10 teknikat më të mira të hakimit të Blockchain nga Open Zeppelin

– Open Zeppelin, një kompani e sigurisë kibernetike që ofron mjete për zhvillimin dhe sigurimin e aplikacioneve të decentralizuara (dApps).

– Kompania zbuloi se kërcënimi më i madh i paraqitur për dApps nuk është teknologjia blockchain, por qëllimi i keq i hakerëve në mbarë botën.

Hakerimi i bllokut është bërë problem dhe kërcënon ekosistemin e kriptomonedhës. Hakerët mund të shkelin sigurinë e blockchain për të vjedhur kriptomonedha dhe asete dixhitale. Kjo është arsyeja pse kompanitë po punojnë në mënyra inovative për të siguruar sistemet e tyre nga sulmet kibernetike. Open Zeppelin ka publikuar një raport që përmbledh dhjetë teknikat më të mira të hakerimit të blockchain. 

Si paraqesin hakerët kërcënime për sigurinë e Blockchain?

51% Sulme

Ky sulm ndodh kur një haker fiton kontrollin e të paktën 51% ose më shumë të fuqisë kompjuterike në një rrjet blockchain. Kjo do t'u japë atyre fuqinë për të kontrolluar algoritmin e konsensusit të rrjetit dhe të jenë në gjendje të manipulojnë transaksionet. Kjo do të rezultojë në shpenzime të dyfishta, ku hakeri mund të përsërisë të njëjtin transaksion. Për shembull, Binance është një investitor i madh në memecoin Dogecoin dhe stablecoin Zilliqa, dhe mund të manipulojë lehtësisht tregun e kriptove. 

Rreziqet e kontratës inteligjente

Kontratat inteligjente janë programe vetë-ekzekutuese që janë ndërtuar mbi teknologjinë themelore të blockchain. Hakerët mund të hakojnë kodin e kontratave inteligjente dhe t'i manipulojnë ato për të vjedhur informacione ose fonde, ose asete dixhitale. 

Sulmet e Sybilit 

Një sulm i tillë ndodh kur një haker ka krijuar identitete të shumta false ose nyje në një rrjet blockchain. Kjo u lejon atyre të fitojnë kontrollin mbi një pjesë të madhe të fuqisë kompjuterike të rrjetit. Ata mund të manipulojnë transaksionet në rrjet për të ndihmuar në financimin e terrorizmit ose aktivitete të tjera të paligjshme. 

Sulmet malware

Hakerët mund të vendosin malware për të marrë akses në çelësat e enkriptimit ose informacionin privat të një përdoruesi, duke i lejuar ata të vjedhin nga kuletat. Hakerët mund të mashtrojnë përdoruesit për të zbuluar çelësat e tyre privatë, të cilët mund të përdoren për të fituar akses të paautorizuar në asetet e tyre dixhitale. 

Cilat janë 10 teknikat më të mira të hakerimit të Blockchain nga Open Zeppelin?

Retrospektiva e Përbërjes së Integrimit TUSD

Compound është një protokoll i decentralizuar i financave që i ndihmon përdoruesit të fitojnë interes për asetet e tyre dixhitale duke i huazuar dhe huazuar ato në blockchain Ethereum. TrueUSD është një monedhë stabile e lidhur me USD. Një nga çështjet kryesore të integrimit me TUSD ishte e lidhur me transferueshmërinë e aseteve. 

Për të përdorur TUSD në një Kompleks, ai duhej të ishte i transferueshëm midis adresave të Ethereum. Megjithatë, u gjet një gabim në kontratën inteligjente të TUSD dhe disa transferta u bllokuan ose u vonuan. Kjo do të thoshte se klientët nuk mund të tërhiqnin ose depozitonin TUSD nga Kompleksi. Duke çuar kështu në çështje të likuiditetit dhe përdoruesit humbën mundësitë për të fituar interes ose për të marrë hua TUSD.

 6.2 L2 DAI lejon vjedhjen e çështjeve në vlerësimet e kodit

Në fund të shkurtit 2021, u zbulua një problem në vlerësimin e kodit të kontratave inteligjente StarkNet DAI Bridge, të cilat mund të kishin lejuar çdo sulmues të grabiste fonde nga sistemi Layer 2 ose L2 DAI. Kjo çështje u zbulua gjatë një auditimi nga Certora, një organizatë e sigurisë blockchain.

Çështja në vlerësimin e kodit përfshinte një funksion depozitimi të cenueshëm të kontratës, të cilin një haker mund ta kishte përdorur për të depozituar monedha DAI në sistemin L2 të DAI-t; pa dërguar në të vërtetë monedhat. Kjo mund të lejojë një haker të presë një sasi të pakufizuar monedhash DAI. Ata mund ta shesin atë në treg për të fituar fitime të mëdha. Sistemi StarkNet ka humbur monedha me vlerë mbi 200 milion dollarë të mbyllura në të në kohën e zbulimit. 

Çështja u zgjidh nga ekipi StarkNet, i cili u bashkua me Certora për të vendosur një version të ri të kontratës inteligjente me defekt. Versioni i ri u auditua më pas nga kompania dhe u konsiderua i sigurt. 

Raporti i rrezikut prej 350 milion dollarësh të Ortekut

Ky rrezik i referohet një sulmi kibernetik që ndodhi në nëntor 2021, i cili rezultoi në humbjen e tokenëve me vlerë rreth 350 milion dollarë. Ky sulm synoi Poly Network, një platformë DeFi që lejon përdoruesit të shkëmbejnë kriptomonedha. Sulmuesi ka shfrytëzuar një cenueshmëri në kodin e kontratës inteligjente të platformës, duke i lejuar hakerit të kontrollojë kuletat dixhitale të platformës. 

Pas zbulimit të sulmit, Poly Network iu lut hakerit që të kthente asetet e vjedhura, duke deklaruar se sulmi kishte prekur platformën dhe përdoruesit e saj. Sulmuesi çuditërisht pranoi të kthente pasuritë e vjedhura. Ai gjithashtu pretendoi se kishte për qëllim të ekspozonte dobësitë në vend që të përfitonte prej tyre. Sulmet theksojnë rëndësinë e auditimeve të sigurisë dhe testimit të kontratave inteligjente për të identifikuar dobësitë përpara se ato të shfrytëzohen. 

Si të vidhni 100 milion dollarë nga kontratat inteligjente pa të meta?

Më 29 qershor 2022, një individ fisnik mbrojti Rrjetin e Hënës duke zbuluar një të metë kritike në hartimin e aseteve dixhitale, të cilat kapnin vlerën e 100 milionë dollarëve. Atij iu dha shuma maksimale e këtij programi të shpërblimit të gabimeve nga ImmuneF (1 milion dollarë) dhe një bonus (50 mijë) nga Moonwell. 

Moonriver dhe Moonbeam janë platforma të pajtueshme me EVM. Ka disa kontrata inteligjente të parapërpiluara mes tyre. Zhvilluesi nuk mori në konsideratë avantazhin e 'thirrjes së delegatëve' në EVM. Një haker keqdashës mund të kalojë kontratën e tij të parapërpiluar për të imituar thirrësin e tij. Kontrata inteligjente nuk do të jetë në gjendje të përcaktojë telefonuesin aktual. Sulmuesi mund të transferojë fondet e disponueshme menjëherë nga kontrata. 

Si kurseu PWNING 7K ETH dhe fitoi një shpërblim prej 6 milion dollarësh për defekte

PWNING është një entuziast i hakerimit i cili së fundmi i është bashkuar vendit të kriptove. Disa muaj përpara 14 qershorit 2022, ai raportoi një defekt kritik në motorin Aurora. Të paktën 7K Eth ishin në rrezik për t'u vjedhur derisa ai gjeti cenueshmërinë dhe ndihmoi ekipin e Aurora të rregullonte problemin. Ai gjithashtu fitoi një shpërblim prej 6 milionë defektesh, i dyti më i madhi në histori. 

Funksionet fantazmë dhe miliardë dollarë pa funksion

Këto janë dy koncepte që lidhen me zhvillimin e softuerit dhe inxhinierinë. Funksionet fantazmë janë blloqe kodi të pranishme në një sistem softuerësh, por që nuk ekzekutohen kurrë. Më 10 janar, ekipi i Dedaub zbuloi cenueshmërinë ndaj projektit Multi Chain, dikur AnySwap. Multichain ka bërë një njoftim publik që u fokusua në ndikimin tek klientët e saj. Ky njoftim u pasua me sulme dhe një luftë flash bot, duke rezultuar në një humbje prej 0.5% të fondeve.  

Rihyrje vetëm për lexim- Një cenueshmëri përgjegjëse për një rrezik prej 100 milion dollarë fonde

Ky sulm është një kontratë me qëllim të keq që do të jetë në gjendje të thërrasë veten vazhdimisht dhe të heqë fondet nga kontrata e synuar. 

A mund të jenë të falimentuar argumentet si WETH?

WETH është një kontratë e thjeshtë dhe themelore në ekosistemin Ethereum. Nëse bëhet depegging, të dyja ETH dhe WETH do të humbasin vlerën.  

 Një cenueshmëri e zbuluar në Profanity

Fshehtësia është një mjet i kotësisë së Ethereum që adreson kotësinë. Tani nëse adresa e portofolit të një përdoruesi është krijuar nga ky mjet, mund të jetë e pasigurt për ta përdorur. Profanity përdori një vektor të rastësishëm 32-bit për të gjeneruar çelësin privat 256-bit, i cili dyshohet të jetë i pasigurt.

 Sulmi ndaj Ethereum L2

U raportua një çështje kritike e sigurisë, e cila mund të përdoret nga çdo sulmues për të riprodhuar para në zinxhir.  

Nancy J. Allen është një entuziast i kriptove dhe beson se kriptovalutat i frymëzojnë njerëzit që të jenë bankat e tyre dhe të largohen nga sistemet tradicionale të këmbimit monetar. Ajo është gjithashtu e intriguar nga teknologjia blockchain dhe funksionimi i saj.

Postimet e fundit nga Nancy J. Allen (Shiko gjithcka)