Πώς να κρίνουμε εάν ένα λεγόμενο «HACK» που συνέβη σε ένα έργο Crypto ή Blockchain είναι νόμιμο ή εάν είναι απλώς ένας μηχανισμός για την απόκρυψη ενός ΧΑΛΙΛΙΟΥ;

Προφανώς, μετά από αυτό που συνέβη με το MtGox ή το QuadrigaCX ή παρόμοιες περιπτώσεις όπου οι ιδρυτές ισχυρίστηκαν ότι έχασαν τα ιδιωτικά κλειδιά που κρατούσαν τα περισσότερα ψηφιακά περιουσιακά στοιχεία των χρηματιστηρίων τους ενώ εξαφανίστηκαν ή βρέθηκαν νεκρά αργότερα, οι άνθρωποι στην κρυπτοσφαίρα γίνονται όλο και πιο καχύποπτοι όταν ακούνε για hack σε ένα έργο, και η πρώτη σκέψη που έρχεται στο μυαλό είναι ότι οι ιδρυτές έχουν ουσιαστικά αδειάσει το ταμείο και έχουν τρέξει μαζί του, αυτό είναι που κοινώς αποκαλείται ΧΑΠΙΛΙ.

Αυτό πιθανότατα συνέβη σε πολλά έργα, αλλά όχι απαραίτητα σε όλα, επομένως σήμερα εξετάζουμε μια περίπτωση που πιστεύουμε ότι είναι πραγματικό hack λόγω της φύσης της κατάστασης.

Πιστεύουμε ότι είναι μια ενδιαφέρουσα περίπτωση για ανάλυση, διότι θα βοηθήσει στην καλύτερη κατανόηση της σημασίας της ασφάλειας και των ελέγχων σε έργα που σχετίζονται με έξυπνα συμβόλαια ή σε έργα που σχετίζονται με το blockchain γενικά.

Θα αναλύσουμε αντικειμενικά το δράμα που συνέβη στο έργο RING Financial, ένα διακριτικό που ξεκίνησε στο BSC (Binance Blockchain).

Πριν προχωρήσουμε στο hack, θα συνοψίσουμε πρώτα το έργο και την κατάστασή του πριν από αυτό:

RING Financial πριν από το hack

Το RING financ ήταν ένα έργο DeFi με στόχο να κάνει το DeFi πιο προσιτό στην κοινότητα του DeFi και της κρυπτογράφησης. Ένα φιλόδοξο έργο που ήθελε να δημιουργήσει ένα πρωτόκολλο απόδοσης κόμβου που θα διοικείται από τους κατόχους κόμβων και θα κατανέμει τη ρευστότητα σε περισσότερα από 300 πρωτόκολλα ταυτόχρονα. Ο στόχος ήταν να αποκτήσετε πρόσβαση σε όλα τα πρωτόκολλα μέσω ενός κόμβου RING και μέσω του RING Dapp.

Αυτά τα πρωτόκολλα επαληθεύτηκαν από την ομάδα και, στη συνέχεια, η κοινότητα θα τα ψήφιζε πού να κατανεμηθούν. Η ίδια ιδέα ψηφοφορίας που θα είχατε σε ένα DAO που έκανε το RING αρκετά ελκυστικό.

Η RING Financial απλοποίησε επίσης αρκετά τη διαδικασία έρευνας και τη διαδικασία ανάπτυξης για έναν μόνο Κάτοχο Κόμβου. Ένα Dapp για πρόσβαση σε όλα τα άλλα Dapp, έτσι θα χρειαστείτε μόνο μία διεπαφή αντί για 300 διαφορετικά με τις δικές τους προσβάσεις και τους δικούς τους κόμβους.

Τέλος, ο στόχος της RING Financial ήταν να μειώσει τα τέλη για την ανάπτυξη σε διαφορετικά πρωτόκολλα, ενώ ο όγκος έρχεται χαμηλότερα τέλη συναλλαγών για μεμονωμένους κατόχους που ήταν ένα από τα κύρια σημεία πώλησης του έργου. Ένα έργο με ταλέντο και φιλοδοξία να κάνει τα πράγματα ευκολότερα για την κοινότητα και ακόμη πιο mainstream για όσους δεν γνωρίζουν το Defi.

Ωστόσο, το ταλέντο και η φιλοδοξία δεν αρκούν πάντα και χρειάζεστε τεχνογνωσία και γνώση, κάτι που στις νέες και ανώριμες αγορές είναι ένα σπάνιο εύρημα και γι' αυτό η RING Financial δεν μπόρεσε να πραγματοποιήσει πλήρως την υπόσχεσή της.

Τι πραγματικά συνέβη λοιπόν με την RING Financial; Και γιατί χάκαρε; Χάρη στο blockchain έχουμε όλα τα ιατροδικαστικά στοιχεία που απαιτούνται για να εμβαθύνουμε σε αυτό και να δούμε πού ήταν τα τρωτά σημεία και γιατί Το RING Financial δεν ήταν απάτη.

Το RING Financial HACK έγινε στις 5 Δεκεμβρίου 2021 μεταξύ 2:01 και 2:06 UTC.

Ναι, όλα έγιναν κυριολεκτικά σε 5 λεπτά μόνο! Χάρη στον σαρωτή blockchain για αυτές τις λεπτομέρειες, παρεμπιπτόντως, σας παρέχουμε ακριβώς κάτω από τους συνδέσμους των συναλλαγών που σχετίζονται με το HACK καθώς και τη διεύθυνση του συμβολαίου για όσους θέλουν να ψάξουν με περισσότερες λεπτομέρειες.

Ακολουθεί η περίληψη που εξηγεί το ελάττωμα που έχει εκμεταλλευτεί ο εισβολέας:

Πρέπει να καταλάβετε ότι το έξυπνο συμβόλαιο της RING Financial αποτελούταν από πολλά μέρη, ένα για το διακριτικό και όλα τα δεδομένα που σχετίζονται με αυτό και ένα άλλο για οτιδήποτε σχετίζεται με τη λογιστική των κόμβων και των ανταμοιβών. Το τμήμα του διακριτικού είχε μια ασφάλεια, έτσι ώστε μόνο ο διαχειριστής της σύμβασης μπορεί να τροποποιήσει τα σημαντικά δεδομένα αυτού, για να σας δείξει κάποιο κωδικό, εδώ είναι μια κεφαλίδα μιας συνάρτησης του συμβολαίου που προστατεύεται μέσω του χαρακτηριστικού "onlyOwner" που ορίζει ότι η λειτουργία μπορεί να εκτελεστεί μόνο από τον διαχειριστή:

Μια συνάρτηση που δεν έχει ένα μόνο Ιδιοκτήτης χαρακτηριστικό (ή ισοδύναμο χαρακτηριστικό για την προστασία της πρόσβασης της συνάρτησης) μπορεί να εκτελεστεί κυριολεκτικά από οποιονδήποτε.

Τώρα, μάντεψε τι; Οι συναρτήσεις στο τμήμα Nodes and Rewards δεν είχαν αυτό το χαρακτηριστικό, όπως μπορείτε να δείτε κοιτάζοντας τα ονόματα των συναρτήσεων παρακάτω (το μόνο Ιδιοκτήτης λείπει το χαρακτηριστικό):

Και όπως μπορείτε να φανταστείτε, ένας χάκερ εκμεταλλεύτηκε και εξαπάτησε αυτό το ελάττωμα για να λάβει έναν εκθετικό αριθμό ανταμοιβών στο RING, και στη συνέχεια τις πέταξε στη δεξαμενή ρευστότητας και σχεδόν βίαια το άδειασε μέσα σε λίγα λεπτά. Έτσι, διέπραξε τις απάτες του.

Τώρα μάλλον κάνετε δύο ερωτήσεις στον εαυτό σας:

Πώς θα μπορούσαν οι προγραμματιστές να αφήσουν ένα τέτοιο κενό;

Αφού μιλήσαμε με προγραμματιστές Solidity (γλώσσα που χρησιμοποιείται για την κωδικοποίηση έξυπνων συμβάσεων στο Ethereum), αυτό είναι ένα σφάλμα που σχετίζεται με την κληρονομικότητα ρόλων μεταξύ δύο έξυπνων συμβάσεων, η κληρονομικότητα είναι μια έννοια της γλώσσας προγραμματισμού και για να μην σας προκαλέσουμε πονοκέφαλο, θα μείνουμε με απλά λόγια: Βασικά, είναι πολύ πιθανό το άτομο που κωδικοποίησε το συμβόλαιο να σκέφτηκε ότι οι λειτουργίες του τμήματος Node κληρονόμησαν τους ρόλους ασφαλείας των λειτουργιών του τμήματος Token, αλλά αυτό δυστυχώς δεν συμβαίνει στο Solidity, και είναι απαραίτητο να επαναπροσδιοριστούν οι ρόλοι κάθε λειτουργίας κάθε σύμβασης, ανεξάρτητα από τη σύνδεσή τους. Άρα το συμπέρασμά μας σε αυτό το σημείο είναι ότι ο προγραμματιστής δεν ήταν ειδικός και ότι μάλλον δημοσίευσε το συμβόλαιο ΧΩΡΙΣ να αφιερώσει χρόνο να το διαβάσει ξανά, μάλλον βιαστικά.

Πώς ξέρετε ότι δεν είναι ο ίδιος ο προγραμματιστής που άφησε επίτηδες αυτό το ελάττωμα και ότι δεν ήταν απάτη;

Πολύ καλή ένσταση και είναι εύκολο να υποθέσει κανείς μια απάτη όταν δεν είστε σίγουροι για το πώς έξυπνες συμβάσεις δουλεύει, αλλά στην πραγματικότητα είναι πολύ εύκολο να υποθέσει κανείς την αθωότητα του προγραμματιστή, επειδή δημοσίευσε και επαλήθευσε ολόκληρο τον κώδικα του έξυπνου συμβολαίου δημόσια στο BSCSCAN.COM (ο πιο δημοφιλής σαρωτής του Binance Blockchain), στις 19 Νοεμβρίου 2021, ότι δηλαδή, περισσότερες από δύο εβδομάδες πριν συμβεί το RING Financial HACK. Και όπως εξηγήθηκε προηγουμένως, το ελάττωμα ήταν γραμμένο με ΜΑΥΡΟ ΣΤΟ ΛΕΥΚΟ στο συμβόλαιο, και οποιοσδήποτε έμπειρος προγραμματιστής θα το είχε παρατηρήσει και θα αντιδρούσε, αλλά δυστυχώς, ο πρώτος που δεν είχε καθόλου έλεος. Επομένως, είναι προφανές ότι ο προγραμματιστής δεν γνώριζε αυτό το ελάττωμα επειδή δεν θα είχε πάρει το ρίσκο να αφήσει κανέναν να σκοτώσει το έργο RING Financial ανά πάσα στιγμή.

Για να επιστρέψουμε στη συνέχεια του RING Financial HACK, ο προγραμματιστής κατάλαβε την γκάφα του και απλώς πάγωσε το συμβόλαιο για να σταματήσει οποιαδήποτε διανομή ανταμοιβών, ώστε ο εισβολέας να μην αδειάσει εντελώς την πισίνα. Στη συνέχεια ανέπτυξε εκ νέου ένα συμβόλαιο Node, αυτή τη φορά με το χαρακτηριστικό ασφαλείας "onlyOwner". Αυτό το νέο συμβόλαιο Node μπόρεσε να χειριστεί σωστά τη νέα διανομή ανταμοιβής, με τη διαφορά ότι ήταν πολύ αργά, επειδή ως αποτέλεσμα του HACK είχε χαθεί όλη η εμπιστοσύνη στο έργο και την ομάδα, και η πίεση πώλησης σκότωσε και έληξε το διακριτικό και η εργασία.

Συμπερασματικά, επιλέξαμε αυτήν την ιστορία επειδή δείχνει δύο σημαντικά πράγματα σχετικά με τα έξυπνα συμβόλαια και τα έργα κρυπτογράφησης, μην κωδικοποιείτε ποτέ μια σύμβαση βιαστικά και επικοινωνείτε πάντα με τις ελεγκτικές εταιρείες, γιατί μόλις συμβεί το hack, είναι πολύ αργά για να σωθεί το σκάφος και Το RING Financial project είναι ένα καλό παράδειγμα, επιπλέον, σύμφωνα με την ανακοίνωσή τους, έχουν έρθει σε επαφή με ελεγκτικές εταιρείες για αυτή τη δεύτερη σύμβαση Node και δεν το δημοσίευσαν δημόσια στο BSCSCAN μέχρι να βεβαιωθούν για την ασφάλειά του. Αλλά όπως ειπώθηκε πριν, ήταν πολύ αργά για την RING Financial και η ζημιά ήταν μη αναστρέψιμη.

Ακολουθούν όλοι οι σύνδεσμοι του σαρωτή και οι διευθύνσεις της σύμβασης:

πορτοφόλι που εκτελεί συναλλαγή για hack exploit: 0xfe58c9e2ecb95757be6f4bca33162cfa346cc34f

 Ring smart-contract address: 0x521ef54063148e5f15f18b9631426175cee23de2

Ring reward pool address: 0xa46cc87eca075c5ae387b86867aa3ee4cb397372

 εκμετάλλευση παραβίασης συναλλαγών:

 TRX 1

    link: https://bscscan.com/tx/0x596d38494ea5ae640b2a556a7029692928f15713d22b5948477c4eb4a92cf68e

TRX 2

    link: https://bscscan.com/tx/0xfc890c855709bb6aeb5177ee31e08751561344402a88af13e7dfd02b9a2f6003

TRX 3

    link: https://bscscan.com/tx/0x35c2f1ed9c5ce13a714af6c0dcbbce8fe720f7d6212232b6dd3657d8799a10f1

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://www.fintechnews.org/how-to-judge-if-a-so-called-hack-that-happened-to-a-crypto-or-blockchain-project-is-legit-or-if-its-just-a-mechanism-to-hide-a-rug/