Tempo per leggere: 5 verbale
Gli hack delle criptovalute continuano nel 2022 mentre gli hacker attaccano le vulnerabilità all'interno di reti diverse, aggiungendosi a milioni di risorse rubate. La comunità di Algorand ha iniziato l'anno con una nota amara a seguito di un attacco al loro scambio decentralizzato che ha portato alla perdita di beni per un valore di circa 3 milioni di dollari.
Secondo i rapporti, il Gennaio 1, 2022, utenti non autorizzati attaccati minuscolo, una piattaforma finanziaria decentralizzata costruita su Algorand. L'evento è stato eseguito in quattro attacchi separati, consentendo agli hacker di sgattaiolare $3 milioni dai pool all'interno del protocollo.
Un rapporto di Tinyman ha mostrato che quattro account sono stati compromessi, il che ha colpito circa 250 utenti con partecipazioni in goBTC e goETH. Quarantatré pool sono stati interessati da 360 attività dannose svolte da 13 indirizzi univoci.
In particolare, gli aggressori hanno attivato i loro indirizzi di portafoglio che hanno permesso loro di depositare un fondo iniziale per l'attacco. Inoltre, queste persone avrebbero violato vulnerabilità precedentemente sconosciute sullo smart contract di Tinyman. Ciò ha permesso loro di ottenere due degli stessi token, che hanno poi proceduto a scambiare alcune delle risorse e dei token pool coniati.
Secondo quanto riferito, gli attacchi hanno favorito gli utenti non autorizzati perché il goBTC bene era più prezioso del ALGO token con cui hanno scambiato per ricevere più fondi. Inoltre, gli aggressori hanno anche scambiato pool con stablecoin prima di ritirare le risorse su altri portafogli e scambi centralizzati.
In quanto protocollo trustless e senza autorizzazione, Tinyman utilizza in particolare contratti immutabili, rendendo impossibile per lo scambio correggere le vulnerabilità e fermare rapidamente l'attacco. Tuttavia, di conseguenza, potevano solo consigliare ai propri utenti di non utilizzare la piattaforma mentre lavoravano per risolvere il problema.
Mentre il team di Tinyman continua a indagare sull'incidenza, è necessario affrontare alcune aree chiave. Questi includono:
Importanza degli audit
Dato il numero crescente di casi di frode e attacchi legati alle criptovalute all'interno della DeFi e del mercato generale delle criptovalute, la necessità di sistemi di controllo e responsabilità non può essere enfatizzata abbastanza.
L'anno scorso a novembre, Ellittico, una società globale di rischio di gestione delle criptovalute, ha condotto una ricerca che dimostra che è finita $10.5 miliardi un valore di risorse è stato perso dalla DeFi nel 2021 a causa di hack e altri attacchi a reti e protocolli.
Inoltre, sono stati presi in considerazione gli hack relativi alla DeFi 76% di tutti i principali hack nel 2021. Secondo il rapporto, la natura affidabile delle applicazioni decentralizzate (DApp) all'interno della DeFi è sia una benedizione che una maledizione. Essere senza fiducia elimina qualsiasi controllo di terze parti sui fondi degli utenti. Tuttavia, gli utenti sono costretti a fidarsi che i creatori dei protocolli in questione non abbiano commesso errori di codifica o di progettazione che potrebbero consentire un attacco al sistema.
Gli audit consentono a entità fidate di verificare la presenza di vulnerabilità con i codici e la progettazione strutturale di un progetto, aumentando la sicurezza generale. Gli audit dovrebbero essere effettuati costantemente per stare al passo con le nuove e sofisticate tecniche utilizzate dagli hacker per attaccare i sistemi. Sebbene Tinyman fosse stato sottoposto a un controllo, un recente controllo di controllo avrebbe potuto aiutare a correggere i bug o le vulnerabilità e possibilmente a prevenire le perdite.
Devi leggere: I quattro grandi che lavorano per l'auditing blockchain
Idealmente, gli audit dei contratti intelligenti dovrebbero essere eseguiti prima della distribuzione dei contratti. Questi controlli cercano di verificare la presenza di errori comuni come problemi di stack, errori di rientro e altre possibili complicazioni. Il processo di audit verifica anche la presenza di errori noti e falle di sicurezza delle piattaforme host, consentendo agli sviluppatori di testare lo smart contract.
Inoltre, gli audit aiutano i progetti a migliorare costantemente i loro contratti intelligenti, assicurando che siano sempre aggiornati. Ad esempio, in seguito all'attacco, Tinyman è stata costretta ad aggiornare i propri contratti intelligenti per prevenire tali attacchi in futuro.
Assicurazione DeFi
In particolare, prima di prendere accordi all'interno del mercato DeFi, gli utenti devono comprendere appieno i rischi associati al mercato. Oltre ai rischi degli smart contract, gli utenti potrebbero anche affrontare rischi di Oracle e di governance.
Detto questo, condurre una ricerca adeguata sui mercati e sui progetti in essi contenuti consente agli utenti di prendere decisioni informate. Una di queste decisioni è ottenere protezione per attacchi imprevisti tramite DeFi Insurance.
L'assicurazione DeFi è il processo per assicurarsi se stessi o acquistare una copertura contro le perdite che potrebbero subire eventi nel settore della DeFi. Il numero crescente di perdite all'interno della DeFi ha creato una domanda di prodotti assicurativi DeFi poiché i nuovi progetti continuano ad aumentare di giorno in giorno.
Di solito, molti scambi colpiti finiscono per rimborsare le loro vittime dopo l'attacco. Tuttavia, alcuni dei progetti compromessi non possono rimborsare i propri utenti.
Nota, il team di Tinyman si è fatto avanti per assicurare agli utenti interessati che saranno rimborsati per le loro perdite.
Forza nelle comunità
In particolare, dopo che il primo attacco è diventato pubblico, molti altri hacker hanno colto l'occasione per copiare l'hacking. Hanno utilizzato le stesse vulnerabilità per eseguire attacchi più piccoli (dal secondo al quarto attacco) sullo scambio. Tuttavia, Tinyman è riuscita a salvare una grande percentuale dei propri beni con l'aiuto della comunità.
In questo e in altri attacchi simili, le comunità hanno contribuito a diffondere le notizie più velocemente, consentendo agli utenti di intraprendere le azioni di sicurezza necessarie per mantenere le proprie risorse al sicuro. Inoltre, le comunità, in una certa misura, hanno contribuito a costruire una migliore comunicazione e collaborazioni tra sviluppatori e utenti per la crescita dell'intero ecosistema.
Negli ultimi giorni, le comunità basate sulle criptovalute hanno contribuito a suscitare rivoluzioni che hanno portato alla crescita di progetti all'interno del settore.
Concludendo
Sebbene la blockchain abbia fatto enormi progressi, specialmente all'interno della finanza, la tecnologia è tutt'altro che perfetta. Tuttavia, i proprietari dei progetti, gli sviluppatori e gli utenti allo stesso modo possono adottare misure appropriate per garantire maggiore sicurezza all'interno delle applicazioni basate su blockchain.
Adottando misure di responsabilità attraverso audit e altre misure pertinenti, i progetti possono eliminare eventuali bug o vulnerabilità che potrebbero essere utilizzati contro l'applicazione. Inoltre, prendere altre precauzioni come l'assicurazione DeFi e mantenere una comunità ristretta è importante per mitigare tali eventi.
Contatta QuillAudits
QuillAudits è una piattaforma di audit dei contratti intelligenti sicura progettata da QuillHash
Technologies.
È una piattaforma di auditing che analizza e verifica rigorosamente i contratti intelligenti per verificare le vulnerabilità della sicurezza attraverso un'efficace revisione manuale con strumenti di analisi statica e dinamica, analizzatori di gas e assimilatori. Inoltre, il processo di audit include anche test di unità approfonditi e analisi strutturali.
Conduciamo sia audit sui contratti intelligenti che test di penetrazione per trovare il potenziale
vulnerabilità di sicurezza che potrebbero danneggiare l'integrità della piattaforma.
Se hai bisogno di assistenza nell'audit dei contratti intelligenti, non esitare a contattare i nostri esperti qui!
Per essere aggiornato con il nostro lavoro, unisciti alla nostra comunità:-
Twitter | LinkedIn | Facebook | Telegram
Il post Lezioni dall'attacco a Tinyman, il più grande DEX su Algorand apparve prima Blog.quillhash.
Fonte: https://blog.quillhash.com/2022/01/lessons-from-the-attack-on-tinyman-largest-dex-on-algorand
- "
- 2022
- Chi siamo
- Secondo
- azioni
- attività
- Algorand
- Tutti
- Consentire
- .
- Applicazioni
- applicazioni
- attività
- Attività
- revisione
- essendo
- blockchain
- blockchain-based
- bug
- Costruzione
- Acquisto
- casi
- Controlli
- codifica
- Uncommon
- Comunicazione
- Comunità
- comunità
- azienda
- continua
- continua
- contratto
- contratti
- potuto
- creatori
- crypto
- criptovaluta
- mercato delle criptovalute
- DApp
- giorno
- decentrata
- Applicazioni decentralizzate
- Scambio decentralizzato
- DeFi
- Richiesta
- Design
- sviluppatori
- Dex
- DID
- diverso
- Dsiplay
- ecosistema
- particolarmente
- Evento
- eventi
- exchange
- Cambi Merce
- Faccia
- finanziare
- finanziario
- Nome
- Fissare
- difetti
- frode
- Gratis
- fondo
- fondi
- futuro
- GAS
- ottenere
- globali
- la governance
- Crescita
- Crescita
- incidere
- hacker
- hack
- Aiuto
- HTTPS
- importante
- è aumentato
- industria
- assicurazione
- indagare
- IT
- join
- conservazione
- Le
- grandi
- Guidato
- maggiore
- Fare
- gestione
- Rappresentanza
- Mercati
- milione
- milioni
- Natura
- reti
- notizie
- numeri
- Opportunità
- oracolo
- Altro
- proprietari
- percentuale
- piattaforma
- pool
- Piscine
- Problema
- processi
- Prodotti
- progetto
- progetti
- protezione
- protocollo
- la percezione
- domanda
- aumentare
- rapporto
- Report
- riparazioni
- recensioni
- Rischio
- sicura
- Suddetto
- problemi di
- seme
- simile
- smart
- smart contract
- Smart Contract
- diffondere
- Stablecoins
- rubare
- sistema
- SISTEMI DI TRATTAMENTO
- Tecnologia
- test
- test
- di parti terze standard
- Attraverso
- tempo
- token
- Tokens
- strumenti
- enorme
- Affidati ad
- unico
- Aggiornanento
- utenti
- vulnerabilità
- Portafoglio
- Portafogli
- entro
- Lavora
- lavorato
- valore
- anno
