– Open Zeppelin, tvrtka za kibernetičku sigurnost koja pruža alate za razvoj i osiguranje decentraliziranih aplikacija (dApps).
– Tvrtka je otkrila da najveća prijetnja dApps nije blockchain tehnologija, već zla namjera hakera diljem svijeta.
Hakiranje blockchaina postalo je problem i prijeti ekosustavu kriptovaluta. Hakeri mogu probiti sigurnost blockchaina kako bi ukrali kriptovalutu i digitalnu imovinu. Zbog toga tvrtke rade na inovativnim načinima zaštite svojih sustava od kibernetičkih napada. Open Zeppelin je objavio izvješće u kojem je sažeto deset najboljih tehnika hakiranja blockchaina.
Kako hakeri predstavljaju prijetnje sigurnosti blockchaina?
51% napada
Do ovog napada dolazi kada haker preuzme kontrolu nad najmanje 51% ili više računalne snage na blockchain mreži. To će im dati moć da kontroliraju mrežni algoritam konsenzusa i da mogu manipulirati transakcijama. To će rezultirati dvostrukom potrošnjom, gdje haker može ponoviti istu transakciju. Na primjer, Binance je veliki ulagač u memecoin Dogecoin i stablecoin Zilliqa, te može lako manipulirati kripto tržištem.
Rizici pametnog ugovora
Pametni ugovori su samoizvršujući programi koji su izgrađeni na temeljnoj blockchain tehnologiji. Hakeri mogu provaliti u kod pametnih ugovora i manipulirati njima da ukradu informacije ili sredstva ili digitalnu imovinu.
Sybil napada
Takav se napad događa kada je haker stvorio više lažnih identiteta ili čvorova na blockchain mreži. To im omogućuje da steknu kontrolu nad većim dijelom računalne snage mreže. Oni mogu manipulirati transakcijama na mreži kako bi pomogli u financiranju terorizma ili drugim nedopuštenim aktivnostima.
Napadi zlonamjernog softvera
Hakeri mogu postaviti zlonamjerni softver kako bi dobili pristup korisničkim ključevima za enkripciju ili privatnim podacima, omogućujući im krađu iz novčanika. Hakeri mogu prevariti korisnike da otkriju svoje privatne ključeve, koji se mogu koristiti za dobivanje neovlaštenog pristupa njihovoj digitalnoj imovini.
Kojih je 10 najboljih tehnika hakiranja blockchaina od strane Open Zeppelina?
Retrospektiva problema integracije Compound TUSD
Compound je decentralizirani financijski protokol koji pomaže korisnicima da zarade kamate na svoju digitalnu imovinu posuđujući ih i posuđujući ih na Ethereum blockchainu. TrueUSD je stabilcoin vezan za USD. Jedno od glavnih pitanja integracije s TUSD-om odnosilo se na prenosivost imovine.
Da biste koristili TUSD na spoju, on je morao biti prenosiv između Ethereum adresa. Međutim, pronađena je greška u TUSD-ovom pametnom ugovoru, a neki su prijenosi blokirani ili odgođeni. To je značilo da klijenti nisu mogli povući ili položiti TUSD iz Kompaunda. To je dovelo do problema s likvidnošću i korisnici su izgubili prilike za zaradu na kamatama ili posuđivanje TUSD.
6.2 L2 DAI dopušta probleme krađe u procjenama koda
Krajem veljače 2021. otkriven je problem u procjeni koda pametnih ugovora StarkNet DAI Bridge, koji je mogao omogućiti bilo kojem napadaču da otme sredstva iz Layer 2 ili L2 DAI sustava. Ovaj je problem otkriven tijekom revizije Certore, sigurnosne organizacije za blockchain.
Problem u procjeni koda uključivao je ranjivu funkciju depozita ugovora, koju je haker mogao iskoristiti za deponiranje DAI kovanica u L2 sustav DAI-ja; bez stvarnog slanja kovanica. To bi hakeru moglo omogućiti kovanje neograničene količine DAI kovanica. Mogu ga prodati tržištu i zaraditi golemu zaradu. Sustav StarkNet izgubio je kovanice u vrijednosti od preko 200 milijuna dolara zaključane u njemu u trenutku otkrića.
Problem je riješio StarkNet tim, koji se udružio s Certorom kako bi implementirao novu verziju neispravnog pametnog ugovora. Tvrtka je potom revidirala novu verziju i ocijenila je sigurnom.
Avalancheovo izvješće o riziku od 350 milijuna dolara
Ovaj rizik odnosi se na kibernetički napad koji se dogodio u studenom 2021., što je rezultiralo gubitkom tokena u vrijednosti od oko 350 milijuna dolara. Ovaj napad bio je usmjeren na Poly Network, DeFi platformu koja korisnicima omogućuje razmjenu kriptovaluta. Napadač je iskoristio ranjivost u kodu pametnog ugovora platforme, omogućujući hakeru da kontrolira digitalne novčanike platforme.
Nakon otkrivanja napada, Poly Network je molio hakera da vrati ukradenu imovinu, navodeći da je napad utjecao na platformu i njezine korisnike. Napadač je iznenađujuće pristao vratiti ukradenu imovinu. Također je tvrdio da je namjeravao razotkriti ranjivosti, a ne profitirati od njih. Napadi naglašavaju važnost sigurnosnih revizija i testiranja pametnih ugovora kako bi se identificirale ranjivosti prije nego što se mogu iskoristiti.
Kako ukrasti 100 milijuna dolara iz besprijekornih pametnih ugovora?
Dana 29. lipnja 2022., plemeniti pojedinac zaštitio je Moonbeam Network otkrivši kritičnu grešku u dizajnu digitalne imovine, koja je bila vrijedna 100 milijuna dolara. ImmuneF mu je dodijelio maksimalni iznos ovog programa nagrađivanja za bugove (1 milijun dolara) i bonus (50 tisuća) od Moonwella.
Moonriver i Moonbeam su platforme kompatibilne s EVM-om. Između njih postoje neki unaprijed sastavljeni pametni ugovori. Programer nije uzeo u obzir prednost 'poziva delegata' u EVM-u. Zlonamjerni haker može prenijeti svoj unaprijed kompilirani ugovor kako bi oponašao svog pozivatelja. Pametni ugovor neće moći odrediti stvarnog pozivatelja. Napadač može prenijeti raspoloživa sredstva odmah iz ugovora.
Kako je PWNING uštedio 7K ETH i osvojio 6 milijuna dolara nagrade za bugove
PWNING je hakerski entuzijast koji se nedavno pridružio zemlji kripto. Nekoliko mjeseci prije 14. lipnja 2022. prijavio je kritičnu pogrešku u Aurora Engineu. Najmanje 7K Eth je bilo u opasnosti od krađe dok nije pronašao ranjivost i pomogao timu Aurore da riješi problem. Također je osvojio nagradu za bube od 6 milijuna, drugu najveću u povijesti.
Fantomske funkcije i bez operacije od milijarde dolara
To su dva pojma vezana uz razvoj i inženjering softvera. Fantomske funkcije su blokovi koda prisutni u softverskom sustavu, ali se nikada ne izvršavaju. 10. siječnja tim Dedauba otkrio je ranjivost projekta Multi Chain, ranije AnySwap. Multichain je objavio javnu objavu koja se fokusirala na utjecaj na svoje klijente. Nakon ove objave uslijedili su napadi i rat flash botova, što je rezultiralo gubitkom od 0.5% sredstava.
Ponovni ulazak samo za čitanje - Ranjivost koja je odgovorna za rizik od 100 milijuna dolara u fondovima
Ovaj napad je zlonamjerni ugovor koji će se moći više puta pozivati i crpiti sredstva iz ciljanog ugovora.
Mogu li tokeni poput WETH biti nesolventni?
WETH je jednostavan i temeljni ugovor u Ethereum ekosustavu. Ako dođe do depegginga, i ETH i WETH će izgubiti vrijednost.
Ranjivost otkrivena u vulgarnosti
Vulgarnost je Ethereum alat za rješavanje taštine. Ako je adresa novčanika korisnika generirana pomoću ovog alata, možda bi bila nesigurna za upotrebu. Vulgarnost je koristila nasumični 32-bitni vektor za generiranje 256-bitnog privatnog ključa, za koji se sumnja da nije siguran.
Napad na Ethereum L2
Prijavljen je kritičan sigurnosni problem, koji bi mogao upotrijebiti svaki napadač za repliciranje novca u lancu.
Nancy J. Allen je kripto entuzijastica i vjeruje da kriptovalute inspiriraju ljude da budu svoje banke i odmaknu se od tradicionalnih sustava monetarne razmjene. Zaintrigira je i blockchain tehnologija i njezino funkcioniranje.
Izvor: https://www.thecoinrepublic.com/2023/03/17/the-top-10-blockchain-hacking-techniques-by-open-zeppelin/