De 10 bästa blockchain-hackningsteknikerna av Open Zeppelin

– Open Zeppelin, ett cybersäkerhetsföretag som tillhandahåller verktyg för att utveckla och säkra decentraliserade applikationer (dApps).

– Företaget avslöjade att det största hotet mot dApps inte är blockchain-tekniken utan onda uppsåt från hackare över hela världen.

Blockchain-hackning har blivit ett problem och hotar kryptovalutans ekosystem. Hackare kan bryta blockchain-säkerheten för att stjäla kryptovaluta och digitala tillgångar. Det är därför företag arbetar på innovativa sätt att säkra sina system från cyberattacker. Open Zeppelin har släppt en rapport som sammanfattar de tio bästa blockchain-hackningsteknikerna. 

Hur hotar hackare Blockchain-säkerheten?

51 % attacker

Denna attack inträffar när en hackare får kontroll över minst 51 % eller mer av datorkraften på ett blockkedjenätverk. Detta kommer att ge dem makten att kontrollera nätverkets konsensusalgoritm och kunna manipulera transaktioner. Detta kommer att resultera i dubbla utgifter, där hackaren kan upprepa samma transaktion. Till exempel är Binance en stor investerare i memecoin Dogecoin och stablecoin Zilliqa, och kan enkelt manipulera kryptomarknaden. 

Smarta kontraktsrisker

Smarta kontrakt är självexekverande program som bygger på underliggande blockchain-teknologi. Hackare kan hacka sig in i koden för smarta kontrakt och manipulera dem för att stjäla information eller pengar eller digitala tillgångar. 

Sybil attacker 

En sådan attack inträffar när en hacker har skapat flera falska identiteter eller noder på ett blockchain-nätverk. Detta gör att de kan få kontroll över en stor del av nätverkets datorkraft. De kan manipulera transaktioner på nätverket för att hjälpa till med finansiering av terrorism eller andra olagliga aktiviteter. 

Skadliga programattacker

Hackare kan distribuera skadlig programvara för att få tillgång till en användares krypteringsnycklar eller privat information, så att de kan stjäla från plånböcker. Hackare kan lura användare att avslöja sina privata nycklar, som kan användas för att få obehörig åtkomst till deras digitala tillgångar. 

Vilka är de 10 bästa blockchain-hackningsteknikerna av Open Zeppelin?

Compound TUSD Integration Issue Retrospective

Compound är ett decentraliserat finansprotokoll som hjälper användare att tjäna ränta på sina digitala tillgångar genom att låna och låna ut dem på Ethereum blockchain. TrueUSD är ett stabilt mynt kopplat till USD. En av de viktigaste integrationsproblemen med TUSD var relaterad till tillgångsöverlåtbarhet. 

För att använda TUSD på en förening måste den kunna överföras mellan Ethereum-adresser. En bugg hittades dock i TUSD:s smarta kontrakt, och vissa överföringar blockerades eller försenades. Detta innebar att kunderna inte kunde ta ut eller sätta in TUSD från Compound. Detta leder till likviditetsproblem och användare förlorade möjligheter att tjäna ränta eller låna TUSD.

 6.2 L2 DAI tillåter att stjäla problem i kodbedömningar

I slutet av februari 2021 upptäcktes ett problem i kodbedömningen av StarkNet DAI Bridge smarta kontrakt, vilket kunde ha tillåtit vilken angripare som helst att plundra pengar från Layer 2 eller L2 DAI-systemet. Det här problemet upptäcktes under en granskning av Certora, en blockchain-säkerhetsorganisation.

Frågan i kodbedömningen involverade en sårbar insättningsfunktion i kontraktet, som en hackare kunde ha använt för att sätta in DAI-mynt i DAI-systemets L2-system; utan att faktiskt skicka mynten. Detta kan tillåta en hackare att prägla en obegränsad mängd DAI-mynt. De kan sälja det till marknaden för att tjäna stora vinster. StarkNet-systemet har förlorat mynt till ett värde av över 200 miljoner dollar som var inlåsta i det vid tidpunkten för upptäckten. 

Problemet löstes av StarkNet-teamet, som samarbetade med Certora för att distribuera en ny version av det defekta smarta kontraktet. Den nya versionen granskades sedan av företaget och bedömdes som säker. 

Avalanches 350 miljoner dollar riskrapport

Denna risk hänvisar till en cyberattack som ägde rum i november 2021, vilket resulterade i förlust av tokens till ett värde av cirka 350 miljoner USD. Denna attack riktade sig mot Poly Network, en DeFi-plattform som tillåter användare att utbyta kryptovalutor. Angriparen utnyttjade en sårbarhet i plattformens smarta kontraktskod, vilket gjorde att hackaren kunde kontrollera plattformens digitala plånböcker. 

När Poly Network upptäckte attacken vädjade till hackaren om att lämna tillbaka de stulna tillgångarna, och angav att attacken hade påverkat plattformen och dess användare. Angriparen gick överraskande nog med att lämna tillbaka de stulna tillgångarna. Han hävdade också att han hade för avsikt att avslöja sårbarheterna snarare än att tjäna på dem. Attackerna lyfter fram vikten av säkerhetsrevisioner och testning av smarta kontrakt för att identifiera sårbarheter innan de kan utnyttjas. 

Hur stjäl man $100 miljoner från felfria smarta kontrakt?

Den 29 juni 2022 skyddade en ädel individ Moonbeam Network genom att avslöja ett kritiskt fel i utformningen av digitala tillgångar, som var värda 100 miljoner dollar. Han tilldelades det maximala beloppet för detta bug-bounty-program av ImmuneF ($1M) och en bonus (50K) från Moonwell. 

Moonriver och Moonbeam är EVM-kompatibla plattformar. Det finns några förkompilerade smarta kontrakt mellan dem. Utvecklaren tog inte hänsyn till fördelen med "delegat call" i EVM. En illvillig hackare kan skicka sitt förkompilerade kontrakt för att imitera sin uppringare. Det smarta kontraktet kommer inte att kunna fastställa den faktiska uppringaren. Angriparen kan överföra tillgängliga medel omedelbart från kontraktet. 

Hur sparade PWNING 7K ETH och vann en 6 miljoner USD bug-bounty

PWNING är en hackingentusiast som nyligen har anslutit sig till kryptolandet. Några månader före den 14 juni 2022 rapporterade han en kritisk bugg i Aurora Engine. Minst 7K Eth riskerade att bli stulen tills han hittade sårbarheten och hjälpte Aurora-teamet att lösa problemet. Han vann också en buggpremie på 6 miljoner, den näst högsta i historien. 

Phantom Functions och Billion Dollar no-op

Dessa är två begrepp relaterade till mjukvaruutveckling och ingenjörskonst. Fantomfunktioner är kodblock som finns i ett mjukvarusystem men som aldrig exekveras. Den 10 januari avslöjade Dedaub-teamet sårbarheten för Multi Chain-projektet, tidigare AnySwap. Multichain har gjort ett offentligt tillkännagivande som fokuserar på påverkan på sina kunder. Detta tillkännagivande följdes av attacker och ett flash bot-krig, vilket resulterade i en förlust på 0.5 % av medlen.  

Read-only Reentrancy- En sårbarhet som leder till en risk på 100 miljoner USD i fonder

Denna attack är ett skadligt kontrakt som kommer att kunna kalla sig själv upprepade gånger och tappa pengar från det riktade kontraktet. 

Kan tokens som WETH vara insolventa?

WETH är ett enkelt och grundläggande kontrakt i Ethereums ekosystem. Om depegging äger rum kommer både ETH och WETH att förlora värde.  

 En sårbarhet som avslöjas i svordomar

Svordomar är ett Ethereums fåfängaverktyg som adresserar fåfänga. Om en användares plånboksadress genererades av det här verktyget kan det vara osäkert för dem att använda. Svordomar använde en slumpmässig 32-bitars vektor för att generera den 256-bitars privata nyckeln, som misstänks vara osäker.

 Attackerar mot Ethereum L2

Ett kritiskt säkerhetsproblem rapporterades, som kan användas av vilken angripare som helst för att replikera pengar i kedjan.  

Nancy J. Allen är en kryptoentusiast och tror att kryptovalutor inspirerar människor att vara sina egna banker och gå åt sidan från traditionella valutaväxlingssystem. Hon är också fascinerad av blockchain-tekniken och dess funktion.

Senaste inläggen av Nancy J. Allen (se allt)