Ώρα ανάγνωσης: 5 πρακτικά
Οι εισβολές κρυπτογράφησης συνεχίζονται το 2022 καθώς οι χάκερ επιτίθενται σε ευπάθειες σε διαφορετικά δίκτυα, προσθέτοντας σε εκατομμύρια κλεμμένα περιουσιακά στοιχεία. Η κοινότητα του Algorand ξεκίνησε τη χρονιά με άσχημο τρόπο μετά από μια επίθεση στο αποκεντρωμένο χρηματιστήριο που οδήγησε στην απώλεια περιουσιακών στοιχείων αξίας περίπου 3 εκατομμυρίων δολαρίων.
Σύμφωνα με αναφορές, στις Ιανουάριος 1, 2022, επιτέθηκαν μη εξουσιοδοτημένοι χρήστες μικροσκοπικός άνθρωπος, μια αποκεντρωμένη οικονομική πλατφόρμα που βασίζεται στο Algorand. Το συμβάν έγινε σε τέσσερις ξεχωριστές επιθέσεις, επιτρέποντας στους χάκερ να κλέβουν $ 3 εκατομμύρια από πισίνες εντός του πρωτοκόλλου.
Μια αναφορά από την Tinyman έδειξε ότι τέσσερις λογαριασμοί παραβιάστηκαν, γεγονός που επηρέασε περίπου 250 χρήστες με συμμετοχές σε goBTC και goETH. Σαράντα τρεις πισίνες επηρεάστηκαν από 360 κακόβουλες δραστηριότητες που πραγματοποιήθηκαν από 13 μοναδικές διευθύνσεις.
Συγκεκριμένα, οι επιτιθέμενοι ενεργοποίησαν τις διευθύνσεις του πορτοφολιού τους, κάτι που τους επέτρεψε να καταθέσουν ένα αρχικό κεφάλαιο για την επίθεση. Επιπλέον, αυτά τα άτομα φέρεται να παραβίασαν προηγουμένως άγνωστα τρωτά σημεία στο έξυπνο συμβόλαιο του Tinyman. Αυτό τους επέτρεψε να πάρουν δύο από τα ίδια token, τα οποία στη συνέχεια προχώρησαν στην ανταλλαγή ορισμένων περιουσιακών στοιχείων και έκοψαν μάρκες πισίνας.
Οι επιθέσεις φέρεται να ευνόησαν τους μη εξουσιοδοτημένους χρήστες επειδή το goBTC περιουσιακό στοιχείο ήταν πιο πολύτιμο από το ALGO σύμβολο με το οποίο αντάλλαξαν για να λάβουν περισσότερα κεφάλαια. Επιπλέον, οι επιτιθέμενοι αντάλλαξαν επίσης pools με stablecoins πριν αποσύρουν τα περιουσιακά στοιχεία σε άλλα πορτοφόλια και κεντρικά χρηματιστήρια.
Ως πρωτόκολλο χωρίς αξιόπιστο και χωρίς άδεια, το Tinyman χρησιμοποιεί αμετάβλητα συμβόλαια, καθιστώντας αδύνατο για την ανταλλαγή να διορθώσει τα τρωτά σημεία και να σταματήσει γρήγορα την επίθεση. Ωστόσο, ως αποτέλεσμα, μπορούσαν μόνο να συμβουλεύσουν τους χρήστες τους να μην χρησιμοποιούν την πλατφόρμα καθώς εργάζονταν για τη διόρθωση του προβλήματος.
Καθώς η ομάδα του Tinyman συνεχίζει να ερευνά το περιστατικό, πρέπει να αντιμετωπιστούν ορισμένοι βασικοί τομείς. Αυτά περιλαμβάνουν:
Σημασία των Ελέγχων
Δεδομένου του αυξημένου αριθμού υποθέσεων απάτης και επιθέσεων που σχετίζονται με κρυπτογράφηση εντός του DeFi και της συνολικής αγοράς κρυπτονομισμάτων, η ανάγκη για συστήματα ελέγχων και λογοδοσία δεν μπορεί να τονιστεί αρκετά.
Πέρυσι τον Νοέμβριο, Ελλειπτικές, μια παγκόσμια εταιρεία κινδύνου διαχείρισης κρυπτογράφησης, διεξήγαγε έρευνα που έδειξε ότι τελείωσε $ 10.5 δισ. αξίας περιουσιακών στοιχείων χάθηκαν από το DeFi το 2021 λόγω hacks και άλλων επιθέσεων σε δίκτυα και πρωτόκολλα.
Επιπλέον, αντιπροσώπευαν τα hacks που σχετίζονται με το DeFi 76% από όλα τα μεγάλα hacks το 2021. Σύμφωνα με την έκθεση, η φύση των Αποκεντρωμένων εφαρμογών (DApps) εντός του DeFi είναι τόσο ευλογία όσο και κατάρα. Το να είσαι αξιόπιστος εξαλείφει τον έλεγχο των κεφαλαίων των χρηστών από τρίτους. Ωστόσο, οι χρήστες αναγκάζονται να εμπιστεύονται ότι οι δημιουργοί των εν λόγω πρωτοκόλλων δεν έκαναν λάθη στην κωδικοποίηση ή στο σχεδιασμό που θα μπορούσαν να επιτρέψουν επίθεση στο σύστημα.
Οι έλεγχοι επιτρέπουν σε αξιόπιστες οντότητες να ελέγχουν για τρωτά σημεία με τους κωδικούς και τον δομικό σχεδιασμό ενός έργου, αυξάνοντας τη συνολική ασφάλεια. Οι έλεγχοι πρέπει να διενεργούνται συνεχώς για να συμβαδίζουν με τις εξελιγμένες και νέες τεχνικές που χρησιμοποιούν οι χάκερ για να επιτεθούν σε συστήματα. Ενώ το Tinyman φέρεται να είχε υποβληθεί σε έλεγχο, ένας πρόσφατος έλεγχος θα μπορούσε να είχε βοηθήσει να διορθωθούν τα σφάλματα ή τα τρωτά σημεία και πιθανώς να αποφευχθούν οι απώλειες.
Πρέπει να διαβάσετε: Οι Τέσσερις Μεγάλοι Εργάζονται προς τον Έλεγχο Blockchain
Στην ιδανική περίπτωση, οι έξυπνοι έλεγχοι συμβολαίων θα πρέπει να γίνονται πριν από την ανάπτυξη των συμβάσεων. Αυτοί οι έλεγχοι επιδιώκουν να ελέγξουν για κοινά σφάλματα, όπως προβλήματα στοίβας, λάθη επανεισαγωγής και άλλες πιθανές επιπλοκές. Η διαδικασία ελέγχου ελέγχει επίσης για γνωστά σφάλματα και ελαττώματα ασφαλείας των πλατφορμών υποδοχής, ενώ επιτρέπει στους προγραμματιστές να δοκιμάσουν το έξυπνο συμβόλαιο.
Επιπλέον, οι έλεγχοι βοηθούν τα έργα να βελτιώνουν συνεχώς τα έξυπνα συμβόλαιά τους, διασφαλίζοντας ότι είναι πάντα ενημερωμένα. Για παράδειγμα, μετά την επίθεση, η Tinyman αναγκάστηκε να ενημερώσει τα έξυπνα συμβόλαιά της για να αποτρέψει τέτοιες επιθέσεις στο μέλλον.
Ασφάλιση DeFi
Συγκεκριμένα, πριν προβούν σε οποιαδήποτε διευθέτηση εντός της αγοράς DeFi, οι χρήστες πρέπει να κατανοήσουν πλήρως τους κινδύνους που συνδέονται με την αγορά. Εκτός από τους κινδύνους έξυπνων συμβολαίων, οι χρήστες ενδέχεται επίσης να αντιμετωπίσουν κινδύνους χρησμού και κινδύνους διακυβέρνησης.
Τούτου λεχθέντος, η διεξαγωγή κατάλληλης έρευνας για τις αγορές και τα έργα σε αυτές επιτρέπει στους χρήστες να λαμβάνουν τεκμηριωμένες αποφάσεις. Μια τέτοια απόφαση είναι η λήψη προστασίας για απρόβλεπτες επιθέσεις μέσω της DeFi Insurance.
Η ασφάλιση DeFi είναι η διαδικασία ασφάλισης του εαυτού ή αγοράς κάλυψης έναντι ζημιών που ενδέχεται να υποστούν γεγονότα στον κλάδο του DeFi. Ο αυξανόμενος αριθμός ζημιών στο DeFi έχει δημιουργήσει ζήτηση για ασφαλιστικά προϊόντα DeFi καθώς τα νέα έργα αυξάνονται μέρα με τη μέρα.
Συνήθως, πολλά ανταλλακτήρια που επηρεάζονται καταλήγουν να αποζημιώνουν τα θύματά τους μετά την επίθεση. Ωστόσο, ορισμένα από τα χακαρισμένα έργα δεν μπορούν να αποζημιώσουν τους χρήστες τους.
Σημειώστε ότι η ομάδα του Tinyman εμφανίστηκε για να διαβεβαιώσει τους επηρεαζόμενους χρήστες ότι θα αποζημιωθούν για τις απώλειές τους.
Δύναμη στις Κοινότητες
Συγκεκριμένα, μετά τη δημοσιοποίηση της πρώτης επίθεσης, πολλοί περισσότεροι χάκερ βρήκαν την ευκαιρία να αντιγράψουν το hack. Χρησιμοποίησαν τα ίδια τρωτά σημεία για να εκτελέσουν μικρότερες επιθέσεις (δεύτερη έως τέταρτη επιθέσεις) στην ανταλλαγή. Ωστόσο, η Tinyman κατάφερε να σώσει ένα μεγάλο ποσοστό των περιουσιακών τους στοιχείων με τη βοήθεια της κοινότητας.
Σε αυτήν και σε παρόμοιες επιθέσεις, οι κοινότητες βοήθησαν στην ταχύτερη διάδοση των ειδήσεων, επιτρέποντας στους χρήστες να λάβουν τις απαραίτητες ενέργειες ασφαλείας για να διατηρήσουν ασφαλή τα περιουσιακά τους στοιχεία. Επιπλέον, οι κοινότητες, σε κάποιο βαθμό, έχουν βοηθήσει στην οικοδόμηση καλύτερης επικοινωνίας και συνεργασιών μεταξύ προγραμματιστών και χρηστών για την ανάπτυξη ολόκληρου του οικοσυστήματος.
Τις τελευταίες ημέρες, κοινότητες που βασίζονται σε κρυπτογράφηση βοήθησαν στην αύξηση των επαναστάσεων που οδήγησαν στην ανάπτυξη έργων στον κλάδο.
Ολοκληρώνοντας
Ενώ το blockchain έχει κάνει τεράστιες ανακαλύψεις, ειδικά στον τομέα των οικονομικών, η τεχνολογία απέχει πολύ από το να είναι τέλεια. Ωστόσο, οι ιδιοκτήτες έργων, οι προγραμματιστές και οι χρήστες μπορούν να λάβουν τα κατάλληλα μέτρα για να εξασφαλίσουν περισσότερη ασφάλεια στις εφαρμογές που βασίζονται σε blockchain.
Λαμβάνοντας μέτρα λογοδοσίας μέσω ελέγχων και άλλων σχετικών μέτρων, τα έργα μπορούν να εξαλείψουν τυχόν σφάλματα ή τρωτά σημεία που θα μπορούσαν να χρησιμοποιηθούν στην εφαρμογή. Επίσης, η λήψη άλλων προφυλάξεων, όπως η ασφάλιση DeFi και η διατήρηση μιας στενής κοινότητας είναι σημαντική για τον μετριασμό τέτοιων συμβάντων.
Απευθυνθείτε στο QuillAudits
Το QuillAudits είναι μια ασφαλής πλατφόρμα έξυπνων ελέγχων συμβολαίων που σχεδιάστηκε από QuillHash
Τεχνολογίες.
Πρόκειται για μια πλατφόρμα ελέγχου που αναλύει και επαληθεύει αυστηρά τα έξυπνα συμβόλαια για τον έλεγχο των τρωτών σημείων ασφαλείας μέσω αποτελεσματικής μη αυτόματης αναθεώρησης με εργαλεία στατικής και δυναμικής ανάλυσης, αναλυτές αερίων καθώς και προσομοιωτές. Επιπλέον, η διαδικασία ελέγχου περιλαμβάνει επίσης εκτεταμένες δοκιμές μονάδων καθώς και δομική ανάλυση.
Διενεργούμε τόσο έξυπνους ελέγχους συμβολαίων όσο και δοκιμές διείσδυσης για να βρούμε δυνατότητες
ευπάθειες ασφαλείας που μπορεί να βλάψουν την ακεραιότητα της πλατφόρμας.
Εάν χρειάζεστε βοήθεια στον έλεγχο των έξυπνων συμβολαίων, μη διστάσετε να απευθυνθείτε στους ειδικούς μας εδώ!
Για να είστε ενημερωμένοι με τη δουλειά μας, εγγραφείτε στην κοινότητά μας:-
Twitter | LinkedIn | Facebook | Telegram
Ο ορθοστάτης Μαθήματα από το The Attack On Tinyman, το μεγαλύτερο DEX στο Algorand εμφανίστηκε για πρώτη φορά σε Blog.quillhash.
Πηγή: https://blog.quillhash.com/2022/01/lessons-from-the-attack-on-tinyman-largest-dex-on-algorand
- "
- 2022
- Σχετικά
- Σύμφωνα με
- ενεργειών
- δραστηριοτήτων
- Αλγκόραντ
- Όλα
- Επιτρέποντας
- ανάλυση
- Εφαρμογή
- εφαρμογές
- προσόν
- Ενεργητικό
- έλεγχος
- είναι
- blockchain
- βασισμένο στο blockchain
- σφάλματα
- Κτίριο
- Εξαγορά
- περιπτώσεις
- έλεγχοι
- Κωδικοποίηση
- Κοινός
- Επικοινωνία
- Κοινοτήτων
- κοινότητα
- εταίρα
- ΣΥΝΕΧΕΙΑ
- συνεχίζεται
- σύμβαση
- συμβάσεις
- θα μπορούσε να
- δημιουργούς
- κρυπτο
- cryptocurrency
- αγορά κρυπτογράφησης
- dapps
- ημέρα
- Αποκεντρωμένη
- Αποκεντρωμένες Εφαρμογές
- Αποκεντρωμένη ανταλλαγή
- Defi
- Ζήτηση
- Υπηρεσίες
- προγραμματιστές
- Dex
- DID
- διαφορετικές
- Display
- οικοσύστημα
- ειδικά
- Συμβάν
- εκδηλώσεις
- ανταλλαγή
- Χρηματιστήρια
- Πρόσωπο
- χρηματοδότηση
- οικονομικός
- Όνομα
- σταθερός
- ελαττώματα
- απάτη
- Δωρεάν
- κεφάλαιο
- χρήματα
- μελλοντικός
- GAS
- να πάρει
- Παγκόσμιο
- διακυβέρνησης
- Μεγαλώνοντας
- Ανάπτυξη
- σιδηροπρίονο
- χάκερ
- αμυχές
- βοήθεια
- HTTPS
- σημαντικό
- αυξημένη
- βιομηχανία
- ασφάλιση
- διερευνήσει
- IT
- ενταχθούν
- τήρηση
- Κλειδί
- large
- Led
- μεγάλες
- Κατασκευή
- διαχείριση
- αγορά
- αγορές
- εκατομμύριο
- εκατομμύρια
- Φύση
- δίκτυα
- νέα
- αριθμοί
- Ευκαιρία
- μαντείο
- ΑΛΛΑ
- ιδιοκτήτες
- ποσοστό
- πλατφόρμες
- πισίνα
- Πισίνες
- Πρόβλημα
- διαδικασια μας
- Προϊόντα
- σχέδιο
- έργα
- προστασία
- πρωτόκολλο
- δημόσιο
- ερώτηση
- αύξηση
- αναφέρουν
- Εκθέσεις
- έρευνα
- ανασκόπηση
- Κίνδυνος
- ένα ασφαλές
- Είπε
- ασφάλεια
- σπόρος
- παρόμοιες
- έξυπνος
- έξυπνη σύμβαση
- Έξυπνα συμβόλαια
- διάδοση
- Σταθερά ελαιόλαδα
- κλαπεί
- σύστημα
- συστήματα
- Τεχνολογία
- δοκιμή
- δοκιμές
- τρίτους
- Μέσω
- ώρα
- ένδειξη
- κουπόνια
- εργαλεία
- καταπληκτικός
- Εμπιστευθείτε
- μοναδικός
- Ενημέρωση
- Χρήστες
- Θέματα ευπάθειας
- Πορτοφόλι
- Πορτοφόλια
- εντός
- Εργασία
- εργάστηκαν
- αξία
- έτος
