– Open Zeppelin, კიბერუსაფრთხოების კომპანია, რომელიც უზრუნველყოფს ინსტრუმენტებს დეცენტრალიზებული აპლიკაციების (dApps) შემუშავებისა და უსაფრთხოებისთვის.
– კომპანიამ გამოავლინა, რომ ყველაზე დიდი საფრთხე dApps-ისთვის არის არა ბლოკჩეინის ტექნოლოგია, არამედ ჰაკერების ბოროტი განზრახვა მთელ მსოფლიოში.
ბლოკჩეინის ჰაკერობა პრობლემად იქცა და საფრთხეს უქმნის კრიპტოვალუტის ეკოსისტემას. ჰაკერებს შეუძლიათ დაარღვიონ ბლოკჩეინის უსაფრთხოება, რათა მოიპარონ კრიპტოვალუტა და ციფრული აქტივები. სწორედ ამიტომ კომპანიები მუშაობენ ინოვაციურ გზებზე, რათა დაიცვან თავიანთი სისტემები კიბერშეტევებისგან. Open Zeppelin-მა გამოაქვეყნა ანგარიში, რომელიც აჯამებს ბლოკჩეინის ჰაკერების საუკეთესო ათეულს.
როგორ უქმნიან ჰაკერები საფრთხეს ბლოკჩეინის უსაფრთხოებას?
51% შეტევები
ეს შეტევა ხდება მაშინ, როდესაც ჰაკერი აკონტროლებს ბლოკჩეინის ქსელში გამოთვლითი სიმძლავრის მინიმუმ 51% ან მეტს. ეს მათ მისცემს ძალას, გააკონტროლონ ქსელის კონსენსუსის ალგორითმი და შეძლონ ტრანზაქციების მანიპულირება. ეს გამოიწვევს ორმაგ ხარჯვას, სადაც ჰაკერს შეუძლია იგივე ტრანზაქციის გამეორება. მაგალითად, Binance არის მთავარი ინვესტორი memecoin Dogecoin-სა და stablecoin Zilliqa-ში და ადვილად შეუძლია კრიპტო ბაზრის მანიპულირება.
Smart ხელშეკრულების რისკები
სმარტ კონტრაქტები არის თვითშესრულებული პროგრამები, რომლებიც აგებულია ბლოკჩეინის ტექნოლოგიაზე. ჰაკერებს შეუძლიათ გატეხონ ჭკვიანი კონტრაქტების კოდი და მანიპულირება მოახდინონ ინფორმაციის ან სახსრების ან ციფრული აქტივების მოსაპარად.
სიბილ შეტევები
ასეთი შეტევა ხდება მაშინ, როდესაც ჰაკერმა შექმნა მრავალი ყალბი იდენტობა ან კვანძი ბლოკჩეინ ქსელში. ეს საშუალებას აძლევს მათ გააკონტროლონ ქსელის გამოთვლითი სიმძლავრის ძირითადი ნაწილი. მათ შეუძლიათ ქსელში ტრანზაქციების მანიპულირება ტერორიზმის დაფინანსებაში ან სხვა უკანონო ქმედებებში დასახმარებლად.
მავნე პროგრამების შეტევები
ჰაკერებს შეუძლიათ გამოიყენონ მავნე პროგრამა, რათა მიიღონ წვდომა მომხმარებლის დაშიფვრის გასაღებებზე ან პირად ინფორმაციაზე, რაც მათ საშუალებას აძლევს მოიპარონ საფულეებიდან. ჰაკერებს შეუძლიათ მოატყუონ მომხმარებლები და გამოავლინონ მათი პირადი გასაღებები, რომლებიც შეიძლება გამოყენებულ იქნას მათ ციფრულ აქტივებზე არაავტორიზებული წვდომის მოსაპოვებლად.
რა არის ბლოკჩეინის ჰაკერების ტოპ 10 ტექნიკა Open Zeppelin-ის მიერ?
რთული TUSD ინტეგრაციის საკითხი რეტროსპექტივა
Compound არის დეცენტრალიზებული ფინანსური პროტოკოლი, რომელიც ეხმარება მომხმარებლებს მიიღონ პროცენტი თავიანთ ციფრულ აქტივებზე Ethereum-ის ბლოკჩეინზე სესხის აღებითა და სესხით. TrueUSD არის სტაბილური კოინი, რომელიც დაკავშირებულია აშშ დოლართან. TUSD-თან ინტეგრაციის ერთ-ერთი მთავარი საკითხი დაკავშირებული იყო აქტივების გადაცემასთან.
TUSD კომპონენტზე გამოსაყენებლად, ის გადასატანი უნდა ყოფილიყო Ethereum მისამართებს შორის. თუმცა, TUSD-ის სმარტ კონტრაქტში აღმოჩენილი იქნა შეცდომა და ზოგიერთი გადარიცხვა დაბლოკილი ან გადაიდო. ეს იმას ნიშნავდა, რომ კლიენტებს არ შეეძლოთ TUSD-ის ამოღება ან დეპონირება კომპონენტიდან. ამან გამოიწვია ლიკვიდურობის საკითხები და მომხმარებლებმა დაკარგეს პროცენტის მიღების ან TUSD სესხის აღების შესაძლებლობა.
6.2 L2 DAI საშუალებას იძლევა პრობლემების მოპარვა კოდის შეფასებებში
2021 წლის თებერვლის ბოლოს, StarkNet DAI Bridge სმარტ კონტრაქტების კოდის შეფასებაში აღმოჩენილი იქნა პრობლემა, რომელიც ნებისმიერ თავდამსხმელს შეეძლო დაეძარცვა სახსრები Layer 2 ან L2 DAI სისტემიდან. ეს საკითხი აღმოაჩინა ბლოკჩეინის უსაფრთხოების ორგანიზაციის Certora-ს აუდიტის დროს.
კოდის შეფასების საკითხი მოიცავდა კონტრაქტის დაუცველ დეპოზიტის ფუნქციას, რომელიც ჰაკერს შეეძლო DAI მონეტების DAI-ის L2 სისტემაში შესატანად გამოეყენებინა; მონეტების რეალურად გაგზავნის გარეშე. ეს საშუალებას მისცემს ჰაკერს მოჭრას შეუზღუდავი რაოდენობის DAI მონეტები. მათ შეუძლიათ გაყიდონ იგი ბაზარზე, რათა მიიღონ უზარმაზარი მოგება. StarkNet სისტემამ დაკარგა 200 მილიონ დოლარზე მეტი ღირებულების მონეტები, რომლებიც მასში იყო ჩაკეტილი აღმოჩენის დროს.
საკითხი გადაჭრა StarkNet-ის გუნდმა, რომელიც თანამშრომლობდა Certora-სთან, რათა განათავსოს დეფექტური ჭკვიანი კონტრაქტის ახალი ვერსია. შემდეგ ახალ ვერსიას აუდიტი ჩაუტარდა კომპანიამ და უსაფრთხოდ ჩათვალა.
Avalanche-ის 350 მილიონი დოლარის რისკის ანგარიში
ეს რისკი ეხება კიბერშეტევას, რომელიც მოხდა 2021 წლის ნოემბერში, რამაც გამოიწვია დაახლოებით 350 მილიონი დოლარის ღირებულების ტოკენების დაკარგვა. ეს შეტევა მიზნად ისახავდა Poly Network-ს, DeFi პლატფორმას, რომელიც მომხმარებლებს კრიპტოვალუტების გაცვლის საშუალებას აძლევს. თავდამსხმელმა გამოიყენა დაუცველობა პლატფორმის ჭკვიანი კონტრაქტის კოდში, რაც საშუალებას აძლევდა ჰაკერს აკონტროლოს პლატფორმის ციფრული საფულეები.
თავდასხმის აღმოჩენისთანავე, Poly Network-მა ჰაკერს სთხოვა დაებრუნებინა მოპარული აქტივები და განაცხადა, რომ შეტევამ გავლენა მოახდინა პლატფორმაზე და მის მომხმარებლებზე. თავდამსხმელი საოცრად დათანხმდა მოპარული აქტივების დაბრუნებას. ის ასევე ამტკიცებდა, რომ აპირებდა მოწყვლადობის გამოვლენას და არა მათგან მოგების მიღებას. თავდასხმები ხაზს უსვამს უსაფრთხოების აუდიტის მნიშვნელობას და ჭკვიანი კონტრაქტების ტესტირებას დაუცველობის იდენტიფიცირებისთვის, სანამ ისინი გამოიყენებენ.
როგორ მოვიპაროთ 100 მილიონი დოლარი უნაკლო ჭკვიანი კონტრაქტებიდან?
29 წლის 2022 ივნისს, კეთილშობილმა ინდივიდმა დაიცვა Moonbeam ქსელი ციფრული აქტივების დიზაინში კრიტიკული ხარვეზის გამჟღავნებით, რომელთა ღირებულება 100 მილიონი დოლარი იყო. მას მიენიჭა ამ შეცდომების ბონუტი პროგრამის მაქსიმალური ოდენობა ImmuneF-ის ($1 მილიონი) და ბონუსი (50K) Moonwell-ისგან.
Moonriver და Moonbeam არის EVM-თან თავსებადი პლატფორმები. მათ შორის არის წინასწარ შედგენილი ჭკვიანი კონტრაქტები. დეველოპერმა არ გაითვალისწინა EVM-ში „დელეგატის ზარის“ უპირატესობა. მავნე ჰაკერს შეუძლია გააფორმოს თავისი წინასწარ შედგენილი კონტრაქტი თავისი აბონენტის განსახიერების მიზნით. ჭკვიანი კონტრაქტი ვერ შეძლებს რეალური აბონენტის განსაზღვრას. თავდამსხმელს შეუძლია კონტრაქტიდან დაუყოვნებლივ გადარიცხოს არსებული თანხები.
როგორ დაზოგა PWNING-მა 7K ETH და მოიგო 6 მილიონი დოლარის ბაუნტი
PWNING არის ჰაკერების ენთუზიასტი, რომელიც ახლახან შეუერთდა კრიპტო კრიპტო სამყაროს. 14 წლის 2022 ივნისამდე რამდენიმე თვით ადრე მან შეატყობინა კრიტიკული ხარვეზის შესახებ Aurora Engine-ში. მინიმუმ 7K Eth იყო მოპარვის რისკი, სანამ არ აღმოაჩინა დაუცველობა და დაეხმარა Aurora-ს გუნდს პრობლემის მოგვარებაში. მან ასევე მოიგო 6 მილიონიანი ხარვეზის ჯილდო, ისტორიაში სიდიდით მეორე.
Phantom ფუნქციები და მილიარდი დოლარის არა-ოპ
ეს არის ორი კონცეფცია, რომელიც დაკავშირებულია პროგრამული უზრუნველყოფის შემუშავებასთან და ინჟინერიასთან. Phantom ფუნქციები არის კოდის ბლოკები, რომლებიც იმყოფება პროგრამულ სისტემაში, მაგრამ არასოდეს შესრულებულია. 10 იანვარს, Dedaub-ის გუნდმა გამოავლინა დაუცველობა Multi Chain პროექტის, ყოფილი AnySwap. Multichain-მა გააკეთა საჯარო განცხადება, რომელიც ფოკუსირებულია მის კლიენტებზე ზემოქმედებაზე. ამ განცხადებას მოჰყვა თავდასხმები და ფლეშ ბოტების ომი, რის შედეგადაც დაკარგა სახსრების 0.5%.
მხოლოდ წაკითხვადი ხელახალი შესვლა - დაუცველობა, რომელიც პასუხისმგებელია 100 მილიონი აშშ დოლარის რისკზე
ეს თავდასხმა არის მავნე კონტრაქტი, რომელიც შეძლებს საკუთარი თავის განმეორებით დარეკვას და თანხების ამოღებას მიზნობრივი კონტრაქტიდან.
შეიძლება თუ არა ისეთი ნიშნები, როგორიცაა WETH გადახდისუუნარო?
WETH არის მარტივი და ფუნდამენტური კონტრაქტი Ethereum-ის ეკოსისტემაში. თუ დეპეგირება მოხდება, ETH და WETH მნიშვნელობას დაკარგავს.
დაუცველობა გამოვლინდა უხამსობაში
უხამსობა არის Ethereum ამაოების მიმართ ამაოების ინსტრუმენტი. ახლა, თუ მომხმარებლის საფულის მისამართი შექმნილია ამ ხელსაწყოს მიერ, მისი გამოყენება შეიძლება უსაფრთხო იყოს. უხამსობამ გამოიყენა შემთხვევითი 32-ბიტიანი ვექტორი 256-ბიტიანი პირადი გასაღების გენერირებისთვის, რომელიც, სავარაუდოდ, სახიფათოა.
შეტევა Ethereum L2-ზე
დაფიქსირდა უსაფრთხოების კრიტიკული საკითხი, რომელიც შეიძლება გამოიყენოს ნებისმიერ თავდამსხმელს ჯაჭვზე ფულის გასამეორებლად.
ნენსი ჯ. ალენი არის კრიპტო ენთუზიასტი და თვლის, რომ კრიპტოვალუტები შთააგონებენ ადამიანებს, იყვნენ თავიანთი ბანკები და გადადგნენ ტრადიციული ფულადი გაცვლის სისტემებისგან. ის ასევე დაინტერესებულია ბლოკჩეინის ტექნოლოგიით და მისი ფუნქციონირებით.
წყარო: https://www.thecoinrepublic.com/2023/03/17/the-top-10-blockchain-hacking-techniques-by-open-zeppelin/