– Open Zeppelin، یک شرکت امنیت سایبری که ابزارهایی برای توسعه و ایمن سازی برنامه های غیرمتمرکز (dApps) ارائه می دهد.
- این شرکت فاش کرد که بزرگترین تهدیدی که برای dApps ایجاد می شود، فناوری بلاک چین نیست، بلکه نیت شیطانی هکرها در سراسر جهان است.
هک بلاک چین به یک مشکل تبدیل شده و اکوسیستم ارزهای دیجیتال را تهدید می کند. هکرها می توانند امنیت بلاک چین را برای سرقت ارزهای دیجیتال و دارایی های دیجیتال نقض کنند. به همین دلیل است که شرکت ها در حال کار بر روی روش های نوآورانه ای برای ایمن سازی سیستم های خود در برابر حملات سایبری هستند. Open Zeppelin گزارشی از ده تکنیک برتر هک بلاک چین منتشر کرده است.
چگونه هکرها امنیت بلاک چین را تهدید می کنند؟
51 درصد حملات
این حمله زمانی رخ می دهد که یک هکر کنترل حداقل 51 درصد یا بیشتر از قدرت محاسباتی شبکه بلاک چین را به دست آورد. این به آنها قدرت می دهد تا الگوریتم اجماع شبکه را کنترل کنند و بتوانند تراکنش ها را دستکاری کنند. این منجر به هزینه مضاعف می شود، جایی که هکر می تواند همان تراکنش را تکرار کند. به عنوان مثال، بایننس یک سرمایه گذار بزرگ در memecoin Dogecoin و stablecoin Zilliqa است و می تواند به راحتی بازار ارزهای دیجیتال را دستکاری کند.
خطرات قرارداد هوشمند
قراردادهای هوشمند برنامههایی هستند که خوداجرا میشوند و بر اساس فناوری بلاک چین ساخته شدهاند. هکرها می توانند کد قراردادهای هوشمند را هک کرده و آنها را برای سرقت اطلاعات یا منابع مالی یا دارایی های دیجیتال دستکاری کنند.
حملات سیبیل
چنین حمله ای زمانی اتفاق می افتد که یک هکر چندین هویت جعلی یا گره در یک شبکه بلاک چین ایجاد کرده باشد. این به آنها اجازه می دهد تا کنترل بخش عمده ای از قدرت محاسباتی شبکه را به دست آورند. آنها می توانند تراکنش های شبکه را برای کمک به تامین مالی تروریسم یا سایر فعالیت های غیرقانونی دستکاری کنند.
حملات بدافزار
هکرها می توانند بدافزار را برای دسترسی به کلیدهای رمزگذاری یا اطلاعات خصوصی کاربر مستقر کنند و به آنها اجازه سرقت از کیف پول ها را بدهند. هکرها می توانند کاربران را فریب دهند تا کلیدهای خصوصی آنها را فاش کنند، که می تواند برای دسترسی غیرمجاز به دارایی های دیجیتال آنها استفاده شود.
10 تکنیک برتر هک بلاک چین توسط Open Zeppelin چیست؟
بررسی گذشته نگر ادغام ترکیب TUSD
Compound یک پروتکل مالی غیرمتمرکز است که به کاربران کمک می کند تا با قرض گرفتن و وام دادن به دارایی های دیجیتال خود در بلاک چین اتریوم، سود کسب کنند. TrueUSD یک استیبل کوین است که به دلار آمریکا متصل است. یکی از مسائل اصلی ادغام با TUSD مربوط به قابلیت انتقال دارایی بود.
برای استفاده از TUSD در یک Compound، باید بین آدرسهای اتریوم قابل انتقال باشد. با این حال، یک اشکال در قرارداد هوشمند TUSD پیدا شد و برخی از نقل و انتقالات مسدود یا به تاخیر افتاد. این بدان معنی است که مشتریان نمی توانند TUSD را از ترکیب برداشت یا واریز کنند. در نتیجه منجر به مشکلات نقدینگی و از دست دادن فرصتهای کاربران برای کسب سود یا استقراض TUSD شد.
6.2 L2 DAI اجازه می دهد تا مسائل سرقت در ارزیابی کد
در پایان فوریه 2021، مشکلی در ارزیابی کد قراردادهای هوشمند StarkNet DAI Bridge کشف شد که میتوانست به هر مهاجمی اجازه غارت وجوه از سیستم Layer 2 یا L2 DAI را بدهد. این مشکل در طی ممیزی توسط Certora، یک سازمان امنیتی بلاک چین، پیدا شد.
مسئله در ارزیابی کد مربوط به یک تابع سپرده آسیب پذیر قرارداد بود که یک هکر می توانست از آن برای واریز سکه های DAI به سیستم L2 DAI استفاده کند. بدون اینکه واقعاً سکه ها را ارسال کنید. این می تواند به هکر اجازه دهد تا مقدار نامحدودی از سکه های DAI را ضرب کند. آنها می توانند آن را به بازار بفروشند تا سود زیادی کسب کنند. سیستم StarkNet بیش از 200 میلیون دلار سکههایی را که در زمان کشف در آن قفل شده بودند از دست داده است.
این مشکل توسط تیم StarkNet حل شد که با Certora همکاری کردند تا نسخه جدیدی از قرارداد هوشمند معیوب را اجرا کنند. نسخه جدید سپس توسط شرکت مورد بررسی قرار گرفت و ایمن تلقی شد.
گزارش ریسک 350 میلیون دلاری بهمن
این خطر به یک حمله سایبری اشاره دارد که در نوامبر 2021 اتفاق افتاد و منجر به از دست رفتن حدود 350 میلیون دلار توکن شد. این حمله Poly Network را هدف قرار داد، یک پلتفرم DeFi که به کاربران امکان مبادله ارزهای دیجیتال را می دهد. مهاجم از یک آسیبپذیری در کد قرارداد هوشمند پلتفرم سوء استفاده کرد و به هکر اجازه داد کیف پول دیجیتال پلتفرم را کنترل کند.
پس از کشف این حمله، Poly Network از هکر درخواست کرد که دارایی های سرقت شده را بازگرداند و اظهار داشت که این حمله بر پلتفرم و کاربران آن تأثیر گذاشته است. مهاجم در کمال تعجب با بازگرداندن دارایی های سرقت شده موافقت کرد. او همچنین مدعی شد که قصد دارد آسیبپذیریها را به جای سود بردن از آنها افشا کند. این حملات اهمیت ممیزی امنیتی و آزمایش قراردادهای هوشمند را برای شناسایی آسیبپذیریها قبل از سوء استفاده نشان میدهد.
چگونه 100 میلیون دلار از قراردادهای هوشمند بی عیب و نقص سرقت کنیم؟
در 29 ژوئن 2022، یک فرد نجیب با افشای یک نقص مهم در طراحی دارایی های دیجیتال، که 100 میلیون دلار ارزش داشتند، از شبکه Moonbeam محافظت کرد. حداکثر مقدار این برنامه جایزه اشکال توسط ImmuneF (1 میلیون دلار) و یک جایزه (50 هزار) از Moonwell به او تعلق گرفت.
Moonriver و Moonbeam پلتفرم های سازگار با EVM هستند. برخی از قراردادهای هوشمند از پیش تدوین شده بین آنها وجود دارد. توسعه دهنده از مزیت «تماس نمایندگان» در EVM استفاده نکرد. یک هکر مخرب می تواند قرارداد از پیش کامپایل شده خود را برای جعل هویت تماس گیرنده خود ببندد. قرارداد هوشمند قادر به تعیین تماس گیرنده واقعی نخواهد بود. مهاجم می تواند وجوه موجود را بلافاصله از قرارداد انتقال دهد.
چگونه PWNING 7K ETH صرفه جویی کرد و جایزه اشکال 6 میلیون دلاری را برد
PWNING یک علاقهمند به هک است که اخیراً به سرزمین کریپتو پیوسته است. چند ماه قبل از 14 ژوئن 2022، او یک اشکال مهم در موتور Aurora را گزارش کرد. حداقل 7K Eth در معرض خطر سرقت قرار داشت تا اینکه او آسیب پذیری را پیدا کرد و به تیم Aurora کمک کرد تا مشکل را برطرف کند. او همچنین برنده جایزه 6 میلیونی باگ شد که دومین جایزه بزرگ در تاریخ است.
توابع فانتوم و بدون عملیات میلیارد دلاری
این دو مفهوم مربوط به توسعه و مهندسی نرم افزار هستند. توابع فانتوم بلوک هایی از کد هستند که در یک سیستم نرم افزاری وجود دارند اما هرگز اجرا نمی شوند. در 10 ژانویه، تیم Dedaub آسیب پذیری پروژه Multi Chain، سابقا AnySwap را فاش کرد. Multichain یک اطلاعیه عمومی منتشر کرده است که بر تأثیر آن بر مشتریان خود متمرکز شده است. این اعلامیه با حملات و جنگ ربات های فلش دنبال شد که منجر به از دست رفتن 0.5٪ از سرمایه شد.
ورود مجدد فقط خواندنی - یک آسیب پذیری مسئول ریسک 100 میلیون دلاری در وجوه
این حمله یک قرارداد مخرب است که قادر خواهد بود به طور مکرر خود را فراخوانی کند و وجوه را از قرارداد هدفمند تخلیه کند.
آیا توکن هایی مانند WETH می توانند ورشکسته باشند؟
WETH یک قرارداد ساده و اساسی در اکوسیستم اتریوم است. اگر depegging انجام شود، ETH و WETH هر دو ارزش خود را از دست خواهند داد.
یک آسیبپذیری که در فحشا فاش شده است
فحشا یک ابزار ابطال اتریوم برای پرداختن به بیهودگی است. حال اگر آدرس کیف پول یک کاربر توسط این ابزار ایجاد شده باشد، ممکن است استفاده از آن برای او ناامن باشد. فحشا از یک بردار تصادفی 32 بیتی برای تولید کلید خصوصی 256 بیتی استفاده کرد که مشکوک به ناامن بودن آن است.
حمله به اتریوم L2
یک مشکل امنیتی حیاتی گزارش شد که هر مهاجمی میتواند از آن برای تکرار پول در زنجیره استفاده کند.
نانسی جی. آلن از علاقه مندان به ارزهای دیجیتال است و معتقد است که ارزهای رمزنگاری شده به مردم الهام میدهند که بانک خودشان باشند و از سیستمهای مبادلات پولی سنتی کنارهگیری کنند. او همچنین شیفته فناوری بلاک چین و عملکرد آن است.
منبع: https://www.thecoinrepublic.com/2023/03/17/the-top-10-blockchain-hacking-techniques-by-open-zeppelin/