درس هایی از حمله به Tinyman، بزرگترین DEX در Algorand

وقت خواندن: 5 دقیقه

هک کریپتو در سال 2022 ادامه می یابد زیرا هکرها به آسیب پذیری های شبکه های مختلف حمله می کنند و به میلیون ها دارایی سرقت شده اضافه می کنند. پس از حمله به صرافی غیرمتمرکز آنها که منجر به از دست رفتن حدود 3 میلیون دلار از دارایی‌هایشان شد، جامعه الگوراند سال را با وضعیت بدی آغاز کرد.

بر اساس گزارش ها، در ژانویه 1، 2022، کاربران غیرمجاز مورد حمله قرار گرفتند تینیمن، یک پلت فرم مالی غیرمتمرکز ساخته شده بر روی Algorand. این رویداد در چهار حمله جداگانه انجام شد و به هکرها اجازه داد تا در مورد آن سرقت کنند 3 میلیون دلار از استخرهای داخل پروتکل

گزارشی توسط Tinyman نشان داد که چهار حساب در معرض خطر قرار گرفتند که حدود 250 کاربر را تحت تأثیر قرار داد که دارایی‌های goBTC و goETH بودند. چهل و سه استخر تحت تأثیر 360 فعالیت مخربی قرار گرفتند که توسط 13 آدرس منحصر به فرد انجام شد.

قابل ذکر است، مهاجمان آدرس کیف پول خود را فعال کردند که به آنها اجازه می داد یک سرمایه اولیه برای حمله واریز کنند. علاوه بر این، گزارش شده است که این افراد آسیب‌پذیری‌های ناشناخته قبلی را در قرارداد هوشمند Tinyman نقض کرده‌اند. این به آنها اجازه داد تا دو توکن مشابه را دریافت کنند، که سپس اقدام به مبادله برخی از دارایی ها و ساخت توکن های استخر کردند.

گزارش شده است که حملات به نفع کاربران غیرمجاز بوده است زیرا goBTC دارایی با ارزش تر از ALGO نشانه ای که آنها برای دریافت وجوه بیشتر با آن مبادله کردند. علاوه بر این، مهاجمان قبل از برداشتن دارایی ها به کیف پول های دیگر و صرافی های متمرکز، استخرها را با استیبل کوین ها مبادله کردند.

به عنوان یک پروتکل غیرقابل اعتماد و بدون مجوز، Tinyman به طور مشخص از قراردادهای تغییرناپذیر استفاده می‌کند و این امر باعث می‌شود صرافی نتواند آسیب‌پذیری‌ها را برطرف کند و حمله را به سرعت متوقف کند. با این حال، در نتیجه، آنها فقط می‌توانستند به کاربران خود توصیه کنند که از این پلتفرم استفاده نکنند، زیرا روی رفع مشکل کار می‌کردند.

از آنجایی که تیم Tinyman به بررسی وقوع ادامه می‌دهد، باید به چند حوزه کلیدی رسیدگی شود. این شامل:

اهمیت حسابرسی

با توجه به افزایش تعداد موارد کلاهبرداری و حملات مربوط به رمزنگاری در داخل DeFi و بازار کلی ارزهای دیجیتال، نمی توان به اندازه کافی بر نیاز به سیستم های چک و پاسخگویی تاکید کرد. 

سال گذشته در نوامبر، بیضوییک شرکت جهانی ریسک مدیریت کریپتو، تحقیقاتی را انجام داد که نشان می‌دهد این موضوع به پایان رسیده است 10.5 میلیارد دلار ارزش دارایی‌های DeFi در سال 2021 به دلیل هک و سایر حملات به شبکه‌ها و پروتکل‌ها از بین رفت. 

علاوه بر این، هک‌های مربوط به DeFi به حساب می‌آیند ٪۱۰۰ بر اساس این گزارش، ماهیت غیرقابل اعتماد برنامه های غیرمتمرکز (DApps) در DeFi هم موهبت و هم یک نفرین است. غیرقابل اعتماد بودن، هرگونه کنترل شخص ثالث بر وجوه کاربران را از بین می برد. با این حال، کاربران مجبورند اعتماد کنند که سازندگان پروتکل های مورد نظر هیچ اشتباهی در کدنویسی یا طراحی مرتکب نشده اند که امکان حمله به سیستم را فراهم کند.

ممیزی ها به نهادهای مورد اعتماد اجازه می دهد تا با کدها و طراحی ساختاری یک پروژه، آسیب پذیری ها را بررسی کنند و امنیت کلی را افزایش دهند. ممیزی ها باید به طور مداوم انجام شوند تا با تکنیک های پیچیده و جدیدی که هکرها برای حمله به سیستم ها استفاده می کنند، هماهنگی داشته باشند. در حالی که طبق گزارش ها، Tinyman تحت یک ممیزی قرار گرفته بود، یک بررسی حسابرسی اخیر می توانست به رفع اشکالات یا آسیب پذیری ها و احتمالاً جلوگیری از ضرر کمک کند.

باید خواند شود: چهار بزرگ برای حسابرسی بلاک چین

در حالت ایده آل، ممیزی قرارداد هوشمند باید قبل از اجرای قراردادها انجام شود. این ممیزی ها به دنبال بررسی خطاهای رایج مانند مشکلات پشته، اشتباهات ورود مجدد و سایر عوارض احتمالی هستند. فرآیند ممیزی همچنین خطاهای شناخته شده پلتفرم های میزبان و نقص های امنیتی را بررسی می کند و در عین حال به توسعه دهندگان اجازه می دهد قرارداد هوشمند را آزمایش کنند.

علاوه بر این، ممیزی ها به پروژه ها کمک می کند تا قراردادهای هوشمند خود را دائما بهبود بخشند و اطمینان حاصل کنند که همیشه به روز هستند. به عنوان مثال، پس از حمله، Tinyman مجبور شد قراردادهای هوشمند خود را برای جلوگیری از چنین حملاتی در آینده به روز کند.

بیمه DeFi

قابل ذکر است، قبل از انجام هر گونه ترتیبی در بازار DeFi، کاربران باید خطرات مرتبط با بازار را به طور کامل درک کنند. به غیر از خطرات قرارداد هوشمند، کاربران ممکن است با خطرات اوراکل و خطرات حاکمیتی نیز مواجه شوند. 

با این حال، انجام تحقیقات مناسب در مورد بازارها و پروژه های موجود در آن به کاربران اجازه می دهد تا تصمیمات آگاهانه بگیرند. یکی از این تصمیم‌ها دریافت محافظت در برابر حملات پیش‌بینی نشده از طریق بیمه DeFi است.

بیمه دیفای فرآیند بیمه کردن خود یا خرید پوشش در برابر ضررهایی است که رویدادهای صنعت دیفای ممکن است متحمل شوند. تعداد فزاینده خسارت ها در DeFi باعث ایجاد تقاضا برای محصولات بیمه DeFi شده است زیرا پروژه های جدید روز به روز در حال افزایش هستند. 

معمولاً بسیاری از صرافی‌های آسیب‌دیده پس از حمله به قربانیان خود بازپرداخت می‌کنند. با این حال، برخی از پروژه های هک شده نمی توانند به کاربران خود بازپرداخت کنند.

توجه داشته باشید، تیم Tinyman آمده است تا به کاربران آسیب‌دیده اطمینان دهد که خسارت‌هایشان جبران خواهد شد.

قدرت در جوامع

قابل ذکر است، پس از عمومی شدن اولین حمله، تعداد زیادی هکر از این فرصت استفاده کردند و از هک کپی کردند. آنها از همان آسیب پذیری ها برای اجرای حملات کوچکتر (حملات دوم تا چهارم) در صرافی استفاده کردند. با این حال، تاینیمن با کمک جامعه توانست درصد زیادی از دارایی های خود را پس انداز کند.

در این حملات و حملات مشابه، جوامع به انتشار سریع‌تر اخبار کمک کرده‌اند و به کاربران این امکان را می‌دهند تا اقدامات امنیتی لازم را برای کمک به حفظ امنیت دارایی‌های خود انجام دهند. علاوه بر این، جوامع تا حدی به ایجاد ارتباط و همکاری بهتر بین توسعه دهندگان و کاربران برای رشد کل اکوسیستم کمک کرده اند.

در روزهای اخیر، جوامع مبتنی بر کریپتو به ایجاد انقلاب‌هایی کمک کرده‌اند که منجر به رشد پروژه‌ها در این صنعت شده است.

پسگفتار

در حالی که بلاک چین پیشرفت های فوق العاده ای داشته است، به ویژه در حوزه مالی، این فناوری هنوز کامل نیست. با این حال، صاحبان پروژه، توسعه دهندگان و کاربران به طور یکسان می توانند اقدامات مناسبی را برای اطمینان از امنیت بیشتر در برنامه های مبتنی بر بلاک چین انجام دهند.

با انجام اقدامات پاسخگویی از طریق ممیزی ها و سایر اقدامات مرتبط، پروژه ها می توانند هر گونه باگ یا آسیب پذیری را که می تواند علیه برنامه مورد استفاده قرار گیرد، حذف کند. همچنین، رعایت سایر اقدامات احتیاطی مانند بیمه DeFi و حفظ یک جامعه فشرده در کاهش چنین رویدادهایی مهم است. 

با QuillAudits تماس بگیرید

QuillAudits یک پلت فرم حسابرسی قرارداد هوشمند است که توسط QuillHash
فن آوری ها
این یک پلتفرم حسابرسی است که قراردادهای هوشمند را برای بررسی آسیب‌پذیری‌های امنیتی از طریق بررسی دستی مؤثر با ابزارهای تجزیه و تحلیل استاتیک و دینامیکی، آنالایزرهای گاز و همچنین شبیه‌سازها به‌دقت تجزیه و تحلیل و تأیید می‌کند. علاوه بر این، فرآیند حسابرسی همچنین شامل آزمایش واحد گسترده و همچنین تجزیه و تحلیل ساختاری است.
ما هم ممیزی قرارداد هوشمند و هم تست های نفوذ را برای یافتن پتانسیل انجام می دهیم
آسیب پذیری های امنیتی که ممکن است به یکپارچگی پلت فرم آسیب برساند.

اگر در ممیزی قراردادهای هوشمند نیاز به کمک دارید، با کارشناسان ما تماس بگیرید اینجا!

برای به روز بودن از کار ما، به انجمن ما بپیوندید:

توییتر | لینک | فیس بوک | تلگرام

پست درس هایی از حمله به Tinyman، بزرگترین DEX در Algorand به نظر می رسد برای اولین بار در Blog.quillhash.

منبع: https://blog.quillhash.com/2022/01/lessons-from-the-attack-on-tinyman-largest-dex-on-algorand