Open Zeppelin-en Blockchain Hacking-en 10 teknika nagusiak

– Open Zeppelin, aplikazio deszentralizatuak (dApps) garatzeko eta ziurtatzeko tresnak eskaintzen dituen zibersegurtasun enpresa bat.

- Konpainiak agerian utzi du dApps-i eragiten dion mehatxurik handiena ez dela blockchain teknologia, mundu osoko hackerren asmo gaiztoa baizik.

Blockchain hacking arazo bat bihurtu da eta kriptografia-moneta ekosistema mehatxatzen du. Hackerrek blockchain segurtasuna urratu dezakete kriptografia-moneta eta aktibo digitalak lapurtzeko. Horregatik, enpresak modu berritzaileak lantzen ari dira beren sistemak zibererasoetatik babesteko. Open Zeppelinek txosten bat kaleratu du blockchain hackeatzeko hamar teknika nagusiak laburbiltzen dituena. 

Nola eragiten diote hackerrek mehatxuak Blockchain segurtasunari?

%51 Erasoak

Eraso hau hacker batek blockchain sare batean konputazio-ahalmenaren %51 edo gehiago kontrolatzen duenean gertatzen da. Horrek sarearen adostasun algoritmoa kontrolatzeko ahalmena emango die eta transakzioak manipulatzeko gai izango dira. Horrek gastu bikoitza ekarriko du, non hackerrak transakzio bera errepikatu dezakeen. Esate baterako, Binance inbertitzaile nagusia da memecoin Dogecoin eta stablecoin Zilliqa-n, eta erraz manipula dezake kriptografia-merkatua. 

Kontratu Adimendunen Arriskuak

Kontratu adimendunak autoexekutatzen diren programak dira, azpiko blockchain teknologian eraikita. Hackerrek kontratu adimendunen kodea hackeatu eta manipulatu ditzakete informazioa edo funtsak edo aktibo digitalak lapurtzeko. 

Sybil Erasoak 

Eraso hori hacker batek identitate edo nodo faltsu ugari sortu dituenean gertatzen da blockchain sare batean. Horri esker, sarearen konputazio-potentziaren zati handi baten kontrola lortzen dute. Sareko transakzioak manipula ditzakete terrorismoaren finantzaketan edo legez kanpoko beste jarduera batzuetan laguntzeko. 

Malware Erasoak

Hackerrek malwarea zabaldu dezakete erabiltzailearen enkriptatze-gakoak edo informazio pribatua atzitzeko, zorroetatik lapurtzeko aukera emanez. Hackerrek erabiltzaileak engainatu ditzakete beren gako pribatuak ager ditzaten, eta horiek erabil daitezke baimenik gabe beren aktibo digitaletara sarbidea lortzeko. 

Zeintzuk dira Open Zeppelin-en Blockchain Hacking-en 10 teknika nagusiak?

TUSD konposatuaren integrazio-arazoaren atzera begirakoa

Compound finantza-protokolo deszentralizatua da, erabiltzaileei beren aktibo digitalen interesa irabazten laguntzen diena Ethereum blockchain-en maileguan hartuz eta mailegatuz. TrueUSD USDari lotuta dagoen stablecoin bat da. TUSD-rekin integratzeko arazo nagusietako bat aktiboen transferigarritasunari lotuta zegoen. 

TUSD konposatu batean erabiltzeko, Ethereum helbideen artean transferigarria izan behar zen. Hala ere, akats bat aurkitu zen TUSD-ren kontratu adimendunean, eta transferentzia batzuk blokeatu edo atzeratu egin ziren. Horrek esan nahi zuen bezeroek ezin zutela TUSD kendu edo gordailatu Konposatutik. Horrela, likidezia arazoak sortu eta erabiltzaileek interesak irabazteko edo TUSD maileguan hartzeko aukerak galdu zituzten.

 6.2 L2 DAI-k kodearen ebaluazioetan arazoak lapurtzea ahalbidetzen du

2021eko otsailaren amaieran, StarkNet DAI Bridge kontratu adimendunen kodearen ebaluazioan arazo bat aurkitu zen, edozein erasotzaileri Layer 2 edo L2 DAI sistematik funtsak arpilatzeko aukera eman zezakeen. Arazo hau Certorak, blockchain segurtasun-erakunde batek egindako auditoria batean aurkitu zen.

Kodearen ebaluazioko gaiak kontratuaren gordailu-funtzio ahulean parte hartzen zuen, hacker batek DAI txanponak DAIren L2 sisteman gordairatzeko erabil zezakeena; txanponak benetan bidali gabe. Horri esker, hacker batek DAI txanpon kopuru mugagabea atera dezake. Merkatuari saldu diezaiokete irabazi handiak lortzeko. StarkNet sistemak 200 milioi dolar baino gehiago galdu ditu aurkikuntzaren unean bertan blokeatuta dauden txanponak. 

Arazoa StarkNet taldeak konpondu zuen, Certorarekin bat egin zuen kontratu adimendun akastunaren bertsio berri bat zabaltzeko. Bertsio berria konpainiak ikuskatu zuen eta segurutzat jo zuen. 

Avalanche-ren $ 350 M Arriskuen Txostena

Arrisku honek 2021eko azaroan gertatutako ziber-eraso bati egiten dio erreferentzia, eta horrek 350 milioi dolar inguruko token galera eragin zuen. Eraso honek Poly Network izan zuen helburu, erabiltzaileei kriptografia-monetak trukatzeko aukera ematen dien DeFi plataforma bat. Erasotzaileak plataformaren kontratu adimendunaren kodean ahultasun bat ustiatu zuen, hackerri plataformaren zorro digitalak kontrolatzeko aukera emanez. 

Erasoa ezagutu zuenean, Poly Network-ek lapurtutako ondasunak itzultzeko eskatu zion hackerri, erasoak plataformari eta erabiltzaileei eragin ziela adieraziz. Erasotzaileak harrigarriro onartu zuen lapurtutako ondasunak itzultzea. Era berean, ahuleziak agerian uzteko asmoa zuela esan zuen, haietatik irabazi beharrean. Erasoek segurtasun-ikuskaritzak eta kontratu adimendunen proben garrantzia azpimarratzen dute ahultasunak identifikatzeko ustiatu aurretik. 

Nola lapurtu $ 100 M kontratu adimendun akatsik gabekoetatik?

29ko ekainaren 2022an, gizabanako noble batek Moonbeam sarea babestu zuen aktibo digitalen diseinuan akats kritiko bat ezagutaraziz, 100 milioi dolar balio zutenak. Akatsen sari programa honen gehienezko zenbatekoa ImmuneF-ek ($ 1M) eta Moonwell-en hobaria (50K) eman zion. 

Moonriver eta Moonbeam EVMrekin bateragarriak diren plataformak dira. Aurrez konpilatutako kontratu adimendun batzuk daude haien artean. Garatzaileak ez zuen kontuan hartu EVMko "ordezkari deiaren" abantaila. Maltzurren hacker batek aurrez konpilatutako kontratua pasa dezake bere deitzailea ordezkatzeko. Kontratu adimendunak ezin izango du benetako deitzailea zehaztu. Erasotzaileak eskuragarri dauden fondoak berehala transferi ditzake kontratutik. 

Nola aurreztu zuen PWNINGek 7K ETH eta 6 M $ akatsen saria irabazi zuen

PWNING hacking zalea da, duela gutxi kriptografiaren lurraldean sartu dena. 14ko ekainaren 2022a baino hilabete batzuk lehenago, akats kritiko bat jakinarazi zuen Aurora Engine-n. Gutxienez 7K Eth lapurtzeko arriskua zegoen ahultasuna aurkitu eta Aurora taldeari arazoa konpontzen lagundu zion arte. Gainera, 6 milioi akatsen saria irabazi zuen, historiako bigarren handiena. 

Phantom Functions eta Billion Dollar no-op

Software garapenarekin eta ingeniaritzari lotutako bi kontzeptu dira. Funtzio fantasma software sistema batean dauden kode blokeak dira, baina inoiz exekutatu ez direnak. Urtarrilaren 10ean, Dedaub taldeak Multi Chain proiektuaren ahultasuna ezagutarazi zuen, lehen AnySwap. Multichain-ek iragarpen publiko bat egin du bere bezeroengan duen eraginari erreparatuta. Iragarpen honen ondoren erasoak eta flash bot gerra bat izan zen, eta ondorioz, funtsen %0.5eko galera izan zen.  

Irakurtzeko soilik berriro sartzea- Funtsetan 100 milioi dolarreko arriskuaren ardura duen ahultasuna

Eraso hau kontratu gaizto bat da, bere burua behin eta berriz deitzeko eta xede kontratuaren funtsak hustu ahal izango dituena. 

WETH bezalako tokenak kaudimengabeak izan al daitezke?

WETH Ethereum ekosistemako kontratu sinple eta oinarrizkoa da. Depegging gertatzen bada, bai ETH eta bai WETH balioa galduko dute.  

 Profanity-n azaldutako ahultasun bat

Profanity Ethereum hutsalkeria tresna bat da. Orain tresna honek erabiltzailearen zorroaren helbidea sortu badu, baliteke horiek erabiltzea segurua ez izatea. Profanity-k ausazko 32 biteko bektore bat erabili zuen 256 biteko gako pribatua sortzeko, segurua ez dela susmatzen dena.

 Ethereum L2-ri erasotzea

Segurtasun arazo kritiko bat jakinarazi zen, edozein erasotzailek erabil zezakeen dirua katean errepikatzeko.  

Nancy J. Allen kripto zalea da eta uste du kriptografia-monetak jendea bere banku propioak izatera bultzatzen duela eta diru-truke sistema tradizionaletatik alde batera uzten duela. Blockchain teknologiarekin eta bere funtzionamenduarekin ere interesatzen zaio.

Nancy J. Allen-en azken mezuak (dena ikusi)