– Open Zeppelin, орталықтандырылмаған қолданбаларды (dApps) әзірлеу және қорғау құралдарын ұсынатын киберқауіпсіздік компаниясы.
– Компания dApps үшін ең үлкен қауіп блокчейн технологиясы емес, бүкіл әлем бойынша хакерлердің зұлым ниеті екенін анықтады.
Блокчейнді бұзу проблемаға айналды және криптовалюта экожүйесіне қауіп төндірді. Хакерлер криптовалюта мен цифрлық активтерді ұрлау үшін блокчейн қауіпсіздігін бұзуы мүмкін. Сондықтан компаниялар өз жүйелерін кибершабуылдардан қорғаудың инновациялық әдістерімен жұмыс істеуде. Open Zeppelin блокчейнді бұзудың ең жақсы он әдістерін қорытындылайтын есепті шығарды.
Хакерлер блокчейн қауіпсіздігіне қалай қауіп төндіреді?
51% шабуылдар
Бұл шабуыл хакер блокчейн желісіндегі есептеу қуатының кемінде 51% немесе одан да көп бөлігін бақылауға алған кезде орын алады. Бұл оларға желінің консенсус алгоритмін басқару және транзакцияларды басқару мүмкіндігін береді. Бұл хакер бір транзакцияны қайталай алатын екі есе шығындарға әкеледі. Мысалы, Binance memecoin Dogecoin және stablecoin Zilliqa негізгі инвесторы болып табылады және крипто нарығын оңай басқара алады.
Ақылды келісім-шарт тәуекелдері
Ақылды келісім-шарттар - блокчейн технологиясына негізделген өздігінен орындалатын бағдарламалар. Хакерлер ақылды келісімшарттардың кодын бұзып, ақпаратты немесе қаражатты немесе цифрлық активтерді ұрлау үшін оларды манипуляциялай алады.
Сибил шабуылдары
Мұндай шабуыл хакер блокчейн желісінде бірнеше жалған сәйкестіктерді немесе түйіндерді жасаған кезде орын алады. Бұл оларға желінің есептеу қуатының негізгі бөлігін бақылауға мүмкіндік береді. Олар терроризмді қаржыландыруға немесе басқа да заңсыз әрекеттерге көмектесу үшін желідегі транзакцияларды басқара алады.
Зиянды бағдарламалық шабуылдар
Хакерлер пайдаланушының шифрлау кілттеріне немесе жеке ақпаратына қол жеткізу үшін зиянды бағдарламаны қолдана алады, бұл оларға әмияндардан ұрлауға мүмкіндік береді. Хакерлер пайдаланушыларды сандық активтеріне рұқсатсыз кіру үшін пайдаланылуы мүмкін жеке кілттерін ашуға алдап жіберуі мүмкін.
Open Zeppelin арқылы блокчейнді бұзудың ең жақсы 10 әдістері қандай?
Құрама TUSD интеграция мәселесі ретроспективасы
Құрама – бұл пайдаланушыларға Ethereum блокчейнінде қарыз алу және несие беру арқылы цифрлық активтеріне қызығушылық табуға көмектесетін орталықтандырылмаған қаржы хаттамасы. TrueUSD - бұл АҚШ долларына бекітілген тұрақты коин. TUSD-мен интеграцияның негізгі мәселелерінің бірі активтерді ауыстыру мүмкіндігіне қатысты болды.
Қосылымда TUSD пайдалану үшін оны Ethereum мекенжайлары арасында тасымалдауға болатын болуы керек. Дегенмен, TUSD смарт келісімшартында қате табылды және кейбір аударымдар бұғатталды немесе кешіктірілді. Бұл тұтынушылардың құрамнан TUSD алып немесе депозитке сала алмайтынын білдірді. Осылайша өтімділік мәселелері туындады және пайдаланушылар пайыздарды алу немесе TUSD қарыз алу мүмкіндіктерін жоғалтты.
6.2 L2 DAI кодты бағалаудағы мәселелерді ұрлауға мүмкіндік береді
2021 жылдың ақпан айының соңында StarkNet DAI Bridge смарт келісімшарттарының кодтық бағалауында мәселе анықталды, ол кез келген шабуылдаушыға Layer 2 немесе L2 DAI жүйесінен қаражатты тонауға мүмкіндік беруі мүмкін. Бұл мәселе Certora, blockchain қауіпсіздік ұйымының аудиті кезінде табылды.
Кодты бағалаудағы мәселе келісім-шарттың осал депозиттік функциясына қатысты, оны хакер DAI монеталарын DAI L2 жүйесіне депозитке салу үшін пайдалана алады; шын мәнінде монеталарды жібермей. Бұл хакерге DAI монеталарының шексіз мөлшерін шығаруға мүмкіндік береді. Олар үлкен пайда табу үшін оны нарыққа сата алады. StarkNet жүйесі табылған кезде құлыптаулы 200 миллион доллардан астам монеталарды жоғалтты.
Ақаулы смарт келісімшарттың жаңа нұсқасын қолдану үшін Certora-мен бірлесе отырып, мәселені StarkNet командасы шешті. Содан кейін жаңа нұсқаны компания тексеріп, қауіпсіз деп таныды.
Көшкіннің $350 млн тәуекел туралы есебі
Бұл тәуекел 2021 жылдың қарашасында орын алған кибершабуылға қатысты, нәтижесінде 350 миллион доллар шамасында токендер жоғалды. Бұл шабуыл пайдаланушыларға криптовалюта алмасуға мүмкіндік беретін DeFi платформасы Poly Network-ке бағытталған. Шабуылшы платформаның смарт келісімшарт кодындағы осалдықты пайдаланып, хакерге платформаның сандық әмияндарын басқаруға мүмкіндік берді.
Шабуылды анықтаған кезде, Poly Network хакерден ұрланған активтерді қайтаруды өтініп, шабуыл платформаға және оның пайдаланушыларына әсер еткенін айтты. Шабуылдаушы ұрланған активтерді қайтаруға келісті. Ол сондай-ақ олардан пайда табудың орнына осалдықтарды ашуды көздейтінін мәлімдеді. Шабуылдар осалдықтарды пайдаланбас бұрын анықтау үшін қауіпсіздік аудиті мен смарт келісімшарттарды тестілеудің маңыздылығын көрсетеді.
Мінсіз смарт келісімшарттардан 100 миллион долларды қалай ұрлауға болады?
29 жылдың 2022 маусымында асыл тұлға Moonbeam желісін 100 миллион доллар тұратын цифрлық активтерді жобалаудағы маңызды кемшілікті ашып, қорғады. Оған ImmuneF ($1 миллион) және Moonwell бонусы (50 мың) осы қателік сыйақы бағдарламасының максималды сомасын алды.
Moonriver және Moonbeam - EVM-үйлесімді платформалар. Олардың арасында алдын ала құрастырылған смарт келісімшарттар бар. Әзірлеуші EVM жүйесіндегі «делегат шақыруының» артықшылығын ескермеді. Зиянды хакер қоңырау шалушының кейпін көрсету үшін алдын ала жасалған келісім-шартты жібере алады. Смарт келісімшарт нақты қоңырау шалушыны анықтай алмайды. Шабуылдаушы қол жетімді қаражатты келісім-шарттан дереу аудара алады.
PWNING қалай 7K ETH үнемдеді және $6 миллион қате сыйлығын ұтып алды
PWNING - крипто еліне жақында қосылған хакерлік энтузиас. 14 жылдың 2022 маусымынан бірнеше ай бұрын ол Aurora қозғалтқышындағы маңызды қате туралы хабарлады. Кем дегенде 7K Eth осалдықты тауып, Аврора командасына мәселені шешуге көмектескенше ұрлану қаупі бар еді. Ол сонымен қатар 6 миллион қате сыйақы ұтып алды, бұл тарихтағы екінші ең жоғары көрсеткіш.
Фантом функциялары және миллиард доллар
Бұл бағдарламалық жасақтаманы әзірлеуге және инженерияға қатысты екі тұжырымдама. Фантомдық функциялар бағдарламалық жүйеде бар, бірақ ешқашан орындалмайтын код блоктары болып табылады. 10 қаңтарда Dedaub тобы бұрынғы AnySwap болатын Multi Chain жобасының осалдығын ашты. Multichain өз клиенттеріне әсер етуге бағытталған жалпыға ортақ мәлімдеме жасады. Бұл хабарландырудан кейін шабуылдар мен флэш-бот соғысы болды, нәтижесінде 0.5% қаражат жоғалды.
Тек оқуға арналған қайта кіру – $100 миллион қаражат тәуекеліне жауап беретін осалдық
Бұл шабуыл - өзіне қайта-қайта қоңырау шалып, мақсатты келісім-шарттан қаражат жұмсай алатын зиянды келісімшарт.
WETH сияқты токендер төлем қабілетсіз болуы мүмкін бе?
WETH - бұл Ethereum экожүйесіндегі қарапайым және негізгі келісімшарт. Депеггация орын алса, ETH де, WETH де құндылығын жоғалтады.
Профанияда ашылған осалдық
Profanity — бұл Ethereum бос әурешілік құралы. Енді пайдаланушының әмиян мекенжайы осы құрал арқылы жасалған болса, оны пайдалану қауіпті болуы мүмкін. Profanity 32 биттік жеке кілтті жасау үшін кездейсоқ 256 биттік векторды пайдаланды, бұл қауіпті деп күдіктенеді.
Ethereum L2-ге шабуыл жасау
Кез келген шабуылдаушы оны тізбектегі ақшаны көшіру үшін пайдалана алатын маңызды қауіпсіздік мәселесі туралы хабарланды.
Нэнси Дж. Аллен криптовалюта әуесқойы және криптовалюталар адамдарды өздерінің банктері болуға және дәстүрлі ақша айырбастау жүйелерінен бас тартуға шабыттандырады деп санайды. Оны блокчейн технологиясы және оның жұмысы да қызықтырады.
Дереккөз: https://www.thecoinrepublic.com/2023/03/17/the-top-10-blockchain-hacking-techniques-by-open-zeppelin/