10 Teknik Penggodaman Blockchain Terbaik Oleh Open Zeppelin

– Open Zeppelin, sebuah syarikat keselamatan siber yang menyediakan alatan untuk membangunkan dan mengamankan aplikasi terdesentralisasi(dApps).

– Syarikat itu mendedahkan bahawa ancaman terbesar yang ditimbulkan kepada dApps bukanlah teknologi blockchain tetapi niat jahat daripada penggodam di seluruh dunia.

Penggodaman rantaian blok telah menjadi masalah dan mengancam ekosistem mata wang kripto. Penggodam boleh melanggar keselamatan blockchain untuk mencuri mata wang kripto dan aset digital. Inilah sebabnya mengapa syarikat sedang mengusahakan cara inovatif untuk melindungi sistem mereka daripada serangan siber. Open Zeppelin telah mengeluarkan laporan yang meringkaskan sepuluh teknik penggodaman blockchain teratas. 

Bagaimanakah Penggodam Mengancam Keselamatan Blockchain?

51% Serangan

Serangan ini berlaku apabila penggodam memperoleh kawalan sekurang-kurangnya 51% atau lebih kuasa pengkomputeran pada rangkaian blockchain. Ini akan memberi mereka kuasa untuk mengawal algoritma konsensus rangkaian dan dapat memanipulasi transaksi. Ini akan mengakibatkan perbelanjaan berganda, di mana penggodam boleh mengulangi transaksi yang sama. Sebagai contoh, Binance ialah pelabur utama dalam memecoin Dogecoin dan stablecoin Zilliqa, dan boleh memanipulasi pasaran crypto dengan mudah. 

Risiko Kontrak Pintar

Kontrak pintar ialah program laksana sendiri yang dibina di atas teknologi blockchain yang mendasari. Penggodam boleh menggodam kod kontrak pintar dan memanipulasinya untuk mencuri maklumat atau dana, atau aset digital. 

Serangan Sybil 

Serangan sedemikian berlaku apabila penggodam telah mencipta pelbagai identiti atau nod palsu pada rangkaian blockchain. Ini membolehkan mereka mendapat kawalan ke atas sebahagian besar kuasa pengkomputeran rangkaian. Mereka boleh memanipulasi transaksi dalam rangkaian untuk membantu dalam pembiayaan pengganas atau aktiviti haram lain. 

Serangan Malware

Penggodam boleh menggunakan perisian hasad untuk mendapatkan akses kepada kunci penyulitan atau maklumat peribadi pengguna, membolehkan mereka mencuri daripada dompet. Penggodam boleh menipu pengguna supaya mendedahkan kunci peribadi mereka, yang boleh digunakan untuk mendapatkan akses tanpa kebenaran kepada aset digital mereka. 

Apakah 10 Teknik Penggodaman Blockchain Terbaik Oleh Open Zeppelin?

Isu Integrasi TUSD Kompaun Retrospektif

Kompaun ialah protokol kewangan terdesentralisasi yang membantu pengguna memperoleh faedah ke atas aset digital mereka dengan meminjam dan meminjamkannya pada blockchain Ethereum. TrueUSD ialah stablecoin yang dipatok pada USD. Salah satu isu penyepaduan utama dengan TUSD adalah berkaitan dengan kebolehpindahan aset. 

Untuk menggunakan TUSD pada Kompaun, ia mesti boleh dipindah milik antara alamat Ethereum. Walau bagaimanapun, pepijat ditemui dalam kontrak pintar TUSD, dan beberapa pemindahan telah disekat atau ditangguhkan. Ini bermakna pelanggan tidak boleh mengeluarkan atau mendepositkan TUSD daripada Kompaun. Dengan itu membawa kepada isu kecairan dan pengguna kehilangan peluang untuk memperoleh faedah atau meminjam TUSD.

 6.2 L2 DAI membenarkan isu mencuri dalam penilaian kod

Pada penghujung Februari 2021, satu isu ditemui dalam penilaian kod kontrak pintar StarkNet DAI Bridge, yang boleh membenarkan mana-mana penyerang merompak dana daripada sistem Lapisan 2 atau L2 DAI. Isu ini ditemui semasa audit oleh Certora, sebuah organisasi keselamatan blockchain.

Isu dalam penilaian kod melibatkan fungsi deposit yang terdedah pada kontrak, yang boleh digunakan oleh penggodam untuk mendepositkan syiling DAI ke dalam sistem L2 DAI; tanpa benar-benar menghantar syiling. Ini boleh membenarkan penggodam untuk mencetak syiling DAI tanpa had. Mereka boleh menjualnya ke pasaran untuk memperoleh keuntungan yang besar. Sistem StarkNet telah kehilangan lebih daripada $200 M nilai syiling yang terkunci di dalamnya pada masa penemuan. 

Isu ini telah diselesaikan oleh pasukan StarkNet, yang bekerjasama dengan Certora untuk menggunakan versi baharu kontrak pintar yang rosak. Versi baharu itu kemudiannya diaudit oleh syarikat dan dianggap selamat. 

Laporan Risiko $350 M Avalanche

Risiko ini merujuk kepada serangan siber yang berlaku pada November 2021, yang mengakibatkan kehilangan kira-kira $350 M token. Serangan ini menyasarkan Rangkaian Poli, platform DeFi yang membolehkan pengguna menukar mata wang kripto. Penyerang mengeksploitasi kelemahan dalam kod kontrak pintar platform, membolehkan penggodam mengawal dompet digital platform. 

Apabila mendapati serangan itu, Poly Network merayu kepada penggodam untuk mengembalikan aset yang dicuri, menyatakan bahawa serangan itu telah menjejaskan platform dan penggunanya. Penyerang secara mengejutkan bersetuju untuk memulangkan aset yang dicuri. Dia juga mendakwa bahawa dia berhasrat untuk mendedahkan kelemahan daripada mengaut keuntungan daripadanya. Serangan itu menyerlahkan kepentingan audit keselamatan dan ujian kontrak pintar untuk mengenal pasti kelemahan sebelum ia boleh dieksploitasi. 

Bagaimana untuk mencuri $100 M daripada kontrak pintar yang sempurna?

Pada 29 Jun 2022, seorang individu mulia melindungi Rangkaian Moonbeam dengan mendedahkan kecacatan kritikal dalam reka bentuk aset digital, yang bernilai $100 juta. Dia telah dianugerahkan jumlah maksimum program hadiah pepijat ini oleh ImmuneF($1J) dan bonus (50K) daripada Moonwell. 

Moonriver dan Moonbeam ialah platform yang serasi dengan EVM. Terdapat beberapa kontrak pintar yang telah dikompilasi di antara mereka. Pembangun tidak mengambil kesempatan daripada 'panggilan perwakilan' dalam EVM sebagai pertimbangan. Penggodam berniat jahat boleh meluluskan kontrak yang telah disusun sebelumnya untuk menyamar sebagai pemanggilnya. Kontrak pintar tidak akan dapat menentukan pemanggil sebenar. Penyerang boleh memindahkan dana yang tersedia serta-merta daripada kontrak. 

Bagaimanakah PWNING menjimatkan 7K ETH dan memenangi hadiah pepijat $6 M

PWNING ialah peminat penggodaman yang baru-baru ini menyertai negara crypto. Beberapa bulan sebelum 14 Jun 2022, dia melaporkan pepijat kritikal dalam Enjin Aurora. Sekurang-kurangnya 7K Eth berisiko dicuri sehingga dia mendapati kelemahan itu dan membantu pasukan Aurora menyelesaikan isu itu. Dia juga memenangi hadiah pepijat sebanyak 6 juta, yang kedua tertinggi dalam sejarah. 

Fungsi Phantom dan Billion Dollar no-op

Ini adalah dua konsep yang berkaitan dengan pembangunan perisian dan kejuruteraan. Fungsi hantu ialah blok kod yang terdapat dalam sistem perisian tetapi tidak pernah dilaksanakan. Pada 10 Januari, pasukan Dedaub mendedahkan kelemahan kepada projek Multi Chain, yang dahulunya AnySwap. Multichain telah membuat pengumuman awam yang memfokuskan pada kesan kepada pelanggannya. Pengumuman ini diikuti dengan serangan dan perang bot kilat, mengakibatkan kehilangan 0.5% dana.  

Reentrancy Baca Sahaja- Kerentanan yang bertanggungjawab untuk risiko $100J dalam dana

Serangan ini adalah kontrak berniat jahat yang akan dapat memanggil dirinya berulang kali dan mengalirkan dana daripada kontrak yang disasarkan. 

Bolehkah token seperti WETH menjadi muflis?

WETH ialah kontrak mudah dan asas dalam ekosistem Ethereum. Jika depegging berlaku, kedua-dua ETH dan WETH akan kehilangan nilai.  

 Kerentanan yang didedahkan dalam Profanity

Kata-kata kotor ialah alat sia-sia menangani kesombongan Ethereum. Sekarang jika alamat dompet pengguna dijana oleh alat ini, ia mungkin tidak selamat untuk mereka gunakan. Kata-kata kotor menggunakan vektor rawak 32-bit untuk menjana kunci peribadi 256-bit, yang disyaki tidak selamat.

 Menyerang Ethereum L2

Isu keselamatan kritikal telah dilaporkan, yang boleh digunakan oleh mana-mana penyerang untuk meniru wang pada rantaian itu.  

Nancy J. Allen adalah peminat kripto dan percaya bahawa mata wang kripto memberi inspirasi kepada orang ramai untuk menjadi bank mereka sendiri dan mengetepikan sistem pertukaran monetari tradisional. Dia juga tertarik dengan teknologi blockchain dan fungsinya.

Catatan terkini oleh Nancy J. Allen (lihat semua)