Jelas, setelah apa yang terjadi dengan MtGox atau QuadrigaCX atau kasus serupa di mana pendiri mengklaim bahwa mereka kehilangan kunci pribadi yang memegang sebagian besar aset digital pertukaran mereka saat menghilang atau ditemukan tewas kemudian, orang-orang di dunia crypto semakin curiga ketika mendengar tentang a meretas sebuah proyek, dan pikiran pertama yang terlintas dalam pikiran adalah bahwa para pendiri pada dasarnya mengosongkan dana dan kabur dengannya, itulah yang biasa disebut RUG.
Ini mungkin terjadi di banyak proyek, tetapi tidak harus di semua proyek, jadi hari ini kami melihat kasus yang kami yakini sebagai peretasan nyata karena sifat situasinya.
Kami pikir ini adalah kasus yang menarik untuk dianalisis karena ini akan membantu untuk lebih memahami pentingnya keamanan dan audit dalam kontrak pintar atau proyek terkait blockchain secara umum.
Kami akan menganalisis secara objektif drama yang terjadi pada proyek RING Financial, sebuah token yang diluncurkan di BSC (Binance Blockchain).
Sebelum sampai pada peretasan, pertama-tama kami akan meringkas proyek dan situasinya sebelumnya:
RING Financial sebelum peretasan
Finansial RING adalah proyek DeFi dengan tujuan membuat DeFi lebih mudah diakses oleh komunitas DeFi dan crypto. Proyek ambisius yang ingin membuat protokol penghasil simpul yang akan diatur oleh Pemegang Node dan mengalokasikan likuiditas ke lebih dari 300 protokol sekaligus. Tujuannya adalah untuk mendapatkan akses ke semua protokol melalui satu RING Node dan melalui RING Dapp.
Protokol-protokol ini diverifikasi oleh tim dan kemudian komunitas akan memilihnya di mana akan dialokasikan. Konsep pemungutan suara yang sama seperti yang Anda miliki di DAO yang membuat RING cukup menarik.
RING Financial juga menyederhanakan banyak proses penelitian dan proses penyebaran untuk satu Pemegang Node. Satu Dapp untuk mengakses semua Dapp lainnya sehingga Anda hanya memerlukan satu antarmuka, bukan 300 antarmuka berbeda dengan akses dan node mereka sendiri.
Akhirnya, tujuan RING Financial adalah untuk mengurangi biaya penerapan pada protokol yang berbeda, dengan volume datang biaya transaksi yang lebih rendah untuk pemegang individu yang merupakan salah satu nilai jual utama proyek. Sebuah proyek dengan bakat dan ambisi untuk mempermudah masyarakat dan bahkan lebih utama bagi mereka yang tidak mengetahui Defi.
Namun bakat dan ambisi tidak selalu cukup dan Anda membutuhkan keahlian dan pengetahuan yang jarang ditemukan di pasar baru dan belum matang dan itulah sebabnya RING Financial tidak dapat memenuhi janjinya sepenuhnya.
Jadi apa yang sebenarnya terjadi dengan RING Financial? Dan kenapa bisa diretas? Berkat blockchain kami memiliki semua bukti forensik yang diperlukan untuk menyelidiki hal ini dan melihat di mana letak kerentanannya dan mengapa RING Financial bukan scam.
RING Financial HACK terjadi pada 5 Desember 2021 antara pukul 2:01 dan 2:06 UTC.
Ya, semuanya terjadi hanya dalam 5 menit! Berkat pemindai blockchain untuk perincian ini, omong-omong, kami menyediakan Anda tepat di bawah tautan transaksi yang terkait dengan HACK serta alamat kontrak bagi mereka yang ingin mencari lebih detail.
Berikut ringkasan yang menjelaskan kelemahan yang telah dieksploitasi penyerang:
Anda harus memahami bahwa kontrak pintar RING Financial terdiri dari beberapa bagian, satu untuk token dan semua data yang terkait dengannya dan satu lagi untuk semua yang terkait dengan penghitungan node dan hadiah. Bagian dari token memiliki keamanan sehingga hanya administrator kontrak yang dapat memodifikasi data penting yang satu ini, untuk menunjukkan kepada Anda beberapa kode, berikut adalah header dari fungsi kontrak yang dilindungi melalui atribut “onlyOwner' yang menetapkan bahwa fungsi hanya dapat dijalankan oleh administrator:
Sebuah fungsi yang tidak memiliki hanya Pemilik atribut (atau atribut yang setara untuk melindungi akses fungsi) dapat dijalankan oleh siapa saja.
Sekarang, coba tebak? Fungsi pada bagian Node dan Hadiah tidak memiliki atribut ini, seperti yang dapat Anda lihat dengan melihat nama fungsi di bawah (the hanya Pemilik atribut tidak ada):
Dan seperti yang dapat Anda bayangkan, seorang peretas mengeksploitasi dan menipu kelemahan ini untuk mendapatkan hadiah dalam jumlah eksponensial di RING, lalu membuangnya ke kumpulan likuiditas dan mengosongkannya hampir secara paksa dalam beberapa menit. Karena itu, dia melakukan penipuannya.
Sekarang Anda mungkin bertanya pada diri sendiri dua pertanyaan:
Bagaimana mungkin pengembang meninggalkan celah seperti itu?
Setelah berbicara dengan pengembang Solidity (bahasa yang digunakan untuk mengkode kontrak pintar di Ethereum), ini adalah kesalahan terkait pewarisan peran antara dua kontrak pintar, pewarisan adalah gagasan bahasa pemrograman dan agar tidak membuat Anda pusing, kami akan tetap dengan kata-kata sederhana: Pada dasarnya, sangat mungkin orang yang membuat kode kontrak berpikir bahwa fungsi bagian Node mewarisi peran keamanan dari fungsi bagian Token, tetapi sayangnya tidak demikian halnya di Solidity, dan perlu untuk mendefinisikan kembali peran masing-masing fungsi dari setiap kontrak, apa pun kaitannya. Jadi kesimpulan kami tentang poin ini adalah bahwa pengembang bukanlah seorang ahli dan dia mungkin menerbitkan kontrak TANPA meluangkan waktu untuk membacanya lagi, mungkin terburu-buru.
Bagaimana Anda tahu bahwa bukan pengembangnya sendiri yang meninggalkan cacat ini dengan sengaja dan itu bukan scam?
Keberatan yang sangat bagus dan mudah untuk menganggap penipuan ketika Anda tidak yakin tentang caranya kontrak pintar berfungsi tetapi sebenarnya sangat mudah untuk menganggap pengembang tidak bersalah, karena dia menerbitkan dan memverifikasi seluruh kode kontrak pintar secara publik di BSCSCAN.COM (pemindai paling populer dari Binance Blockchain), pada 19 November 2021, bahwa artinya, lebih dari dua minggu sebelum RING Financial HACK terjadi. Dan seperti yang dijelaskan sebelumnya, cacat itu ditulis dalam HITAM DI PUTIH dalam kontrak, dan pengembang berpengalaman mana pun akan menyadarinya dan bereaksi, tetapi sayangnya, yang pertama tidak memiliki belas kasihan sama sekali. Oleh karena itu jelas bahwa pengembang tidak menyadari kekurangan ini karena dia tidak akan mengambil risiko untuk membiarkan siapa pun membunuh proyek Keuangan RING kapan saja.
Untuk kembali melanjutkan RING Financial HACK, pengembang menyadari kesalahannya dan hanya membekukan kontrak untuk menghentikan distribusi hadiah apa pun sehingga penyerang tidak mengosongkan kumpulan sepenuhnya. Dia kemudian menerapkan kembali kontrak Node, kali ini dengan atribut keamanan "onlyOwner". Kontrak Node baru ini dapat menangani distribusi hadiah baru dengan benar, kecuali sudah terlambat, karena sebagai akibat dari HACK, semua kepercayaan telah hilang dalam proyek dan tim, dan tekanan penjualan mematikan dan mengakhiri token dan proyek.
Sebagai kesimpulan, kami memilih cerita ini karena ini menunjukkan dua hal penting tentang kontrak pintar dan proyek crypto, jangan pernah membuat kode kontrak dengan tergesa-gesa dan selalu hubungi firma audit, karena begitu peretasan terjadi, sudah terlambat untuk menyelamatkan perahu, dan Proyek Keuangan RING adalah contoh yang baik, mereka juga, menurut komunikasi mereka, menghubungi firma audit untuk kontrak Node kedua ini dan tidak mempostingnya secara publik di BSCSCAN sampai mereka yakin akan keamanannya. Tapi seperti yang dikatakan sebelumnya, sudah terlambat bagi RING Financial, dan kerusakannya tidak dapat diperbaiki.
Berikut ini semua tautan pemindai dan alamat kontrak:
dompet mengeksekusi transaksi untuk mengeksploitasi peretasan: 0xfe58c9e2ecb95757be6f4bca33162cfa346cc34f
Ring smart-contract address: 0x521ef54063148e5f15f18b9631426175cee23de2
Ring reward pool address: 0xa46cc87eca075c5ae387b86867aa3ee4cb397372
eksploitasi peretasan transaksi:
TRX 1
link: https://bscscan.com/tx/0x596d38494ea5ae640b2a556a7029692928f15713d22b5948477c4eb4a92cf68e
TRX 2
link: https://bscscan.com/tx/0xfc890c855709bb6aeb5177ee31e08751561344402a88af13e7dfd02b9a2f6003
TRX 3
link: https://bscscan.com/tx/0x35c2f1ed9c5ce13a714af6c0dcbbce8fe720f7d6212232b6dd3657d8799a10f1
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://www.fintechnews.org/how-to-judge-if-a-so-called-hack-that-happened-to-a-crypto-or-blockchain-project-is-legit-or-if-its-just-a-mechanism-to-hide-a-rug/
- :adalah
- 2021
- a
- Sanggup
- Tentang Kami
- mengakses
- dapat diakses
- Menurut
- akuntansi
- sebenarnya
- alamat
- alamat
- Setelah
- Semua
- selalu
- ambisi
- ambisius
- menganalisa
- dan
- Lain
- siapapun
- ADALAH
- AS
- Aktiva
- At
- menarik
- audit
- perusahaan audit
- audit
- Pada dasarnya
- BE
- karena
- sebelum
- Percaya
- di bawah
- Lebih baik
- antara
- binansi
- Black
- blockchain
- Terkait Blockchain
- perahu
- BSC
- by
- bernama
- CAN
- kasus
- kasus
- Menyebabkan
- tertentu
- diklaim
- kode
- COM
- bagaimana
- kedatangan
- umum
- Komunikasi
- masyarakat
- sama sekali
- tersusun
- konsep
- menyimpulkan
- kesimpulan
- kontak
- kelanjutan
- kontrak
- bisa
- membuat
- kripto
- komunitas crypto
- proyek crypto
- DAO
- dapp
- DApps
- data
- mati
- Desember
- Defi
- penggelaran
- penyebaran
- rinci
- rincian
- Pengembang
- pengembang
- MELAKUKAN
- berbeda
- digital
- Aset-Aset Digital
- kelenyapan
- distribusi
- Drama
- setiap
- mudah
- cukup
- Seluruh
- sepenuhnya
- Setara
- kesalahan
- ethereum
- Bahkan
- segala sesuatu
- bukti
- contoh
- Kecuali
- Bursa
- mengeksekusi
- berpengalaman
- ahli
- keahlian
- menjelaskan
- menjelaskan
- Mengeksploitasi
- dieksploitasi
- eksponensial
- Biaya
- beberapa
- keuangan
- Menemukan
- perusahaan
- Pertama
- cacat
- Untuk
- Forensik
- ditemukan
- pendiri
- fungsi
- fungsi
- dana
- Umum
- mendapatkan
- baik
- terjangan
- hack
- hacker
- menangani
- terjadi
- Terjadi
- Memiliki
- mendengar
- membantu
- di sini
- menyembunyikan
- pemegang
- pemegang
- memegang
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- HTTPS
- IBM
- pentingnya
- penting
- in
- makin
- sendiri-sendiri
- warisan
- sebagai gantinya
- menarik
- Antarmuka
- IT
- NYA
- jpg
- hakim
- kunci-kunci
- Membunuh
- Tahu
- pengetahuan
- bahasa
- Terlambat
- diluncurkan
- Meninggalkan
- Legit
- Mungkin
- LINK
- link
- Likuiditas
- kolam likuiditas
- mencari
- Lot
- terbuat
- Utama
- Arus utama
- Mayoritas
- membuat
- Membuat
- banyak
- pasar
- max-width
- mekanisme
- keberatan
- menit
- hilang
- memodifikasi
- lebih
- Selain itu
- paling
- Paling Populer
- mtgox.dll
- nama
- Alam
- perlu
- perlu
- Perlu
- New
- simpul
- node
- Gagasan
- November
- jumlah
- Jelas
- of
- on
- ONE
- urutan
- Lainnya
- sendiri
- bagian
- bagian
- Konsultan Ahli
- orang
- terpilih
- plato
- Kecerdasan Data Plato
- Data Plato
- Titik
- poin
- kolam
- Populer
- Pos
- tekanan
- swasta
- Kunci Pribadi
- mungkin
- proses
- Pemrograman
- proyek
- memprojeksikan
- janji
- melindungi
- terlindung
- protokol
- protokol
- memberikan
- di depan umum
- diterbitkan
- tujuan
- QuadrigaCX
- Pertanyaan
- LANGKA
- Baca
- nyata
- menyadari
- menurunkan
- terkait
- penelitian
- mengakibatkan
- kembali
- Pahala
- Hadiah
- Cincin
- Risiko
- Peran
- peran
- Run
- Tersebut
- sama
- Save
- Scam
- penipuan
- Pencarian
- Kedua
- keamanan
- Penjualan
- beberapa
- Menunjukkan
- Pertunjukkan
- mirip
- Sederhana
- disederhanakan
- hanya
- tunggal
- situasi
- kontrak pintar
- So
- soliditas
- beberapa
- tinggal
- berhenti
- Cerita
- seperti itu
- meringkaskan
- RINGKASAN
- mencurigakan
- pengambilan
- pembicaraan
- tim
- Terima kasih
- bahwa
- Grafik
- mereka
- Mereka
- karena itu
- Ini
- hal
- pikir
- Melalui
- waktu
- untuk
- hari ini
- token
- terlalu
- .
- Biaya Transaksi
- Transaksi
- Kepercayaan
- memahami
- UTC
- diverifikasi
- melalui
- volume
- Memilih
- Pemungutan suara
- Kerentanan
- ingin
- Cara..
- minggu
- BAIK
- Apa
- yang
- sementara
- putih
- SIAPA
- akan
- dengan
- tanpa
- kata
- Kerja
- akan
- tertulis
- penurut
- Kamu
- diri
- zephyrnet.dll
