– Open Zeppelin, կիբերանվտանգության ընկերություն, որն ապահովում է գործիքներ ապակենտրոնացված հավելվածների (dApps) մշակման և ապահովման համար:
– Ընկերությունը պարզել է, որ dApps-ին սպառնացող ամենամեծ սպառնալիքը ոչ թե բլոկչեյն տեխնոլոգիան է, այլ ամբողջ աշխարհում հաքերների չար մտադրությունը:
Բլոկչեյն կոտրելը խնդիր է դարձել և սպառնում է կրիպտոարժույթի էկոհամակարգին։ Հաքերները կարող են խախտել բլոկչեյնի անվտանգությունը՝ գողանալու կրիպտոարժույթը և թվային ակտիվները: Ահա թե ինչու ընկերություններն աշխատում են իրենց համակարգերը կիբերհարձակումներից պաշտպանելու նորարարական ուղիների վրա: Open Zeppelin-ը հրապարակել է զեկույց՝ ամփոփելով բլոկչեյն հաքերային տեխնիկայի լավագույն տասնյակը:
Ինչպե՞ս են հաքերները սպառնալիքներ ներկայացնում Blockchain անվտանգության համար:
51% հարձակումներ
Այս հարձակումը տեղի է ունենում այն ժամանակ, երբ հաքերը վերահսկում է բլոկչեյն ցանցի հաշվողական հզորության առնվազն 51%-ը կամ ավելին: Սա նրանց հնարավորություն կտա վերահսկելու ցանցի կոնսենսուսի ալգորիթմը և կկարողանան շահարկել գործարքները: Սա կհանգեցնի կրկնակի ծախսերի, որտեղ հաքերը կարող է կրկնել նույն գործարքը: Օրինակ, Binance-ը memecoin Dogecoin-ի և stablecoin Zilliqa-ի խոշոր ներդրող է և կարող է հեշտությամբ մանիպուլացնել կրիպտո շուկան:
Խելացի պայմանագրային ռիսկեր
Խելացի պայմանագրերը ինքնուրույն կատարվող ծրագրեր են, որոնք կառուցված են հիմքում ընկած բլոկչեյն տեխնոլոգիայի վրա: Հաքերները կարող են ներխուժել խելացի պայմանագրերի ծածկագիրը և շահարկել դրանք՝ գողանալու տեղեկատվություն կամ դրամական միջոցներ կամ թվային ակտիվներ:
Սիբիլի հարձակումները
Նման հարձակումը տեղի է ունենում, երբ հաքերը բլոկչեյն ցանցում ստեղծել է բազմաթիվ կեղծ ինքնություններ կամ հանգույցներ: Սա թույլ է տալիս նրանց վերահսկողություն ձեռք բերել ցանցի հաշվողական հզորության հիմնական մասի վրա: Նրանք կարող են շահարկել ցանցի գործարքները՝ օգնելու ահաբեկչության ֆինանսավորմանը կամ այլ անօրինական գործողություններին:
Չարամիտ գրոհներ
Հաքերները կարող են չարամիտ ծրագրեր տեղադրել՝ օգտատերերի գաղտնագրման բանալիներին կամ անձնական տեղեկատվությանը հասանելի դարձնելու համար՝ թույլ տալով նրանց գողանալ դրամապանակներից: Հաքերները կարող են խաբել օգտատերերին՝ բացահայտելու իրենց անձնական բանալիները, որոնք կարող են օգտագործվել իրենց թվային ակտիվներին չարտոնված մուտք ստանալու համար:
Որո՞նք են Open Zeppelin-ի բլոկչեյն հաքերային 10 լավագույն տեխնիկաները:
Compound TUSD Integration Issue Retrospective
Compound-ը ապակենտրոնացված ֆինանսական արձանագրություն է, որն օգնում է օգտատերերին տոկոսներ վաստակել իրենց թվային ակտիվների վրա՝ փոխառելով և վարկավորելով դրանք Ethereum բլոկչեյնում: TrueUSD-ը ԱՄՆ դոլարի հետ կապված կայուն մետաղադրամ է: TUSD-ի հետ ինտեգրման հիմնական խնդիրներից մեկը կապված էր ակտիվների փոխանցման հետ:
Բաղադրիչում TUSD-ն օգտագործելու համար այն պետք է փոխանցելի լիներ Ethereum հասցեների միջև: Այնուամենայնիվ, TUSD-ի խելացի պայմանագրում սխալ է հայտնաբերվել, և որոշ փոխանցումներ արգելափակվել կամ հետաձգվել են: Սա նշանակում էր, որ հաճախորդները չէին կարող դուրս բերել կամ ներդնել TUSD Համալսարանից: Դրանով իսկ հանգեցնելով իրացվելիության խնդիրների, և օգտվողները կորցրին տոկոսներ վաստակելու կամ TUSD վարկ վերցնելու հնարավորությունները:
6.2 L2 DAI-ը թույլ է տալիս գողանալ կոդերի գնահատման հետ կապված խնդիրները
2021 թվականի փետրվարի վերջին StarkNet DAI Bridge խելացի պայմանագրերի կոդի գնահատման հետ կապված խնդիր հայտնաբերվեց, որը կարող էր ցանկացած հարձակվողի թույլ տալ թալանել միջոցներ Layer 2 կամ L2 DAI համակարգից: Այս խնդիրը հայտնաբերվել է Certora-ի կողմից բլոկչեյն անվտանգության կազմակերպության աուդիտի ժամանակ:
Կոդի գնահատման խնդիրը վերաբերում էր պայմանագրի խոցելի ավանդային գործառույթին, որը հաքերը կարող էր օգտագործել DAI մետաղադրամները DAI-ի L2 համակարգում ավանդադրելու համար. առանց փաստացի ուղարկելու մետաղադրամները: Սա կարող է թույլ տալ հաքերին հատել անսահմանափակ քանակությամբ DAI մետաղադրամներ: Նրանք կարող են այն վաճառել շուկային՝ հսկայական շահույթ ստանալու համար: StarkNet համակարգը կորցրել է ավելի քան 200 միլիոն դոլար արժողությամբ մետաղադրամներ, որոնք փակված էին հայտնաբերման պահին:
Խնդիրը լուծվեց StarkNet թիմի կողմից, որը համագործակցեց Certora-ի հետ՝ թերի խելացի պայմանագրի նոր տարբերակը տեղակայելու համար: Նոր տարբերակը այնուհետև ստուգվել է ընկերության կողմից և համարվել անվտանգ:
Ավալանշի 350 միլիոն դոլար ռիսկի հաշվետվությունը
Այս ռիսկը վերաբերում է կիբերհարձակմանը, որը տեղի է ունեցել 2021 թվականի նոյեմբերին, որը հանգեցրել է մոտ 350 միլիոն դոլար արժողությամբ նշանների կորստի։ Այս հարձակումը ուղղված էր Poly Network-ին՝ DeFi հարթակին, որը թույլ է տալիս օգտատերերին փոխանակել կրիպտոարժույթներ: Հարձակվողն օգտագործել է հարթակի խելացի պայմանագրային կոդի խոցելիությունը՝ թույլ տալով հաքերին կառավարել հարթակի թվային դրամապանակները:
Հարձակումը հայտնաբերելուց հետո Poly Network-ը հաքերին խնդրել է վերադարձնել գողացված ակտիվները՝ նշելով, որ հարձակումը ազդել է հարթակի և դրա օգտատերերի վրա: Հարձակվողը զարմանալիորեն համաձայնել է վերադարձնել գողացված գույքը։ Նա նաև պնդեց, որ մտադիր է բացահայտել խոցելիությունները, քան դրանցից շահույթ ստանալ: Հարձակումները ընդգծում են անվտանգության աուդիտների և խելացի պայմանագրերի փորձարկման կարևորությունը՝ նախքան դրանք շահագործելը հայտնաբերելու համար խոցելիությունը:
Ինչպե՞ս գողանալ 100 միլիոն դոլար անթերի խելացի պայմանագրերից:
29 թվականի հունիսի 2022-ին ազնվական անհատը պաշտպանեց Moonbeam ցանցը՝ բացահայտելով 100 միլիոն դոլար արժողությամբ թվային ակտիվների նախագծման կարևոր թերություն: ImmuneF-ի կողմից նրան շնորհվել է այս սխալների պարգևատրման ծրագրի առավելագույն գումարը ($1 մլն) և բոնուս (50 հազար) Moonwell-ից:
Moonriver-ը և Moonbeam-ը EVM-ի հետ համատեղելի հարթակներ են: Նրանց միջև կան որոշ նախապես կազմված խելացի պայմանագրեր: Մշակողը հաշվի չի առել EVM-ում «պատվիրակի զանգի» առավելությունը: Չարամիտ հաքերը կարող է փոխանցել իր նախապես կազմված պայմանագիրը՝ իրեն զանգահարողին անձնավորելու համար: Խելացի պայմանագիրը չի կարողանա որոշել իրական զանգահարողին: Հարձակվողը կարող է անհապաղ փոխանցել առկա միջոցները պայմանագրից։
Ինչպե՞ս PWNING-ը խնայեց 7K ETH և շահեց 6 միլիոն դոլարի վրիպակների պարգև
PWNING-ը հաքերային էնտուզիաստ է, ով վերջերս միացել է կրիպտոյի երկրին: 14 թվականի հունիսի 2022-ից մի քանի ամիս առաջ նա հայտնեց Aurora Engine-ի կարևոր սխալի մասին: Առնվազն 7K Eth-ը գողանալու վտանգի տակ էր, քանի դեռ նա չի գտել խոցելիությունը և օգնել Ավրորայի թիմին լուծել խնդիրը: Նա նաև շահեց 6 միլիոն վրիպակի պարգև, որը պատմության մեջ երկրորդն է:
Phantom Functions և Billion Dollar no-op
Սրանք երկու հասկացություններ են՝ կապված ծրագրային ապահովման մշակման և ճարտարագիտության հետ: Phantom ֆունկցիաները կոդի բլոկներ են, որոնք առկա են ծրագրային համակարգում, բայց երբեք չեն կատարվում: Հունվարի 10-ին Dedaub թիմը բացահայտեց խոցելիությունը Multi Chain նախագծի նկատմամբ, նախկինում AnySwap: Multichain-ը հրապարակային հայտարարություն է արել, որը կենտրոնացել է իր հաճախորդների վրա ազդեցության վրա: Այս հայտարարությանը հաջորդեցին հարձակումները և ֆլեշ-բոտային պատերազմը, որի արդյունքում կորցվեց միջոցների 0.5%-ը:
Միայն կարդալու վերագրանցում- Խոցելիություն, որը պատասխանատու է 100 միլիոն դոլարի միջոցների ռիսկի համար
Այս հարձակումը չարամիտ պայմանագիր է, որը կկարողանա բազմիցս զանգահարել ինքն իրեն և միջոցները հեռացնել նպատակային պայմանագրից:
Կարո՞ղ են WETH-ի նման նշանները անվճարունակ լինել:
WETH-ը պարզ և հիմնարար պայմանագիր է Ethereum էկոհամակարգում: Եթե depegging-ը տեղի ունենա, և ETH-ը, և WETH-ը կկորցնեն արժեքը:
Հայհոյանքում բացահայտված խոցելիություն
Հայհոյանքը Ethereum-ի ունայնության ունայնության գործիք է: Այժմ, եթե օգտատիրոջ դրամապանակի հասցեն ստեղծվել է այս գործիքի կողմից, այն կարող է վտանգավոր լինել նրա համար: Հայհոյանքն օգտագործել է պատահական 32-բիթանոց վեկտոր՝ 256-բիթանոց մասնավոր բանալին ստեղծելու համար, որը կասկածվում է, որ անվտանգ չէ:
Հարձակում Ethereum L2-ի վրա
Զեկուցվել է անվտանգության կարևոր խնդիր, որը կարող է օգտագործվել ցանկացած հարձակվողի կողմից՝ շղթայի վրա գումար կրկնօրինակելու համար:
Նենսի Ջեյ Ալենը կրիպտո էնտուզիաստ է և կարծում է, որ կրիպտոարժույթները ոգեշնչում են մարդկանց լինել իրենց բանկերը և մի կողմ քաշվել ավանդական դրամական փոխանակման համակարգերից: Նա նաև հետաքրքրված է բլոկչեյն տեխնոլոգիայով և դրա գործունակությամբ:
Աղբյուր՝ https://www.thecoinrepublic.com/2023/03/17/the-top-10-blockchain-hacking-techniques-by-open-zeppelin/