Déi Top 10 Blockchain Hacking Techniken Vun Open Zeppelin

- Open Zeppelin, eng Cybersecurityfirma déi Tools ubitt fir dezentraliséiert Uwendungen (dApps) z'entwéckelen an ze sécheren.

- D'Firma huet verroden datt déi gréisste Bedrohung fir dApps net d'Blockchain Technologie ass, mee béis Absicht vun Hacker weltwäit.

Blockchain Hacking ass e Problem ginn a bedroht de cryptocurrency Ökosystem. Hacker kënne Blockchain Sécherheet verletzen fir Krypto-Währungen an digital Verméigen ze klauen. Dofir schaffen Firmen un innovative Weeër fir hir Systemer virun Cyberattacken ze sécheren. Open Zeppelin huet e Bericht verëffentlecht deen d'Top Ten Blockchain Hacking Techniken zesummefaasst. 

Wéi stellen Hacker Gefore fir Blockchain Sécherheet?

51% Attacken

Dës Attack geschitt wann en Hacker Kontroll iwwer mindestens 51% oder méi vun der Rechenkraaft op engem Blockchain Netzwierk kritt. Dëst gëtt hinnen d'Kraaft fir de Konsens Algorithmus vum Netz ze kontrolléieren an Transaktiounen ze manipuléieren. Dëst wäert zu duebel Ausgaben Resultat, wou den Hacker déi selwecht Transaktioun widderhuelen kann. Zum Beispill, Binance ass e groussen Investisseur an memecoin Dogecoin a stablecoin Zilliqa, a kann de Krypto Maart einfach manipuléieren. 

Smart Kontrakt Risiken

Smart Kontrakter si selbstausféierend Programmer déi op Basisdaten Blockchain Technologie gebaut sinn. Hacker kënnen an de Code vu Smart Kontrakter hacken an se manipuléieren fir Informatioun oder Fongen oder digital Verméigen ze klauen. 

Sybil Attacken 

Esou en Attack geschitt wann en Hacker verschidde gefälschte Identitéiten oder Noden op engem Blockchain Netzwierk erstallt huet. Dëst erlaabt hinnen d'Kontroll iwwer e groussen Deel vun der Rechenkraaft vum Netz ze kréien. Si kënnen Transaktiounen am Netz manipuléieren fir bei Terrorismusfinanzéierung oder aner illegal Aktivitéiten ze hëllefen. 

Malware Attacken

Hacker kënnen Malware ofsetzen fir Zougang zu engem Benotzer seng Verschlësselungsschlësselen oder privat Informatioun ze kréien, wat hinnen erlaabt aus Portemonnaie ze klauen. Hacker kënnen d'Benotzer trickéieren fir hir privat Schlësselen z'entdecken, déi benotzt kënne ginn fir onerlaabten Zougang zu hiren digitale Verméigen ze kréien. 

Wat sinn d'Top 10 Blockchain Hacking Techniken vum Open Zeppelin?

Compound TUSD Integratioun Emissioun Réckbléck

Compound ass en dezentraliséierte Finanzprotokoll deen d'Benotzer hëlleft Interessi op hiren digitale Verméigen ze verdéngen andeems se se op der Ethereum Blockchain léinen a léinen. TrueUSD ass e Stablecoin, deen un den USD gepecht ass. Ee vun den Haaptintegratiounsprobleemer mat TUSD war am Zesummenhang mat Assettransferabilitéit. 

Fir TUSD op engem Compound ze benotzen, muss et tëscht Ethereum Adressen transferéiert ginn. Wéi och ëmmer, e Feeler gouf am TUSD sengem Smart Kontrakt fonnt, an e puer Transfere goufen blockéiert oder verspéit. Dëst bedeit datt d'Clienten net TUSD aus dem Compound zréckzéien oder deposéieren. Doduerch féiert zu Liquiditéitsprobleemer a Benotzer verluer Méiglechkeete fir Zënsen ze verdéngen oder TUSD ze léinen.

 6.2 L2 DAI erlaabt klauen Problemer an Code Bewäertungen

Um Enn vum Februar 2021 gouf en Thema an der Code Bewäertung vun de StarkNet DAI Bridge Smart Kontrakter entdeckt, wat all Ugräifer erlaabt hätt Fongen aus dem Layer 2 oder L2 DAI System ze plënneren. Dëst Thema gouf während engem Audit vum Certora fonnt, eng Blockchain Sécherheetsorganisatioun.

D'Thema an der Code Bewäertung involvéiert eng vulnerabel Depositiounsfunktioun vum Kontrakt, deen en Hacker benotzt hätt fir DAI Mënzen an de L2 System vun DAI ze deposéieren; ouni tatsächlech d'Mënzen ze schécken. Dëst kéint engem Hacker erlaben eng onlimitéiert Quantitéit vun DAI Mënzen ze mint. Si kënnen et um Maart verkafen fir enorm Gewënn ze verdéngen. De StarkNet System huet iwwer $ 200 M Wäert vu Mënzen verluer, déi an der Zäit vun der Entdeckung gespaart sinn. 

D'Thema gouf vum StarkNet Team geléist, deen mat Certora zesummegeschafft huet fir eng nei Versioun vum defekte Smart Kontrakt z'installéieren. Déi nei Versioun gouf dunn vun der Firma iwwerpréift an als sécher ugesinn. 

Avalanche $ 350 M Risiko Bericht

Dëse Risiko bezitt sech op eng Cyberattack déi am November 2021 geschitt ass, wat zu de Verloscht vu ronn $350 M Wäert vun Tokens gefouert huet. Dës Attack huet de Poly Network gezielt, eng DeFi Plattform déi d'Benotzer erlaabt Krypto-Währungen auszetauschen. Den Ugräifer huet eng Schwachstelle am Smart Kontrakt Code vun der Plattform exploitéiert, wat den Hacker erlaabt d'digitale Portemonnaie vun der Plattform ze kontrolléieren. 

Beim Entdeckung vum Attack huet Poly Network dem Hacker plädéiert fir déi geklauten Verméigen zréckzebréngen, a behaapt datt d'Attack d'Plattform a seng Benotzer beaflosst huet. Den Ugräifer huet iwwerraschend zougestëmmt, déi geklauten Verméigen zréckzeginn. Hien huet och behaapt datt hie geduecht huet d'Schwachheeten auszeweisen anstatt dovunner ze profitéieren. D'Attacke markéieren d'Wichtegkeet vu Sécherheetsaudits an Testen vu Smart Kontrakter fir Schwachstelle z'identifizéieren ier se exploitéiert kënne ginn. 

Wéi klauen ech $ 100 M vu flawless Smart Kontrakter?

Den 29. Juni 2022 huet en nobelen Individuum de Moonbeam Network geschützt andeems en e kritesche Feeler am Design vun digitale Verméigen opgedeckt huet, déi $100 Millioune wäert sinn. Hie gouf de maximale Betrag vun dësem Bugs Bounty Programm vum ImmuneF ($ 1M) an e Bonus (50K) vum Moonwell ausgezeechent. 

Moonriver a Moonbeam sinn EVM-kompatibel Plattformen. Et ginn e puer prekompiléiert Smart Kontrakter tëscht hinnen. Den Entwéckler huet de Virdeel vum 'Delegéierten Uruff' an EVM net berücksichtegt. E béisaarteg Hacker kann säi virkompiléierte Kontrakt passéieren fir säin Uruffer ze imitéieren. De Smart Kontrakt wäert net fäeg sinn den aktuellen Uruffer ze bestëmmen. Den Ugräifer kann déi verfügbar Fongen direkt vum Kontrakt transferéieren. 

Wéi huet PWNING 7K ETH gespäichert a gewonnen $ 6 M Bug Bounty

PWNING ass en Hacking-Enthusiast dee viru kuerzem an d'Land vu Krypto ugeschloss ass. E puer Méint virum 14. Juni 2022 huet hien e kritesche Feeler am Aurora Engine gemellt. Op d'mannst 7K Eth riskéiere geklaut ze ginn, bis hien d'Schwachheet fonnt huet an d'Aurora Team gehollef huet de Problem ze fixéieren. Hien huet och e Bug Bounty vu 6 Milliounen gewonnen, déi zweet héchst an der Geschicht. 

Phantom Funktiounen a Milliarden Dollar no-op

Dëst sinn zwee Konzepter am Zesummenhang mat Softwareentwécklung an Ingenieur. Phantom Funktiounen si Blocke vu Code präsent an engem Software System awer ni ausgefouert. Den 10. Januar huet d'Dedaub Team Schwachstelle fir de Multi Chain Projet, fréier AnySwap, bekanntginn. Multichain huet eng ëffentlech Ukënnegung gemaach déi sech op den Impakt op seng Clienten fokusséiert. Dës Ukënnegung war vun Attacken an engem Flash Bot Krich gefollegt, doraus zu engem Verloscht vun 0.5% vun Fongen.  

Read-only Reentrancy- Eng Schwachstelle verantwortlech fir e Risiko vun $ 100M u Fongen

Dësen Attack ass e béiswëlleg Kontrakt, dee sech ëmmer erëm ruffe kann a Fongen aus dem geziilten Kontrakt drainéieren. 

Konnt Tokens wéi WETH insolvent sinn?

De WETH ass en einfachen a fundamentale Kontrakt am Ethereum-Ökosystem. Wann Depegging stattfënnt, verléieren souwuel ETH wéi och WETH Wäert.  

 Eng Schwachstelle opgedeckt an Profanitéit

Profanitéit ass en Ethereum Vanity Adresséiert Vanity Tool. Elo wann e Benotzer Portemonnaie Adress vun dësem Tool generéiert gouf, ass et vläicht onsécher fir se ze benotzen. Profanity huet en zoufälleg 32-Bit Vektor benotzt fir den 256-Bit private Schlëssel ze generéieren, dee verdächtegt ass onsécher ze sinn.

 Attack op Ethereum L2

E kriteschen Sécherheetsprobleem gouf gemellt, wat vun all Ugräifer benotzt ka ginn fir Suen op der Kette ze replizéieren.  

D'Nancy J. Allen ass e Krypto-Enthusiast a mengt datt d'Krypto-Währungen d'Leit inspiréiere fir hir eege Banken ze sinn a vun traditionelle Währungsaustauschsystemer ofzeginn. Si ass och faszinéiert vun der Blockchain Technologie a seng Fonctionnement.

Läscht posts vun Nancy J. Allen (gesinn alles)