Ilmeisesti sen jälkeen mitä tapahtui MtGoxille tai QuadrigaCX:lle tai vastaaville tapauksille, joissa perustajat väittivät menettäneensä suurimman osan pörssiensä digitaalisista varoista sisältävät yksityiset avaimet katoaessaan tai löydettyään myöhemmin kuolleena, krypto-sfäärin ihmiset ovat yhä epäluuloisempia kuultuaan hakkeroida projektia, ja ensimmäinen ajatus, joka tulee mieleen, on, että perustajat ovat periaatteessa tyhjentäneet rahaston ja karanneet sen kanssa, sitä kutsutaan yleisesti RUGiksi.
Näin on luultavasti ollut monissa projekteissa, mutta ei välttämättä kaikissa, joten tänään tarkastelemme tapausta, jonka uskomme olevan todellinen hakkerointi tilanteen luonteen vuoksi.
Mielestämme tapaus on mielenkiintoinen analysoitavaksi, koska se auttaa ymmärtämään paremmin turvallisuuden ja auditointien merkitystä älykkäisiin sopimuksiin tai lohkoketjuihin liittyvissä projekteissa yleensä.
Analysoimme objektiivisesti draamaa, joka tapahtui BSC:ssä (Binance Blockchain) käynnistetylle RING Financial -projektille.
Ennen kuin tulemme hakkerointiin, teemme ensin yhteenvedon projektista ja sen tilanteesta ennen sitä:
RING Financial ennen hakkerointia
RING Financial oli DeFi-projekti, jonka tavoitteena oli tehdä DeFistä helpommin DeFi- ja kryptoyhteisön saavutettavissa. Kunnianhimoinen projekti, joka halusi luoda solmun tuottavan protokollan, jota node Holders hallitsee ja jakaa likviditeettiä yli 300 protokollaan kerralla. Tavoitteena oli päästä käsiksi kaikkiin protokolliin yhden RING-solmun ja RING Dappin kautta.
Ryhmä vahvisti nämä protokollat, ja sitten yhteisö äänestää niistä, mihin ne jaetaan. Sama äänestyskonsepti kuin sinulla olisi DAO:ssa, mikä teki RINGistä varsin houkuttelevan.
RING Financial yksinkertaisti myös melko paljon tutkimusprosessia ja käyttöönottoprosessia yhdelle Node Holderille. Yksi Dapp käyttää kaikkia muita Dappeja, joten tarvitset vain yhden käyttöliittymän 300 erilaisen käyttöliittymän sijaan, jossa on omat pääsyt ja omat solmut.
Lopuksi RING Financialin tavoitteena oli alentaa eri protokollien käyttöönoton maksuja, volyymin myötä yksittäisten haltijoiden transaktiomaksut ovat alhaisemmat, mikä oli yksi projektin tärkeimmistä myyntivalteista. Projekti, jolla on kekseliäisyyttä ja kunnianhimoa helpottaa asioita yhteisölle ja vielä enemmän valtavirtaa niille, jotka eivät tiedä Defiä.
Silti hohto ja kunnianhimo eivät aina riitä ja tarvitset asiantuntemusta ja tietoa, mikä uusilla ja kehittymättömillä markkinoilla on harvinainen löytö ja minkä vuoksi RING Financial ei pystynyt täysin toteuttamaan lupaustaan.
Mitä RING Financialille sitten oikein tapahtui? Ja miksi se hakkeroitiin? Lohkoketjun ansiosta meillä on kaikki tarvittavat rikostekniset todisteet syventyäksemme tähän ja nähdäksemme missä haavoittuvuudet olivat ja miksi RING Financial ei ollut huijaus.
RING Financial HACK tapahtui 5. joulukuuta 2021 klo 2–01 UTC.
Kyllä, kaikki tapahtui kirjaimellisesti vain 5 minuutissa! Kiitos blockchain-skannerille näistä tiedoista, muuten tarjoamme sinulle HACKiin liittyvien transaktioiden linkit sekä sopimuksen osoitteen niille, jotka haluavat etsiä tarkemmin.
Tässä yhteenveto, joka selittää hyökkääjän käyttämän puutteen:
Sinun on ymmärrettävä, että RING Financialin älysopimus koostui useista osista, joista yksi koski tokeniä ja kaikkea siihen liittyvää dataa ja toinen kaikesta, mikä liittyy solmujen ja palkkioiden kirjanpitoon. Tunnuksen osassa oli suojaus, joten vain sopimuksen ylläpitäjä voi muokata tämän tärkeitä tietoja, näyttääkseen sinulle koodin, tässä on sopimuksen funktion otsikko, joka on suojattu attribuutilla "onlyOwner" jossa määrätään, että toiminnon voi suorittaa vain järjestelmänvalvoja:
Toiminto, jolla ei ole ainoa omistaja attribuutti (tai vastaava attribuutti funktion pääsyn suojaamiseksi) voidaan suorittaa käytännössä kuka tahansa.
Arvaa nyt mitä? Solmut ja palkinnot -osan funktioilla ei ollut tätä attribuuttia, kuten näet alla olevista toimintojen nimistä ( ainoa omistaja attribuutti puuttuu):
Ja kuten voitte kuvitella, hakkeri käytti hyväkseen ja huijasi tätä virhettä saadakseen eksponentiaalisen määrän palkintoja RINGissä, ja heitti ne sitten likviditeettipooliin ja tyhjensi sen melkein väkivaltaisesti muutamassa minuutissa. Näin ollen hän syyllistyi huijauksiinsa.
Nyt kysyt todennäköisesti itseltäsi kaksi kysymystä:
Kuinka kehittäjät voivat jättää tällaisen porsaanreiän?
Keskusteltuamme Solidity-kehittäjien kanssa (kieli, jota käytetään älykkäiden sopimusten koodaamiseen Ethereumissa), tämä on virhe, joka liittyy roolin periytymiseen kahden älykkään sopimuksen välillä, perinnöllisyys on ohjelmointikielen käsite, ja jotta emme aiheuttaisi sinulle päänsärkyä, jääköön yksinkertaisiksi sanoiksi: Pohjimmiltaan on hyvin todennäköistä, että sopimuksen koodannut henkilö luuli, että solmuosan toiminnot ovat perineet Token-osan toimintojen turvallisuusroolit, mutta näin ei valitettavasti ole Solidityssä, ja on tarpeen määritellä uudelleen kunkin sopimuksen kunkin toiminnon roolit niiden yhteydestä riippumatta. Joten johtopäätöksemme tästä asiasta on, että kehittäjä ei ollut asiantuntija ja että hän luultavasti julkaisi sopimuksen ILMAN aikaa sen lukemiseen, luultavasti kiireessä.
Mistä tiedät, ettei kehittäjä itse jättänyt tätä puutetta tarkoituksella, eikä kyseessä ollut huijaus?
Erittäin hyvä vastalause ja on helppo olettaa huijaus, kun et ole varma kuinka älykkäät sopimukset mutta itse asiassa on erittäin helppoa olettaa kehittäjän syyttömyyttä, koska hän julkaisi ja vahvisti älysopimuksen koko koodin julkisesti BSCSCAN.COM-sivustolla (Binance Blockchainin suosituin skanneri) 19. marraskuuta 2021, että eli yli kaksi viikkoa ennen kuin RING Financial HACK tapahtui. Ja kuten aiemmin selitettiin, virhe oli kirjoitettu MUSTA VALKOISELLA sopimukseen, ja jokainen kokenut kehittäjä olisi huomannut sen ja reagoinut, mutta valitettavasti ensimmäinen, joka ei armahtanut ollenkaan. Siksi on ilmeistä, että kehittäjä ei ollut tietoinen tästä puutteesta, koska hän ei olisi ottanut riskiä antaa kenenkään tappaa RING Financial -projektin milloin tahansa.
Palatakseen RING Financial HACKin jatkoon kehittäjä ymmärsi virheensä ja yksinkertaisesti jäädytti sopimuksen estääkseen palkintojen jakamisen, jotta hyökkääjä ei tyhjennä poolia kokonaan. Sitten hän sijoitti uudelleen Node-sopimuksen, tällä kertaa tietoturvaattribuutilla "onlyOwner". Tämä uusi Node-sopimus pystyi käsittelemään uuden palkkionjaon oikein, paitsi että se oli liian myöhäistä, koska HACKin seurauksena kaikki luottamus projektiin ja tiimiin oli menetetty ja myyntipaine tappoi ja lopetti tokenin ja projekti.
Lopuksi valitsimme tämän tarinan, koska se osoittaa kaksi tärkeää asiaa älykkäistä sopimuksista ja kryptoprojekteista, älä koskaan koodaa sopimusta kiireessä ja ota aina yhteyttä tilintarkastustoimistoihin, koska hakkeroinnin tapahtuessa on liian myöhäistä pelastaa vene. RING Financial -projekti on hyvä esimerkki, he ovat lisäksi ottamalla yhteyttä tilintarkastusyrityksiin tämän toisen Node-sopimuksen vuoksi eivätkä julkaisseet sitä julkisesti BSCSCANissa ennen kuin olivat varmoja sen turvallisuudesta. Mutta kuten aiemmin sanottiin, RING Financialille oli liian myöhäistä, ja vahinko oli peruuttamaton.
Tässä ovat kaikki skannerin linkit ja sopimusosoitteet:
lompakko suorittaa tapahtuman hakkerointia varten: 0xfe58c9e2ecb95757be6f4bca33162cfa346cc34f
Ring smart-contract address: 0x521ef54063148e5f15f18b9631426175cee23de2
Ring reward pool address: 0xa46cc87eca075c5ae387b86867aa3ee4cb397372
tapahtuman hakkeroinnin hyväksikäyttö:
TRX 1
link: https://bscscan.com/tx/0x596d38494ea5ae640b2a556a7029692928f15713d22b5948477c4eb4a92cf68e
TRX 2
link: https://bscscan.com/tx/0xfc890c855709bb6aeb5177ee31e08751561344402a88af13e7dfd02b9a2f6003
TRX 3
link: https://bscscan.com/tx/0x35c2f1ed9c5ce13a714af6c0dcbbce8fe720f7d6212232b6dd3657d8799a10f1
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://www.fintechnews.org/how-to-judge-if-a-so-called-hack-that-happened-to-a-crypto-or-blockchain-project-is-legit-or-if-its-just-a-mechanism-to-hide-a-rug/
- :On
- 2021
- a
- pystyy
- Meistä
- pääsy
- saatavilla
- Mukaan
- kirjanpito
- todella
- osoite
- osoitteet
- Jälkeen
- Kaikki
- aina
- kunnianhimo
- kunnianhimoinen
- analysoida
- ja
- Toinen
- joku
- OVAT
- AS
- Varat
- At
- houkutteleva
- tilintarkastus
- tilintarkastusyhteisöt
- tarkastukset
- Pohjimmiltaan
- BE
- koska
- ennen
- Uskoa
- alle
- Paremmin
- välillä
- binance
- Musta
- blockchain
- Lohkoketjuun liittyvä
- vene
- BSC
- by
- nimeltään
- CAN
- tapaus
- tapauksissa
- Aiheuttaa
- tietty
- väitti
- koodi
- KOM
- Tulla
- tuleva
- yleisesti
- Viestintä
- yhteisö
- täysin
- kokoonpanossa
- käsite
- päättelee
- johtopäätös
- ottaa yhteyttä
- jatkaminen
- sopimus
- voisi
- luoda
- Crypto
- salausyhteisö
- salausprojektit
- DAO
- DAPP
- DApps
- tiedot
- kuollut
- joulukuu
- defi
- levityspinnalta
- käyttöönotto
- yksityiskohta
- yksityiskohdat
- Kehittäjä
- kehittäjille
- DID
- eri
- digitaalinen
- Digitaaliset varat
- katoamassa
- jakelu
- Draama
- kukin
- helpompaa
- tarpeeksi
- Koko
- täysin
- Vastaava
- virhe
- ethereum
- Jopa
- kaikki
- näyttö
- esimerkki
- Paitsi
- Vaihto
- täytäntöönpanosta
- kokenut
- asiantuntija
- asiantuntemus
- selitti
- selitetään
- Käyttää hyväkseen
- hyödynnetään
- räjähdysmäinen
- Maksut
- harvat
- taloudellinen
- Löytää
- yritykset
- Etunimi
- virhe
- varten
- oikeusopillinen
- löytyi
- perustajat
- toiminto
- tehtävät
- rahasto
- general
- saada
- hyvä
- hakata
- hakkeroitu
- hakkeri
- kahva
- tapahtui
- tapahtuu
- Olla
- kuulla
- auttaa
- tätä
- Piilottaa
- haltija
- haltijat
- pito
- Miten
- Miten
- HTTPS
- IBM
- merkitys
- tärkeä
- in
- yhä useammin
- henkilökohtainen
- perintö
- sen sijaan
- mielenkiintoinen
- liitäntä
- IT
- SEN
- jpg
- tuomari
- avaimet
- Tappaa
- Tietää
- tuntemus
- Kieli
- Myöhään
- käynnistettiin
- jättää
- Legit
- Todennäköisesti
- LINK
- linkit
- likviditeetti
- maksuvalmiuspooli
- näköinen
- Erä
- tehty
- tärkein
- Valtavirta
- Enemmistö
- tehdä
- Tekeminen
- monet
- markkinat
- max-width
- mekanismi
- mielessä
- minuuttia
- puuttuva
- muokata
- lisää
- Lisäksi
- eniten
- Suosituin
- mtgox
- nimet
- luonto
- välttämättä
- välttämätön
- Tarve
- Uusi
- solmu
- solmut
- Käsite
- marraskuu
- numero
- Ilmeinen
- of
- on
- ONE
- tilata
- Muut
- oma
- osa
- osat
- Ihmiset
- henkilö
- poimitaan
- Platon
- Platonin tietotieto
- PlatonData
- Kohta
- pistettä
- pool
- Suosittu
- Kirje
- paine
- yksityinen
- Yksityiset avaimet
- todennäköisesti
- prosessi
- Ohjelmointi
- projekti
- hankkeet
- lupaus
- suojella
- suojattu
- protokolla
- protokollat
- toimittaa
- julkisesti
- julkaistu
- tarkoitus
- QuadrigaCX
- kysymykset
- HARVINAINEN
- Lue
- todellinen
- tajusi
- vähentää
- liittyvä
- tutkimus
- johtua
- palata
- Palkinto
- Palkkiot
- Rengas
- Riski
- Rooli
- roolit
- ajaa
- Said
- sama
- Säästä
- Huijaus
- huijauksia
- Haku
- Toinen
- turvallisuus
- myynti
- useat
- näyttää
- Näytä
- samankaltainen
- Yksinkertainen
- yksinkertaistettu
- yksinkertaisesti
- single
- tilanne
- älykäs sopimus
- So
- kiinteys
- jonkin verran
- pysyä
- stop
- Tarina
- niin
- yhteenveto
- YHTEENVETO
- epäilyttävä
- ottaen
- puhuminen
- joukkue-
- Kiitos
- että
- -
- heidän
- Niitä
- siksi
- Nämä
- asiat
- ajatus
- Kautta
- aika
- että
- tänään
- symbolinen
- liian
- kauppa
- Kaupankäyntikulut
- Liiketoimet
- Luottamus
- ymmärtää
- UTC
- todennettu
- kautta
- tilavuus
- Äänestää
- Äänestys
- haavoittuvuuksia
- halusi
- Tapa..
- viikkoa
- HYVIN
- Mitä
- joka
- vaikka
- valkoinen
- KUKA
- tulee
- with
- ilman
- sanoja
- Referenssit
- olisi
- kirjallinen
- tuottaen
- Voit
- itse
- zephyrnet
