- Open Zeppelin, אַ סייבערסעקוריטי פירמע וואָס גיט מכשירים פֿאַר דעוועלאָפּינג און סיקיורינג דיסענטראַלייזד אַפּלאַקיישאַנז (דאַפּפּס).
- די פירמע אנטפלעקט אַז די ביגאַסט סאַקאָנע צו דאַפּפּס איז נישט די בלאַקכייוואַן טעכנאָלאָגיע אָבער בייז קאַוואָנע פון כאַקערז ווערלדווייד.
בלאָקטשיין כאַקינג איז געווארן אַ פּראָבלעם און טרעטאַנז די יקאָוסיסטאַם פון קריפּטאָקוררענסי. כאַקערז קענען ברעכן בלאַקכייוואַן זיכערהייט צו גאַנווענען קריפּטאָקוררענסי און דיגיטאַל אַסעץ. דאָס איז וואָס קאָמפּאַניעס ארבעטן אויף ינאַווייטיוו וועגן צו באַוואָרענען זייער סיסטעמען פון סייבער-אַטאַקס. Open Zeppelin האט באפרייט אַ באַריכט סאַמערייזינג די שפּיץ צען בלאַקכיין כאַקינג טעקניקס.
ווי טאָן כאַקערז טרעץ צו בלאָקטשיין זיכערהייט?
51% אַטאַקס
דעם באַפאַלן אַקערז ווען אַ העקער גיינז קאָנטראָל פון בייַ מינדסטער 51% אָדער מער פון די קאַמפּיוטינג מאַכט אויף אַ בלאָקטשיין נעץ. דאָס וועט געבן זיי די מאַכט צו קאָנטראָלירן די קאָנסענסוס אַלגערידאַם פון די נעץ און קענען מאַניפּולירן טראַנזאַקשאַנז. דאָס וועט רעזולטאַט אין טאָפּל ספּענדינג, ווו דער העקער קענען איבערחזרן די זעלבע טראַנסאַקטיאָן. פֿאַר בייַשפּיל, Binance איז אַ הויפּט ינוועסטער אין מעמעקאָין דאָגעקאָין און סטאַבלעקאָין זילליקאַ, און קענען לייכט מאַניפּולירן די קריפּטאָ מאַרק.
סמאַרט קאָנטראַקט ריסקס
סמאַרט קאַנטראַקץ זענען זיך-עקסאַקיוטינג מגילה וואָס זענען געבויט אויף אַנדערלייינג בלאַקכייוואַן טעכנאָלאָגיע. כאַקערז קענען כאַק אין די קאָד פון קלוג קאַנטראַקץ און מאַניפּולירן זיי צו גאַנווענען אינפֿאָרמאַציע אָדער געלט אָדער דיגיטאַל אַסעץ.
סיביל אַטאַקס
אַזאַ אַ באַפאַלן אַקערז ווען אַ העקער האט באשאפן קייפל שווינדל אידענטיטעט אָדער נאָודז אויף אַ בלאָקטשיין נעץ. דאָס אַלאַוז זיי צו באַקומען קאָנטראָל איבער אַ הויפּט טייל פון די קאַמפּיוטינג מאַכט פון די נעץ. זיי קענען מאַניפּולירן טראַנזאַקשאַנז אויף די נעץ צו העלפן אין טעראָריסט פינאַנסינג אָדער אנדערע יליסאַט אַקטיוויטעטן.
מאַלוואַרע אַטאַקס
כאַקערז קענען צעוויקלען מאַלוואַרע צו באַקומען אַקסעס צו אַ באַניצער ס ענקריפּשאַן שליסלען אָדער פּריוואַט אינפֿאָרמאַציע, אַלאַוינג זיי צו גאַנווענען פֿון וואָלאַץ. כאַקערז קענען טריק ניצערס צו אַנטדעקן זייער פּריוואַט שליסלען, וואָס קענען זיין געוויינט צו באַקומען אַנאָטערייזד אַקסעס צו זייער דיגיטאַל אַסעץ.
וואָס זענען די שפּיץ 10 בלאָקקטשאַין כאַקינג טעקניקס דורך עפֿן זעפּפּעלין?
קאָמפּאָונד TUSD ינטעגראַטיאָן אַרויסגעבן רעטראָספּעקטיוו
קאָמפּאָונד איז אַ דיסענטראַלייזד פינאַנצן פּראָטאָקאָל וואָס העלפּס ניצערס צו פאַרדינען אינטערעס אויף זייער דיגיטאַל אַסעץ דורך באַראָוינג און לענדינג זיי אויף די עטהערעום בלאָקטשיין. TrueUSD איז אַ סטאַביל קאָין פּעגד צו די וסד. איינער פון די הויפּט ינטאַגריישאַן ישוז מיט TUSD איז געווען שייך צו אַסעט טראַנספעראַביליטי.
צו נוצן TUSD אויף אַ קאַמפּאַונד, עס האט צו זיין טראַנספעראַבאַל צווישן עטהערעום אַדרעסעס. אָבער, אַ זשוק איז געפֿונען געוואָרן אין TUSD ס קלוג קאָנטראַקט, און עטלעכע טראַנספערס זענען אפגעשטעלט אָדער דילייד. דעם מענט אַז קאַסטאַמערז קען נישט צוריקציען אָדער אַוועקלייגן TUSD פון די קאַמפּאַונד. דערמיט לידינג צו ליקווידיטי ישוז און יוזערז פאַרפאַלן אַפּערטונאַטיז צו פאַרדינען אינטערעס אָדער באָרגן TUSD.
6.2 L2 DAI אַלאַוז סטילינג ישוז אין קאָד אַסעסמאַנץ
אין די סוף פון פעברואר 2021, אַן אַרויסגעבן איז דיסקאַווערד אין די קאָד אַסעסמאַנט פון די StarkNet DAI בריק סמאַרט קאַנטראַקץ, וואָס קען האָבן ערלויבט קיין אַטאַקער צו רויב געלט פון די Layer 2 אָדער L2 DAI סיסטעם. דעם אַרויסגעבן איז געפונען בעשאַס אַ קאָנטראָלירן דורך Certora, אַ בלאַקכייוואַן זיכערהייט אָרגאַניזאַציע.
די אַרויסגעבן אין די קאָד אַסעסמאַנט ינוואַלווד אַ שפּירעוודיק אַוועקלייגן פֿונקציע פון די קאָנטראַקט, וואָס אַ העקער קען האָבן געניצט צו אַוועקלייגן DAI קאָינס אין די L2 סיסטעם פון DAI; אָן טאַקע שיקן די קאָינס. דאָס קען לאָזן אַ העקער צו מינץ אַ אַנלימאַטאַד סומע פון DAI קאָינס. זיי קענען פאַרקויפן עס צו די מאַרק צו פאַרדינען ריזיק פּראַפיץ. די סטאַרקנעט סיסטעם האט פאַרפאַלן איבער $ 200 מיליאָן ווערט פון קאָינס פארשפארט אין עס אין דער צייט פון ופדעקונג.
די אַרויסגעבן איז סאַלווד דורך די StarkNet מאַנשאַפֿט, וואָס צוזאַמען מיט Certora צו צעוויקלען אַ נייַע ווערסיע פון די דעפעקטיווע קלוג קאָנטראַקט. די נייַע ווערסיע איז דאַן אַודיטעד דורך די פירמע און דימד זיכער.
לאַווינע ס $ 350 מיליאָן ריזיקירן באריכט
די ריזיקירן רעפערס צו אַ סייבער באַפאַלן וואָס געטראפן אין נאוועמבער 2021, וואָס ריזאַלטיד אין די אָנווער פון טאָקענס פון אַרום $350 מיליאָן ווערט. דעם באַפאַלן טאַרגעטעד די פּאָלי נעטוואָרק, אַ דעפי פּלאַטפאָרמע וואָס אַלאַוז ניצערס צו וועקסל קריפּטאָקוררענסי. דער אַטאַקער האָט אויסגענוצט אַ וואַלנעראַביליטי אין די פּלאַטפאָרמס קלוג קאָנטראַקט קאָד, אַלאַוינג די העקער צו קאָנטראָלירן די דיגיטאַל וואָלאַץ פון די פּלאַטפאָרמע.
ביים אנטדעקן די אטאקע, האט פּאָלי נעטוואָרק געבעטן דעם העקער צוריקצוגעבן די געגנבענע פארמעגן, זאגנדיג אז די אטאקע האט אפעקטירט די פלאטפארמע און אירע באנוצער. דער אַטאַקער האָט סאַפּרייזינגלי מסכים געווען צו צוריקקומען די סטאָלען אַסעץ. ער האָט אויך געטענהט אז ער האָט בדעה צו ויסשטעלן די וואַלנעראַביליטיז אלא ווי נוץ פון זיי. די אנפאלן הויכפּונקט די וויכטיקייט פון זיכערהייט אַדאַץ און טעסטינג פון קלוג קאַנטראַקץ צו ידענטיפיצירן וואַלנעראַביליטיז איידער זיי קענען זיין עקספּלויטאַד.
ווי צו גאַנווענען $ 100 ם פון פלאָלאַס קלוג קאַנטראַקץ?
אויף 29 יוני 2022, אַ איידעלע יחיד פּראָטעקטעד מאָאָנבעאַם נעטוואָרק דורך דיסקלאָוזינג אַ קריטיש פלאָ אין די פּלאַן פון דיגיטאַל אַסעץ, וואָס איז ווערט $ 100 מיליאָן. ער איז געווען אַוואָרדיד די מאַקסימום סומע פון דעם זשוק ברייטהאַרציקייט פּראָגראַם דורך ImmuneF ($1 מיליאָן) און אַ באָנוס (50K) פֿון Moonwell.
Moonriver און Moonbeam זענען EVM-קאַמפּאַטאַבאַל פּלאַטפאָרמס. עס זענען עטלעכע פּריקאָמפּיילד קלוג קאַנטראַקץ צווישן זיי. דער דעוועלאָפּער האָט נישט באַטראַכט די מייַלע פון די 'דעלעגאַט רופן' אין EVM. א בייזע העקער קענען פאָרן זיין פּריקאָמפּילעד קאָנטראַקט צו ימפּערסאַנייט זיין קאַללער. דער קלוג קאָנטראַקט וועט נישט קענען צו באַשליסן די פאַקטיש קאַללער. דער אַטאַקער קענען אַריבערפירן די בנימצא געלט מיד פון די קאָנטראַקט.
ווי אַזוי האָט PWNING געראטעוועט 7K ETH און געוואונען אַ 6 מיליאָן דאָללאַרס
PWNING איז אַ כאַקינג ענטוזיאַסט וואָס האט לעצטנס זיך איינגעשריבן די לאַנד פון קריפּטאָ. עטלעכע חדשים איידער 14 יוני 2022, ער געמאלדן אַ קריטיש זשוק אין די אַוראָראַ ענגינע. אין מינדסטער 7K Eth איז געווען אין ריזיקירן צו זיין סטאָלען ביז ער געפֿונען די וואַלנעראַביליטי און געהאָלפֿן די אַוראָראַ מאַנשאַפֿט פאַרריכטן דעם אַרויסגעבן. ער אויך וואַן אַ זשוק ברייטהאַרציקייט פון 6 מיליאָן, די צווייט העכסטן אין געשיכטע.
פאַנטאָם פאַנגקשאַנז און מיליאַרד דאָללאַרס ניט-אָפּ
דאָס זענען צוויי קאַנסעפּס שייַכות צו ווייכווארג אַנטוויקלונג און ינזשעניעריע. פאַנטאָם פאַנגקשאַנז זענען בלאַקס פון קאָד פאָרשטעלן אין אַ ווייכווארג סיסטעם אָבער קיינמאָל עקסאַקיוטאַד. אויף יאנואר 10, די דעדאַוב מאַנשאַפֿט דיסקלאָוזד וואַלנעראַביליטי צו די Multi Chain פּרויעקט, אַמאָל AnySwap. Multichain האט געמאכט אַ עפנטלעך מעלדן אַז פאָוקיסט אויף די פּראַל אויף זייַן קלייאַנץ. די מעלדן איז נאכגעגאנגען דורך אנפאלן און אַ בליץ באָט מלחמה, ריזאַלטינג אין אַ אָנווער פון 0.5% פון געלט.
ריענטראַנסי - אַ וואַלנעראַביליטי פאַראַנטוואָרטלעך פֿאַר אַ ריזיקירן פון $ 100 מיליאָן אין געלט
דער באַפאַלן איז אַ בייזע קאָנטראַקט וואָס וועט קענען צו רופן זיך ריפּיטידלי און פליסן געלט פון די טאַרגעטעד קאָנטראַקט.
קען טאָקענס ווי WETH זיין ינסאַלוואַנט?
די WETH איז אַ פּשוט און פונדאַמענטאַל קאָנטראַקט אין די עטהערעום יקאָוסיסטאַם. אויב דעפּעגינג נעמט אָרט, ביידע ETH און WETH וועט פאַרלירן ווערט.
א וואַלנעראַביליטי דיסקלאָוזד אין גראָבקייַט
גראָבקייַט איז אַן עטהערעום גאַדלעס אַדרעסינג גאַדלעס געצייַג. איצט אויב אַ באַניצער ס בייַטל אַדרעס איז דזשענערייטאַד דורך דעם געצייַג, עס קען זיין אַנסייף פֿאַר זיי צו נוצן. גראָבקייַט געניצט אַ טראַפ - 32-ביסל וועקטאָר צו דזשענערייט די 256-ביסל פּריוואַט שליסל, וואָס איז סאַספּעקטיד צו זיין אַנסייף.
אַטאַקינג אויף עטהערעום ל 2
א קריטיש זיכערהייט אַרויסגעבן איז געווען געמאלדן, וואָס קען זיין געוויינט דורך קיין אַטאַקער צו רעפּלאַקייט געלט אויף די קייט.
Nancy J. Allen איז אַ קריפּטאָ ענטוזיאַסט און גלויבט אַז קריפּטאָקוויזשאַנז ינספּירירן מענטשן צו זיין זייער אייגענע באַנקס און טרעטן באַזונדער פון טראדיציאנעלן געלטיק וועקסל סיסטעמען. זי איז אויך ינטריגד דורך בלאָקטשיין טעכנאָלאָגיע און זייַן פאַנגקשאַנינג.
מקור: https://www.thecoinrepublic.com/2023/03/17/the-top-10-blockchain-hacking-techniques-by-open-zeppelin/