– Open Zeppelin, חברת אבטחת סייבר המספקת כלים לפיתוח ואבטחת יישומים מבוזרים (dApps).
- החברה חשפה כי האיום הגדול ביותר הנשקף ל-dApps אינו טכנולוגיית הבלוקצ'יין אלא כוונה רעה של האקרים ברחבי העולם.
פריצת בלוקצ'יין הפכה לבעיה ומאיימת על המערכת האקולוגית של מטבעות הקריפטו. האקרים יכולים לפרוץ את אבטחת הבלוקצ'יין כדי לגנוב מטבעות קריפטוגרפיים ונכסים דיגיטליים. זו הסיבה שחברות עובדות על דרכים חדשניות לאבטחת המערכות שלהן מפני התקפות סייבר. Open Zeppelin פרסמה דוח המסכם את עשרת טכניקות הפריצה המובילות של blockchain.
כיצד האקרים מאיימים על אבטחת הבלוקצ'יין?
51% התקפות
התקפה זו מתרחשת כאשר האקר משיג שליטה של לפחות 51% או יותר מכוח המחשוב ברשת בלוקצ'יין. זה ייתן להם את הכוח לשלוט באלגוריתם הקונצנזוס של הרשת ולהיות מסוגלים לתמרן עסקאות. זה יביא להוצאה כפולה, שבה ההאקר יכול לחזור על אותה עסקה. לדוגמה, Binance היא משקיע מרכזי ב-memecoin Dogecoin ו-stablecoin Zilliqa, ויכולה לתמרן בקלות את שוק הקריפטו.
סיכוני חוזה חכמים
חוזים חכמים הם תוכניות לביצוע עצמי הבנויות על טכנולוגיית הבלוקצ'יין הבסיסית. האקרים יכולים לפרוץ לקוד של חוזים חכמים ולתמרן אותם כדי לגנוב מידע או כספים, או נכסים דיגיטליים.
סיביל מתקפת
התקפה כזו מתרחשת כאשר האקר יצר מספר זהויות מזויפות או צמתים ברשת בלוקצ'יין. זה מאפשר להם להשיג שליטה על חלק עיקרי מכוח המחשוב של הרשת. הם יכולים לתמרן עסקאות ברשת כדי לסייע במימון טרור או פעילויות בלתי חוקיות אחרות.
התקפות זדוניות
האקרים יכולים לפרוס תוכנות זדוניות כדי לקבל גישה למפתחות ההצפנה של המשתמש או למידע פרטי, ולאפשר להם לגנוב מארנקים. האקרים יכולים להערים על משתמשים לחשוף את המפתחות הפרטיים שלהם, אשר יכולים לשמש כדי לקבל גישה לא מורשית לנכסים הדיגיטליים שלהם.
מהן 10 טכניקות הפריצה הבלוקצ'יין המובילות של Open Zeppelin?
רטרוספקטיבה של נושא שילוב TUSD
Compound הוא פרוטוקול פיננסי מבוזר שעוזר למשתמשים להרוויח ריבית על הנכסים הדיגיטליים שלהם על ידי הלוואות והלוואות שלהם ב-Ethereum blockchain. TrueUSD הוא מטבע יציב המוצמד לדולר ארה"ב. אחת מבעיות האינטגרציה העיקריות עם TUSD הייתה קשורה להעברה של נכסים.
כדי להשתמש ב-TUSD על מתחם, זה היה צריך להיות ניתן להעברה בין כתובות Ethereum. עם זאת, נמצא באג בחוזה החכם של TUSD, וכמה העברות נחסמו או עוכבו. פירוש הדבר שהלקוחות לא יכלו למשוך או להפקיד TUSD מהמתחם. בכך מוביל לבעיות נזילות ולמשתמשים אבדו הזדמנויות להרוויח ריבית או ללוות TUSD.
6.2 L2 DAI מאפשר גניבת בעיות בהערכות קוד
בסוף פברואר 2021, התגלתה בעיה בהערכת הקוד של החוזים החכמים של StarkNet DAI Bridge, שיכולה הייתה לאפשר לכל תוקף לבזוז כספים ממערכת Layer 2 או L2 DAI. בעיה זו נמצאה במהלך ביקורת של Certora, ארגון אבטחת בלוקצ'יין.
הנושא בהערכת הקוד כלל פונקציית הפקדה פגיעה של החוזה, שבה האקר יכול היה להשתמש כדי להפקיד מטבעות DAI למערכת L2 של DAI; מבלי לשלוח את המטבעות. זה יכול לאפשר להאקר להטביע כמות בלתי מוגבלת של מטבעות DAI. הם יכולים למכור אותו לשוק כדי להרוויח רווחים עצומים. מערכת StarkNet איבדה מטבעות בשווי של למעלה מ-200 מיליון דולר שננעלו בה בזמן הגילוי.
הבעיה נפתרה על ידי צוות StarkNet, ששיתף פעולה עם Certora כדי לפרוס גרסה חדשה של החוזה החכם הפגום. לאחר מכן, הגרסה החדשה נבקרה על ידי החברה ונחשבה בטוחה.
דוח הסיכון של Avalanche בסך 350 מיליון דולר
הסיכון הזה מתייחס למתקפת סייבר שאירעה בנובמבר 2021, שהביאה לאובדן של אסימונים בשווי של כ-350 מיליון דולר. מתקפה זו כוונה ל-Poly Network, פלטפורמת DeFi המאפשרת למשתמשים להחליף מטבעות קריפטוגרפיים. התוקף ניצל פגיעות בקוד החוזה החכם של הפלטפורמה, ואיפשר להאקר לשלוט בארנקים הדיגיטליים של הפלטפורמה.
עם גילוי המתקפה, רשת פולי התחננה בפני ההאקר להחזיר את הנכסים הגנובים, וקבעה כי המתקפה השפיעה על הפלטפורמה ועל משתמשיה. התוקף הסכים במפתיע להחזיר את הנכסים הגנובים. הוא גם טען כי בכוונתו לחשוף את הפגיעות במקום להרוויח מהן. ההתקפות מדגישות את החשיבות של ביקורות אבטחה ובדיקות של חוזים חכמים כדי לזהות נקודות תורפה לפני שניתן יהיה לנצל אותן.
איך לגנוב 100 מיליון דולר מחוזים חכמים ללא רבב?
ב-29 ביוני 2022, אדם אציל הגן על רשת Moonbeam על ידי חשיפת פגם קריטי בעיצוב של נכסים דיגיטליים, ששוויים 100 מיליון דולר. הוא זכה בסכום המקסימלי של תוכנית פרס הבאג הזה על ידי ImmuneF (1 מיליון דולר) ובונוס (50K) מ-Moonwell.
Moonriver ו-Moonbeam הן פלטפורמות תואמות EVM. יש ביניהם כמה חוזים חכמים שהוגדרו מראש. היזם לא לקח בחשבון את היתרון של 'שיחת הנציג' ב-EVM. האקר זדוני יכול להעביר את החוזה המהודר שלו כדי להתחזות למתקשר שלו. החוזה החכם לא יוכל לקבוע את המתקשר בפועל. התוקף יכול להעביר את הכספים הזמינים מיד מהחוזה.
איך PWNING הציל 7K ETH וזכתה בפרס באג של 6 מיליון דולר
PWNING הוא חובב פריצה שהצטרף לאחרונה לארץ הקריפטו. כמה חודשים לפני ה-14 ביוני 2022, הוא דיווח על באג קריטי במנוע Aurora. לפחות 7K Eth היו בסיכון להיגנב עד שהוא מצא את הפגיעות ועזר לצוות Aurora לתקן את הבעיה. הוא גם זכה בפרס באג של 6 מיליון, השני בגובהו בהיסטוריה.
פונקציות פנטום ומיליארד דולר ללא הפעלה
אלו שני מושגים הקשורים לפיתוח תוכנה והנדסה. פונקציות פנטום הן בלוקים של קוד הקיימים במערכת תוכנה אך מעולם לא בוצעו. ב-10 בינואר, צוות Dedaub חשף פגיעות לפרויקט Multi Chain, לשעבר AnySwap. Multichain פרסמה הודעה פומבית שהתמקדה בהשפעה על לקוחותיה. הודעה זו גררה התקפות ומלחמת בוט פלאש, שהביאה לאובדן של 0.5% מהכספים.
Reentrancy לקריאה בלבד- פגיעות האחראית לסיכון של 100 מיליון דולר בקרנות
מתקפה זו היא חוזה זדוני שיוכל לקרוא לעצמו שוב ושוב ולנקז כספים מהחוזה הממוקד.
האם אסימונים כמו WETH יכולים להיות חדלי פירעון?
ה-WETH הוא חוזה פשוט ויסודי במערכת האקולוגית של Ethereum. אם ביטול ההצמדה מתבצע, גם ETH וגם WETH יאבדו מערכם.
פגיעות שנחשפה בכתובת ניבולי פה
ניבולי פה הוא כלי יהירות לטיפול ב-Ethereum. כעת, אם כתובת הארנק של משתמש נוצרה על ידי כלי זה, ייתכן שהשימוש בו אינו בטוח. ניבול פה השתמש בוקטור אקראי של 32 סיביות כדי ליצור את המפתח הפרטי של 256 סיביות, שעל פי החשד אינו בטוח.
תקיפה על Ethereum L2
דווח על בעיית אבטחה קריטית, שיכולה לשמש כל תוקף כדי לשכפל כסף בשרשרת.
ננסי ג'יי אלן היא חובבת קריפטו ומאמינה שמטבעות קריפטוגרפיים נותנים השראה לאנשים להיות הבנקים של עצמם ולצאת הצידה ממערכות חליפין מוניטריות מסורתיות. היא גם מסוקרנת מטכנולוגיית הבלוקצ'יין ותפקודה.
מקור: https://www.thecoinrepublic.com/2023/03/17/the-top-10-blockchain-hacking-techniques-by-open-zeppelin/