerhetsselskap som leverer verktøy for å utvikle og sikre desentraliserte applikasjoner (dApps).
– Selskapet avslørte at den største trusselen mot dApps ikke er blockchain-teknologien, men ond hensikt fra hackere over hele verden.
Blockchain-hacking har blitt et problem og truer kryptovalutaens økosystem. Hackere kan bryte blokkjedesikkerheten for å stjele kryptovaluta og digitale eiendeler. Dette er grunnen til at selskaper jobber med innovative måter å sikre systemene sine mot cyberangrep. Open Zeppelin har gitt ut en rapport som oppsummerer de ti beste blockchain-hacking-teknikkene.
Hvordan utgjør hackere trusler mot blokkjedesikkerhet?
51 % angrep
Dette angrepet skjer når en hacker får kontroll over minst 51 % eller mer av datakraften på et blokkjedenettverk. Dette vil gi dem makt til å kontrollere nettverkets konsensusalgoritme og være i stand til å manipulere transaksjoner. Dette vil resultere i dobbeltforbruk, hvor hackeren kan gjenta samme transaksjon. For eksempel er Binance en stor investor i memecoin Dogecoin og stablecoin Zilliqa, og kan enkelt manipulere kryptomarkedet.
Smarte kontraktsrisikoer
Smarte kontrakter er selvutførende programmer som er bygget på underliggende blokkjedeteknologi. Hackere kan hacke seg inn i koden for smarte kontrakter og manipulere dem for å stjele informasjon eller midler, eller digitale eiendeler.
Sybil angrep
Et slikt angrep skjer når en hacker har opprettet flere falske identiteter eller noder på et blokkjedenettverk. Dette lar dem få kontroll over en stor del av nettverkets datakraft. De kan manipulere transaksjoner på nettverket for å hjelpe til med terrorfinansiering eller andre ulovlige aktiviteter.
Angrep på skadelig programvare
Hackere kan distribuere skadelig programvare for å få tilgang til en brukers krypteringsnøkler eller private opplysninger, slik at de kan stjele fra lommebøker. Hackere kan lure brukere til å avsløre sine private nøkler, som kan brukes til å få uautorisert tilgang til deres digitale eiendeler.
Hva er de 10 beste Blockchain-hacking-teknikkene av Open Zeppelin?
Sammensatt TUSD Integration Issue Retrospective
Compound er en desentralisert finansprotokoll som hjelper brukere å tjene renter på sine digitale eiendeler ved å låne og låne dem på Ethereum-blokkjeden. TrueUSD er en stabil mynt knyttet til USD. Et av hovedintegrasjonsproblemene med TUSD var relatert til overførbarhet av eiendeler.
For å bruke TUSD på en forbindelse, måtte den kunne overføres mellom Ethereum-adresser. Imidlertid ble det funnet en feil i TUSDs smarte kontrakt, og noen overføringer ble blokkert eller forsinket. Dette betydde at kundene ikke kunne ta ut eller sette inn TUSD fra Compound. Dette fører til likviditetsproblemer og brukere tapte muligheter til å tjene renter eller låne TUSD.
6.2 L2 DAI tillater å stjele problemer i kodevurderinger
I slutten av februar 2021 ble det oppdaget et problem i kodevurderingen av StarkNet DAI Bridge smarte kontrakter, som kunne ha tillatt enhver angriper å plyndre midler fra Layer 2 eller L2 DAI-systemet. Dette problemet ble funnet under en revisjon av Certora, en blokkjede-sikkerhetsorganisasjon.
Problemet i kodevurderingen involverte en sårbar innskuddsfunksjon i kontrakten, som en hacker kunne ha brukt til å sette inn DAI-mynter i L2-systemet til DAI; uten egentlig å sende myntene. Dette kan tillate en hacker å prege et ubegrenset antall DAI-mynter. De kan selge det til markedet for å tjene store fortjenester. StarkNet-systemet har tapt mynter til en verdi av over 200 millioner dollar som var låst i det på oppdagelsestidspunktet.
Problemet ble løst av StarkNet-teamet, som slo seg sammen med Certora for å distribuere en ny versjon av den defekte smartkontrakten. Den nye versjonen ble deretter revidert av selskapet og ansett som sikker.
Avalanches $350 M Risk Report
Denne risikoen refererer til et cyberangrep som skjedde i november 2021, som resulterte i tap av tokens verdt rundt $350 millioner. Dette angrepet var rettet mot Poly Network, en DeFi-plattform som lar brukere utveksle kryptovalutaer. Angriperen utnyttet en sårbarhet i plattformens smarte kontraktskode, slik at hackeren kunne kontrollere plattformens digitale lommebøker.
Etter å ha oppdaget angrepet, ba Poly Network hackeren om å returnere de stjålne eiendelene, og uttalte at angrepet hadde påvirket plattformen og brukerne. Angriperen gikk overraskende med på å returnere de stjålne eiendelene. Han hevdet også at han hadde til hensikt å avsløre sårbarhetene i stedet for å tjene på dem. Angrepene fremhever viktigheten av sikkerhetsrevisjoner og testing av smarte kontrakter for å identifisere sårbarheter før de kan utnyttes.
Hvordan stjele $100 millioner fra feilfrie smarte kontrakter?
Den 29. juni 2022 beskyttet en adelig person Moonbeam Network ved å avsløre en kritisk feil i utformingen av digitale eiendeler, som var verdt 100 millioner dollar. Han ble tildelt det maksimale beløpet for dette bug-bounty-programmet av ImmuneF ($1M) og en bonus (50K) fra Moonwell.
Moonriver og Moonbeam er EVM-kompatible plattformer. Det er noen forhåndskompilerte smarte kontrakter mellom dem. Utvikleren tok ikke hensyn til fordelen med "delegat call" i EVM. En ondsinnet hacker kan sende sin forhåndskompilerte kontrakt for å etterligne den som ringer. Den smarte kontrakten vil ikke være i stand til å fastslå den faktiske oppringeren. Angriperen kan overføre de tilgjengelige midlene umiddelbart fra kontrakten.
Hvordan reddet PWNING 7K ETH og vant en feilpremie på $6 millioner
PWNING er en hacking-entusiast som nylig har sluttet seg til kryptolandet. Noen måneder før 14. juni 2022 rapporterte han om en kritisk feil i Aurora-motoren. Minst 7K Eth var i fare for å bli stjålet inntil han fant sårbarheten og hjalp Aurora-teamet med å fikse problemet. Han vant også en bug-bounty på 6 millioner, den nest høyeste i historien.
Phantom Functions og Billion Dollar no-op
Dette er to konsepter knyttet til programvareutvikling og engineering. Fantomfunksjoner er blokker med kode som finnes i et programvaresystem, men som aldri blir utført. 10. januar avslørte Dedaub-teamet sårbarhet for Multi Chain-prosjektet, tidligere AnySwap. Multichain har kommet med en offentlig kunngjøring som fokuserte på innvirkningen på kundene. Denne kunngjøringen ble fulgt av angrep og en flash bot-krig, noe som resulterte i et tap på 0.5 % av midlene.
Skrivebeskyttet Reentrancy- En sårbarhet som er ansvarlig for en risiko på $100 millioner i midler
Dette angrepet er en ondsinnet kontrakt som vil kunne kalle seg selv gjentatte ganger og tappe penger fra den målrettede kontrakten.
Kan tokens som WETH være insolvent?
WETH er en enkel og grunnleggende kontrakt i Ethereum-økosystemet. Hvis depegging finner sted, vil både ETH og WETH miste verdi.
En sårbarhet avslørt i banning
Banning er et Ethereum-forfengelighetsverktøy. Nå hvis en brukers lommebokadresse ble generert av dette verktøyet, kan det være utrygt for dem å bruke. Banning brukte en tilfeldig 32-bits vektor for å generere den 256-biters private nøkkelen, som er mistenkt for å være usikker.
Angrep på Ethereum L2
Et kritisk sikkerhetsproblem ble rapportert, som kan brukes av enhver angriper til å kopiere penger på kjeden.
Nancy J. Allen er en kryptoentusiast og mener at kryptovalutaer inspirerer folk til å være sine egne banker og gå til side fra tradisjonelle pengevekslingssystemer. Hun er også fascinert av blokkjedeteknologi og hvordan den fungerer.
Kilde: https://www.thecoinrepublic.com/2023/03/17/the-top-10-blockchain-hacking-techniques-by-open-zeppelin/