Lektioner fra angrebet på Tinyman, største DEX på Algorand

Læsetid: 5 minutter

Krypto-hacks fortsætter i 2022, da hackere angriber sårbarheder inden for forskellige netværk, hvilket føjer til millioner af stjålne aktiver. Algorand-samfundet begyndte året på en sur tone efter et angreb på deres decentraliserede børs, der førte til tab af aktiver for omkring 3 millioner dollars.

Ifølge rapporter, på Januar 1, 2022, angreb uautoriserede brugere Lillemand, en decentraliseret finansiel platform bygget på Algorand. Begivenheden blev udført i fire separate angreb, hvilket gjorde det muligt for hackerne at stjæle omkring $ 3 millioner fra puljer inden for protokollen.

En rapport fra Tinyman viste, at fire konti blev kompromitteret, hvilket påvirkede omkring 250 brugere med beholdninger i goBTC og goETH. 360 puljer blev berørt af 13 ondsindede aktiviteter udført af XNUMX unikke adresser.

Angriberne aktiverede især deres tegnebogsadresser, hvilket gjorde det muligt for dem at indbetale en startfond til angrebet. Derudover har disse personer angiveligt brudt tidligere ukendte sårbarheder på Tinymans smarte kontrakt. Dette gjorde det muligt for dem at få to af de samme tokens, som de derefter fortsatte med at bytte nogle af aktiverne og prægede pool-tokens.

Angrebene begunstigede angiveligt de uautoriserede brugere, fordi goBTC aktiv var mere værdifuld end ALGO token, de byttede mod for at modtage flere midler. Derudover byttede angriberne også puljer med stablecoins, før de trak aktiverne tilbage til andre tegnebøger og centraliserede børser.

Som en tillidsfri og tilladelsesfri protokol bruger Tinyman især uforanderlige kontrakter, hvilket gør det umuligt for børsen at rette op på sårbarhederne og stoppe angrebet hurtigt. Men som et resultat kunne de kun råde deres brugere til ikke at bruge platformen, da de arbejdede på at løse problemet.

Da Tinyman-teamet fortsætter med at undersøge forekomsten, skal nogle få nøgleområder behandles. Disse omfatter:

Vigtigheden af ​​revisioner

I betragtning af det øgede antal af svindelsager og krypto-relaterede angreb inden for DeFi og det overordnede kryptovalutamarked, kan behovet for kontrolsystemer og ansvarlighed ikke understreges nok. 

Sidste år i november, Elliptisk, et globalt risikoselskab for kryptostyring, udførte forskning, der viste, at over $ 10.5 milliarder værdi af aktiver gik tabt fra DeFi i 2021 på grund af hacks og andre angreb på netværk og protokoller. 

Desuden stod DeFi-relaterede hacks for 76 % af alle større hacks i 2021. Ifølge rapporten er den tillidsløse natur af decentraliserede applikationer (DApps) inden for DeFi både en velsignelse og en forbandelse. At være tillidsløs eliminerer enhver tredjeparts kontrol over brugernes midler. Brugerne er dog tvunget til at stole på, at skaberne af de pågældende protokoller ikke lavede nogen fejl i kodningen eller designet, der kunne tillade et angreb på systemet.

Audits giver betroede enheder mulighed for at tjekke for sårbarheder med koderne og det strukturelle design af et projekt, hvilket øger den overordnede sikkerhed. Audits bør udføres konstant for at holde trit med de sofistikerede og nye teknikker, hackere bruger til at angribe systemer. Mens Tinyman efter sigende havde gennemgået en revision, kunne en nylig revisionskontrol have hjulpet med at rette fejlene eller sårbarhederne og muligvis forhindre tabene.

Skal læses: De fire store arbejder mod blockchain-revision

Ideelt set bør smarte kontraktrevisioner udføres, før kontrakterne implementeres. Disse revisioner søger at kontrollere for almindelige fejl såsom stakproblemer, genindførselsfejl og andre mulige komplikationer. Revisionsprocessen tjekker også for værtsplatformes kendte fejl og sikkerhedsfejl, mens det giver udviklere mulighed for at teste den smarte kontrakt.

Derudover hjælper revisioner projekter med konstant at forbedre deres smarte kontrakter, hvilket sikrer, at de altid er opdaterede. For eksempel blev Tinyman efter angrebet tvunget til at opdatere deres smarte kontrakter for at forhindre sådanne angreb i fremtiden.

DeFi forsikring

Det er især vigtigt, at brugerne, før de laver en ordning inden for DeFi-markedet, fuldt ud forstår de risici, der er forbundet med markedet. Bortset fra intelligente kontraktrisici kan brugere også stå over for orakelrisici og styringsrisici. 

Når det er sagt, giver det brugerne mulighed for at træffe informerede beslutninger ved at udføre ordentlig forskning på markederne og projekterne deri. En sådan beslutning er at få beskyttelse mod uforudsete angreb gennem DeFi Insurance.

DeFi Forsikring er processen med at forsikre sig eller købe dækning mod tab, som begivenheder i DeFi-branchen kan lide. Det stigende antal tab inden for DeFi har skabt en efterspørgsel efter DeFi-forsikringsprodukter, da nye projekter bliver ved med at stige dag for dag. 

Normalt ender mange berørte børser med at refundere deres ofre efter angrebet. Nogle af de hackede projekter kan dog ikke refundere deres brugere.

Bemærk, at Tinyman-teamet er kommet frem for at forsikre berørte brugere om, at de vil blive refunderet for deres tab.

Styrke i fællesskaber

Navnlig efter at det første angreb blev offentligt, benyttede mange flere hackere muligheden for at kopiere hacket. De brugte de samme sårbarheder til at udføre mindre angreb (andet til fjerde angreb) på børsen. Det lykkedes dog Tinyman at redde en stor procentdel af deres aktiver med fællesskabets hjælp.

I dette og lignende angreb har fællesskaber hjulpet med at sprede nyhederne hurtigere, hvilket giver brugerne mulighed for at tage de nødvendige sikkerhedsforanstaltninger for at hjælpe med at holde deres aktiver sikre. Derudover har fællesskaber til en vis grad hjulpet med at opbygge bedre kommunikation og samarbejder mellem udviklere og brugere for væksten af ​​hele økosystemet.

I de seneste dage har krypto-baserede samfund hjulpet med at rejse revolutioner, der har ført til væksten af ​​projekter inden for industrien.

Indpakning op

Mens blockchain har gjort enorme gennembrud, især inden for finans, er teknologien langt fra perfekt. Men både projektejere, udviklere og brugere kan tage passende foranstaltninger for at sikre mere sikkerhed inden for blockchain-baserede applikationer.

Ved at tage ansvarlighedsforanstaltninger gennem revisioner og andre relevante foranstaltninger kan projekter eliminere eventuelle fejl eller sårbarheder, der kan bruges mod applikationen. Det er også vigtigt at tage andre forholdsregler såsom DeFi-forsikring og holde et tæt fællesskab for at afbøde sådanne begivenheder. 

Kontakt QuillAudits

QuillAudits er en sikker smart kontraktrevisionsplatform designet af QuillHash
Technologies.
Det er en revisionsplatform, der nøje analyserer og verificerer smarte kontrakter for at tjekke for sikkerhedssårbarheder gennem effektiv manuel gennemgang med statiske og dynamiske analyseværktøjer, gasanalysatorer samt assimulatorer. Derudover omfatter revisionsprocessen også omfattende enhedstests samt strukturelle analyser.
Vi udfører både smarte kontraktrevisioner og penetrationstests for at finde potentiale
sikkerhedssårbarheder, som kan skade platformens integritet.

Hvis du har brug for hjælp til revisionen af ​​smarte kontrakter, er du velkommen til at kontakte vores eksperter her!

For at være opdateret med vores arbejde, Tilmeld dig vores fællesskab:-

Twitter | LinkedIn | Facebook | Telegram

Stillingen Lektioner fra angrebet på Tinyman, største DEX på Algorand dukkede først på Blog.quillhash.

Kilde: https://blog.quillhash.com/2022/01/lessons-from-the-attack-on-tinyman-largest-dex-on-algorand