وقت خواندن: 5 دقیقه
هک کریپتو در سال 2022 ادامه می یابد زیرا هکرها به آسیب پذیری های شبکه های مختلف حمله می کنند و به میلیون ها دارایی سرقت شده اضافه می کنند. پس از حمله به صرافی غیرمتمرکز آنها که منجر به از دست رفتن حدود 3 میلیون دلار از داراییهایشان شد، جامعه الگوراند سال را با وضعیت بدی آغاز کرد.
بر اساس گزارش ها، در ژانویه 1، 2022، کاربران غیرمجاز مورد حمله قرار گرفتند تینیمن، یک پلت فرم مالی غیرمتمرکز ساخته شده بر روی Algorand. این رویداد در چهار حمله جداگانه انجام شد و به هکرها اجازه داد تا در مورد آن سرقت کنند 3 میلیون دلار از استخرهای داخل پروتکل
گزارشی توسط Tinyman نشان داد که چهار حساب در معرض خطر قرار گرفتند که حدود 250 کاربر را تحت تأثیر قرار داد که داراییهای goBTC و goETH بودند. چهل و سه استخر تحت تأثیر 360 فعالیت مخربی قرار گرفتند که توسط 13 آدرس منحصر به فرد انجام شد.
قابل ذکر است، مهاجمان آدرس کیف پول خود را فعال کردند که به آنها اجازه می داد یک سرمایه اولیه برای حمله واریز کنند. علاوه بر این، گزارش شده است که این افراد آسیبپذیریهای ناشناخته قبلی را در قرارداد هوشمند Tinyman نقض کردهاند. این به آنها اجازه داد تا دو توکن مشابه را دریافت کنند، که سپس اقدام به مبادله برخی از دارایی ها و ساخت توکن های استخر کردند.
گزارش شده است که حملات به نفع کاربران غیرمجاز بوده است زیرا goBTC دارایی با ارزش تر از ALGO نشانه ای که آنها برای دریافت وجوه بیشتر با آن مبادله کردند. علاوه بر این، مهاجمان قبل از برداشتن دارایی ها به کیف پول های دیگر و صرافی های متمرکز، استخرها را با استیبل کوین ها مبادله کردند.
به عنوان یک پروتکل غیرقابل اعتماد و بدون مجوز، Tinyman به طور مشخص از قراردادهای تغییرناپذیر استفاده میکند و این امر باعث میشود صرافی نتواند آسیبپذیریها را برطرف کند و حمله را به سرعت متوقف کند. با این حال، در نتیجه، آنها فقط میتوانستند به کاربران خود توصیه کنند که از این پلتفرم استفاده نکنند، زیرا روی رفع مشکل کار میکردند.
از آنجایی که تیم Tinyman به بررسی وقوع ادامه میدهد، باید به چند حوزه کلیدی رسیدگی شود. این شامل:
اهمیت حسابرسی
با توجه به افزایش تعداد موارد کلاهبرداری و حملات مربوط به رمزنگاری در داخل DeFi و بازار کلی ارزهای دیجیتال، نمی توان به اندازه کافی بر نیاز به سیستم های چک و پاسخگویی تاکید کرد.
سال گذشته در نوامبر، بیضوییک شرکت جهانی ریسک مدیریت کریپتو، تحقیقاتی را انجام داد که نشان میدهد این موضوع به پایان رسیده است 10.5 میلیارد دلار ارزش داراییهای DeFi در سال 2021 به دلیل هک و سایر حملات به شبکهها و پروتکلها از بین رفت.
علاوه بر این، هکهای مربوط به DeFi به حساب میآیند ٪۱۰۰ بر اساس این گزارش، ماهیت غیرقابل اعتماد برنامه های غیرمتمرکز (DApps) در DeFi هم موهبت و هم یک نفرین است. غیرقابل اعتماد بودن، هرگونه کنترل شخص ثالث بر وجوه کاربران را از بین می برد. با این حال، کاربران مجبورند اعتماد کنند که سازندگان پروتکل های مورد نظر هیچ اشتباهی در کدنویسی یا طراحی مرتکب نشده اند که امکان حمله به سیستم را فراهم کند.
ممیزی ها به نهادهای مورد اعتماد اجازه می دهد تا با کدها و طراحی ساختاری یک پروژه، آسیب پذیری ها را بررسی کنند و امنیت کلی را افزایش دهند. ممیزی ها باید به طور مداوم انجام شوند تا با تکنیک های پیچیده و جدیدی که هکرها برای حمله به سیستم ها استفاده می کنند، هماهنگی داشته باشند. در حالی که طبق گزارش ها، Tinyman تحت یک ممیزی قرار گرفته بود، یک بررسی حسابرسی اخیر می توانست به رفع اشکالات یا آسیب پذیری ها و احتمالاً جلوگیری از ضرر کمک کند.
باید خواند شود: چهار بزرگ برای حسابرسی بلاک چین
در حالت ایده آل، ممیزی قرارداد هوشمند باید قبل از اجرای قراردادها انجام شود. این ممیزی ها به دنبال بررسی خطاهای رایج مانند مشکلات پشته، اشتباهات ورود مجدد و سایر عوارض احتمالی هستند. فرآیند ممیزی همچنین خطاهای شناخته شده پلتفرم های میزبان و نقص های امنیتی را بررسی می کند و در عین حال به توسعه دهندگان اجازه می دهد قرارداد هوشمند را آزمایش کنند.
علاوه بر این، ممیزی ها به پروژه ها کمک می کند تا قراردادهای هوشمند خود را دائما بهبود بخشند و اطمینان حاصل کنند که همیشه به روز هستند. به عنوان مثال، پس از حمله، Tinyman مجبور شد قراردادهای هوشمند خود را برای جلوگیری از چنین حملاتی در آینده به روز کند.
بیمه DeFi
قابل ذکر است، قبل از انجام هر گونه ترتیبی در بازار DeFi، کاربران باید خطرات مرتبط با بازار را به طور کامل درک کنند. به غیر از خطرات قرارداد هوشمند، کاربران ممکن است با خطرات اوراکل و خطرات حاکمیتی نیز مواجه شوند.
با این حال، انجام تحقیقات مناسب در مورد بازارها و پروژه های موجود در آن به کاربران اجازه می دهد تا تصمیمات آگاهانه بگیرند. یکی از این تصمیمها دریافت محافظت در برابر حملات پیشبینی نشده از طریق بیمه DeFi است.
بیمه دیفای فرآیند بیمه کردن خود یا خرید پوشش در برابر ضررهایی است که رویدادهای صنعت دیفای ممکن است متحمل شوند. تعداد فزاینده خسارت ها در DeFi باعث ایجاد تقاضا برای محصولات بیمه DeFi شده است زیرا پروژه های جدید روز به روز در حال افزایش هستند.
معمولاً بسیاری از صرافیهای آسیبدیده پس از حمله به قربانیان خود بازپرداخت میکنند. با این حال، برخی از پروژه های هک شده نمی توانند به کاربران خود بازپرداخت کنند.
توجه داشته باشید، تیم Tinyman آمده است تا به کاربران آسیبدیده اطمینان دهد که خسارتهایشان جبران خواهد شد.
قدرت در جوامع
قابل ذکر است، پس از عمومی شدن اولین حمله، تعداد زیادی هکر از این فرصت استفاده کردند و از هک کپی کردند. آنها از همان آسیب پذیری ها برای اجرای حملات کوچکتر (حملات دوم تا چهارم) در صرافی استفاده کردند. با این حال، تاینیمن با کمک جامعه توانست درصد زیادی از دارایی های خود را پس انداز کند.
در این حملات و حملات مشابه، جوامع به انتشار سریعتر اخبار کمک کردهاند و به کاربران این امکان را میدهند تا اقدامات امنیتی لازم را برای کمک به حفظ امنیت داراییهای خود انجام دهند. علاوه بر این، جوامع تا حدی به ایجاد ارتباط و همکاری بهتر بین توسعه دهندگان و کاربران برای رشد کل اکوسیستم کمک کرده اند.
در روزهای اخیر، جوامع مبتنی بر کریپتو به ایجاد انقلابهایی کمک کردهاند که منجر به رشد پروژهها در این صنعت شده است.
پسگفتار
در حالی که بلاک چین پیشرفت های فوق العاده ای داشته است، به ویژه در حوزه مالی، این فناوری هنوز کامل نیست. با این حال، صاحبان پروژه، توسعه دهندگان و کاربران به طور یکسان می توانند اقدامات مناسبی را برای اطمینان از امنیت بیشتر در برنامه های مبتنی بر بلاک چین انجام دهند.
با انجام اقدامات پاسخگویی از طریق ممیزی ها و سایر اقدامات مرتبط، پروژه ها می توانند هر گونه باگ یا آسیب پذیری را که می تواند علیه برنامه مورد استفاده قرار گیرد، حذف کند. همچنین، رعایت سایر اقدامات احتیاطی مانند بیمه DeFi و حفظ یک جامعه فشرده در کاهش چنین رویدادهایی مهم است.
با QuillAudits تماس بگیرید
QuillAudits یک پلت فرم حسابرسی قرارداد هوشمند است که توسط QuillHash
فن آوری ها
این یک پلتفرم حسابرسی است که قراردادهای هوشمند را برای بررسی آسیبپذیریهای امنیتی از طریق بررسی دستی مؤثر با ابزارهای تجزیه و تحلیل استاتیک و دینامیکی، آنالایزرهای گاز و همچنین شبیهسازها بهدقت تجزیه و تحلیل و تأیید میکند. علاوه بر این، فرآیند حسابرسی همچنین شامل آزمایش واحد گسترده و همچنین تجزیه و تحلیل ساختاری است.
ما هم ممیزی قرارداد هوشمند و هم تست های نفوذ را برای یافتن پتانسیل انجام می دهیم
آسیب پذیری های امنیتی که ممکن است به یکپارچگی پلت فرم آسیب برساند.
اگر در ممیزی قراردادهای هوشمند نیاز به کمک دارید، با کارشناسان ما تماس بگیرید اینجا!
برای به روز بودن از کار ما، به انجمن ما بپیوندید:
توییتر | لینک | فیس بوک | تلگرام
پست درس هایی از حمله به Tinyman، بزرگترین DEX در Algorand به نظر می رسد برای اولین بار در Blog.quillhash.
منبع: https://blog.quillhash.com/2022/01/lessons-from-the-attack-on-tinyman-largest-dex-on-algorand
- "
- 2022
- درباره ما
- مطابق
- اقدامات
- فعالیت ها
- الگوراند
- معرفی
- اجازه دادن
- تحلیل
- کاربرد
- برنامه های کاربردی
- دارایی
- دارایی
- حسابرسی
- بودن
- بلاکچین
- مبتنی بر blockchain
- اشکالات
- بنا
- خریداری کردن
- موارد
- چک
- برنامه نویسی
- مشترک
- ارتباط
- جوامع
- انجمن
- شرکت
- ادامه دادن
- ادامه
- قرارداد
- قرارداد
- میتوانست
- سازندگان
- عضو سازمانهای سری ومخفی
- کریپتو کارنسی (رمز ارزها )
- بازار کریستوگرام
- DApps
- روز
- غیر متمرکز
- برنامه های تقسیم شده
- تبادل تقسیم شده
- DEFI
- تقاضا
- طرح
- توسعه دهندگان
- دگزامتازون
- DID
- مختلف
- نمایش دادن
- اکوسیستم
- به خصوص
- واقعه
- حوادث
- تبادل
- مبادلات
- چهره
- فیس بوک
- سرمایه گذاری
- مالی
- نام خانوادگی
- رفع
- معایب
- تقلب
- رایگان
- صندوق
- بودجه
- آینده
- GAS
- گرفتن
- جهانی
- حکومت
- در حال رشد
- رشد
- هک
- هکرها
- هک
- کمک
- HTTPS
- مهم
- افزایش
- صنعت
- بیمه
- بررسی
- IT
- پیوستن
- نگهداری
- کلید
- بزرگ
- رهبری
- لینک
- عمده
- ساخت
- مدیریت
- بازار
- بازارها
- میلیون
- میلیون ها نفر
- طبیعت
- شبکه
- اخبار
- تعداد
- فرصت
- وحی
- دیگر
- صاحبان
- درصد
- سکو
- استخر
- استخرها
- مشکل
- روند
- محصولات
- پروژه
- پروژه ها
- حفاظت
- پروتکل
- عمومی
- سوال
- بالا بردن
- گزارش
- گزارش ها
- تحقیق
- این فایل نقد می نویسید:
- خطر
- امن
- سعید
- تیم امنیت لاتاری
- دانه
- مشابه
- هوشمند
- قرارداد هوشمند
- قراردادهای هوشمند
- گسترش
- استابل کویین
- به سرقت رفته
- سیستم
- سیستم های
- پیشرفته
- آزمون
- تست
- شخص ثالث
- از طریق
- زمان
- رمز
- نشانه
- ابزار
- عظیم
- اعتماد
- منحصر به فرد
- بروزرسانی
- کاربران
- آسیب پذیری ها
- کیف پول
- کیف پول
- در داخل
- مهاجرت کاری
- مشغول به کار
- با ارزش
- سال