Temps de lecture: 5 minutes
Les piratages cryptographiques se poursuivent en 2022 alors que les pirates attaquent les vulnérabilités au sein de différents réseaux, ajoutant à des millions d'actifs volés. La communauté d'Algorand a commencé l'année sur une note amère à la suite d'une attaque contre son échange décentralisé qui a entraîné la perte d'environ 3 millions de dollars d'actifs.
Selon les rapports, sur 1 janvier 2022, utilisateurs non autorisés attaqués Tinyman, une plateforme financière décentralisée basée sur Algorand. L'événement s'est déroulé en quatre attaques distinctes, permettant aux pirates de voler 3 millions de dollars des pools au sein du protocole.
Un rapport de Tinyman a montré que quatre comptes avaient été compromis, ce qui a affecté environ 250 utilisateurs détenant des participations dans goBTC et goETH. Quarante-trois pools ont été affectés par 360 activités malveillantes menées par 13 adresses uniques.
Notamment, les attaquants ont activé leurs adresses de portefeuille, ce qui leur a permis de déposer un fonds d'amorçage pour l'attaque. De plus, ces personnes auraient violé des vulnérabilités jusque-là inconnues sur le contrat intelligent de Tinyman. Cela leur a permis d'obtenir deux des mêmes jetons, qu'ils ont ensuite échangés avec certains des actifs et des jetons de pool frappés.
Les attaques auraient favorisé les utilisateurs non autorisés parce que le allerBTC l'actif avait plus de valeur que le ALGO jeton contre lequel ils ont échangé pour recevoir plus de fonds. En outre, les attaquants ont également échangé des pools avec des stablecoins avant de retirer les actifs vers d'autres portefeuilles et échanges centralisés.
En tant que protocole sans confiance et sans autorisation, Tinyman utilise notamment des contrats immuables, ce qui empêche l'échange de corriger les vulnérabilités et d'arrêter l'attaque rapidement. Cependant, en conséquence, ils ne pouvaient que conseiller à leurs utilisateurs de ne pas utiliser la plate-forme pendant qu'ils travaillaient à résoudre le problème.
Alors que l'équipe de Tinyman continue d'enquêter sur l'incidence, quelques domaines clés doivent être abordés. Ceux-ci inclus:
Importance des audits
Compte tenu de l'augmentation du nombre de cas de fraude et d'attaques liées à la cryptographie au sein de DeFi et de l'ensemble du marché de la crypto-monnaie, la nécessité de systèmes de contrôle et de responsabilité ne peut être suffisamment soulignée.
L'année dernière en novembre, Elliptique, une société mondiale de gestion des risques cryptographiques, a mené des recherches montrant que plus de 10.5 milliard de dollars d'actifs ont été perdus de DeFi en 2021 en raison de piratages et d'autres attaques sur les réseaux et les protocoles.
De plus, les hacks liés à DeFi représentaient 76% de tous les hacks majeurs en 2021. Selon le rapport, la nature sans confiance des applications décentralisées (DApps) au sein de DeFi est à la fois une bénédiction et une malédiction. Être sans confiance élimine tout contrôle tiers des fonds des utilisateurs. Cependant, les utilisateurs sont obligés de croire que les créateurs des protocoles en question n'ont commis aucune erreur dans le codage ou la conception qui pourrait permettre une attaque du système.
Les audits permettent aux entités de confiance de vérifier les vulnérabilités avec les codes et la conception structurelle d'un projet, augmentant ainsi la sécurité globale. Des audits doivent être effectués en permanence pour suivre les techniques sophistiquées et nouvelles que les pirates utilisent pour attaquer les systèmes. Alors que Tinyman aurait subi un audit, une vérification d'audit récente aurait pu aider à corriger les bogues ou les vulnérabilités et éventuellement à prévenir les pertes.
Doit lire: Les quatre grands travaillent vers l'audit de la blockchain
Idéalement, des audits de contrats intelligents devraient être effectués avant le déploiement des contrats. Ces audits visent à vérifier les erreurs courantes telles que les problèmes de pile, les erreurs de réentrée et d'autres complications possibles. Le processus d'audit vérifie également les erreurs connues et les failles de sécurité des plates-formes hôtes tout en permettant aux développeurs de tester le contrat intelligent.
De plus, les audits aident les projets à améliorer constamment leurs contrats intelligents, en s'assurant qu'ils sont toujours à jour. Par exemple, à la suite de l'attaque, Tinyman a été contraint de mettre à jour ses contrats intelligents pour empêcher de telles attaques à l'avenir.
Assurance DeFi
Notamment, avant de prendre des dispositions sur le marché DeFi, les utilisateurs doivent comprendre pleinement les risques associés au marché. Outre les risques liés aux contrats intelligents, les utilisateurs peuvent également être confrontés à des risques d'oracle et à des risques de gouvernance.
Cela dit, mener des recherches appropriées sur les marchés et les projets qui s'y trouvent permet aux utilisateurs de prendre des décisions éclairées. L'une de ces décisions consiste à obtenir une protection contre les attaques imprévues via DeFi Insurance.
L'assurance DeFi est le processus d'assurance ou d'achat d'une couverture contre les pertes que les événements de l'industrie DeFi peuvent subir. Le nombre croissant de pertes au sein de DeFi a créé une demande de produits d'assurance DeFi alors que de nouveaux projets ne cessent d'augmenter de jour en jour.
Habituellement, de nombreux échanges touchés finissent par rembourser leurs victimes après l'attaque. Cependant, certains des projets piratés ne peuvent pas rembourser leurs utilisateurs.
Notez que l'équipe Tinyman est venue assurer les utilisateurs concernés qu'ils seront remboursés pour leurs pertes.
Force dans les communautés
Notamment, après que la première attaque est devenue publique, de nombreux autres pirates ont profité de l'occasion pour copier le hack. Ils ont utilisé les mêmes vulnérabilités pour exécuter des attaques plus petites (deuxième à quatrième attaques) sur l'échange. Cependant, Tinyman a réussi à sauver un grand pourcentage de ses actifs avec l'aide de la communauté.
Dans cette attaque et d'autres similaires, les communautés ont aidé à diffuser les nouvelles plus rapidement, permettant aux utilisateurs de prendre les mesures de sécurité nécessaires pour protéger leurs actifs. De plus, les communautés, dans une certaine mesure, ont aidé à établir une meilleure communication et collaboration entre les développeurs et les utilisateurs pour la croissance de l'ensemble de l'écosystème.
Ces derniers jours, les communautés basées sur la cryptographie ont contribué à susciter des révolutions qui ont conduit à la croissance de projets au sein de l'industrie.
Emballage en place
Alors que la blockchain a fait d'énormes percées, en particulier dans le domaine de la finance, la technologie est loin d'être parfaite. Cependant, les propriétaires de projets, les développeurs et les utilisateurs peuvent prendre les mesures appropriées pour assurer plus de sécurité dans les applications basées sur la blockchain.
En prenant des mesures de responsabilité par le biais d'audits et d'autres mesures pertinentes, les projets peuvent éliminer les bogues ou les vulnérabilités qui pourraient être utilisés contre l'application. De plus, prendre d'autres précautions telles que l'assurance DeFi et maintenir une communauté étroite est important pour atténuer de tels événements.
Contactez QuillAudits
QuillAudits est une plateforme sécurisée d'audits de contrats intelligents conçue par QuillHash
Les technologies.
Il s'agit d'une plate-forme d'audit qui analyse et vérifie rigoureusement les contrats intelligents pour vérifier les vulnérabilités de sécurité grâce à un examen manuel efficace avec des outils d'analyse statiques et dynamiques, des analyseurs de gaz ainsi que des simulateurs. De plus, le processus d'audit comprend également des tests unitaires approfondis ainsi qu'une analyse structurelle.
Nous effectuons à la fois des audits de contrats intelligents et des tests d'intrusion pour trouver le potentiel
vulnérabilités de sécurité qui pourraient nuire à l'intégrité de la plate-forme.
Si vous avez besoin d'aide pour l'audit des contrats intelligents, n'hésitez pas à contacter nos experts ici!
Pour être au courant de notre travail, rejoignez notre communauté : -
Twitter | LinkedIn | Facebook | Telegram
Le poste Leçons de l'attaque sur Tinyman, le plus grand DEX sur Algorand apparaît en premier sur Blog.quillhash.
- "
- 2022
- À propos
- Selon
- actes
- activités
- Algorand
- Tous
- Permettre
- selon une analyse de l’Université de Princeton
- Application
- applications
- atout
- Outils
- audit
- va
- blockchain
- basé sur blockchain
- bogues
- Développement
- Achat
- cas
- Contrôles
- Codage
- Commun
- Communication
- Communautés
- Communautés
- Société
- continuer
- continue
- contrat
- contrats
- pourriez
- créateurs
- Crypto
- crypto-monnaie
- marché de crypto-monnaie
- DApps
- journée
- Décentralisé
- Applications décentralisées
- Échange décentralisé
- DeFi
- Demande
- Conception
- mobiles
- Dex
- DID
- différent
- Commande
- risque numérique
- notamment
- événement
- événements
- échange
- Échanges
- Visage
- finance
- la traduction de documents financiers
- Prénom
- Fixer
- défauts
- fraude
- Test d'anglais
- fund
- fonds
- avenir
- GAS
- obtention
- Global
- gouvernance
- Croissance
- Croissance
- entaille
- les pirates
- hacks
- aider
- HTTPS
- important
- increased
- industrie
- Assurance
- enquêter
- IT
- rejoindre
- en gardant
- clés / KEY :
- gros
- LED
- majeur
- Fabrication
- gestion
- Marché
- Marchés
- million
- des millions
- Nature
- réseaux
- nouvelles
- numéros
- Opportunités
- oracle
- Autre
- propriétaires
- pourcentage
- plateforme
- pool
- Piscines
- Problème
- processus
- Produits
- Projet
- projets
- protection
- protocole
- public
- question
- augmenter
- rapport
- Rapports
- un article
- Avis
- Analyse
- des
- Saïd
- sécurité
- seed
- similaires
- smart
- contrat intelligent
- Contrats intelligents
- propagation
- Stablecoins
- volé
- combustion propre
- Système
- Technologie
- tester
- tests
- des tiers.
- Avec
- fiable
- jeton
- Tokens
- les outils
- énorme
- La confiance
- unique
- Mises à jour
- utilisateurs
- vulnérabilités
- Wallet
- Portefeuilles
- dans les
- Activités:
- travaillé
- vaut
- an
