ברור שאחרי מה שקרה עם MtGox או QuadrigaCX או מקרים דומים שבהם מייסדים טענו שהם איבדו את המפתחות הפרטיים המחזיקים את רוב הנכסים הדיגיטליים של הבורסות שלהם בזמן שנעלמו או נמצאו מתים מאוחר יותר, אנשים בתחום הקריפטו יותר ויותר חושדים כשהם שומעים על לפרוץ לפרויקט, והמחשבה הראשונה שעולה בראש היא שהמייסדים בעצם רוקנו את הקרן וברחו איתה, זה מה שנהוג לכנות RUG.
זה כנראה קרה בפרויקטים רבים, אבל לא בהכרח בכולם, אז היום אנחנו בוחנים מקרה שלדעתנו הוא פריצה אמיתית בגלל אופי המצב.
אנו חושבים שזה מקרה מעניין לנתח מכיוון שהוא יעזור להבין טוב יותר את החשיבות של אבטחה וביקורות בפרויקטים הקשורים לחוזים חכמים או לבלוקצ'יין באופן כללי.
ננתח באופן אובייקטיבי את הדרמה שקרה לפרויקט RING Financial, אסימון שהושק ב-BSC (Binance Blockchain).
לפני שנגיע לפריצה, נסכם תחילה את הפרויקט ומצבו לפניו:
RING פיננסי לפני הפריצה
RING financial היה פרויקט DeFi במטרה להפוך את DeFi לנגיש יותר לקהילת DeFi והקריפטו. פרויקט שאפתני שרצה ליצור פרוטוקול מניב צמתים שיישלט על ידי מחזיקי צומת ויקצה נזילות ליותר מ-300 פרוטוקולים בו זמנית. המטרה הייתה לקבל גישה לכל הפרוטוקולים דרך צומת RING אחד ודרך ה-RING Dapp.
הפרוטוקולים הללו אומתו על ידי הצוות ואז הקהילה תצביע עליהם לאן להקצות. אותו רעיון של הצבעה כמו שהיה לך ב-DAO מה שהפך את RING לאטרקטיבי למדי.
RING Financial גם פישט די הרבה מתהליך המחקר ותהליך הפריסה עבור מחזיק צומת יחיד אחד. Dapp אחד כדי לגשת לכל שאר ה-Dapps כך שתצטרך רק ממשק אחד במקום 300 שונים עם גישה משלהם וצמתים משלהם.
לבסוף, המטרה של RING Financial הייתה להפחית את העמלות עבור פריסה על פרוטוקולים שונים, כאשר הנפח מגיע עמלות עסקה נמוכות יותר עבור מחזיקים בודדים, שהיו אחת מנקודות המכירה העיקריות של הפרויקט. פרויקט עם כשרון ואמביציה להקל על הקהילה ועוד יותר מיינסטרים למי שלא מודע לדפי.
עם זאת, כישרון ואמביציה לא תמיד מספיקים ואתם צריכים מומחיות וידע שבשווקים חדשים ולא בוגרים הוא ממצא נדיר וזו הסיבה ש-RING Financial לא יכלה לעמוד בהבטחתה לחלוטין.
אז מה באמת קרה עם RING Financial? ולמה זה נפרץ? הודות לבלוקצ'יין יש לנו את כל הראיות המשפטיות הדרושות כדי להתעמק בזה ולראות היכן היו הפגיעויות ומדוע RING Financial לא הייתה הונאה.
הפריצה הפיננסית של RING אירעה ב-5 בדצמבר 2021 בין 2:01 ל-2:06 UTC.
כן, הכל קרה ממש תוך 5 דקות בלבד! תודה לסורק הבלוקצ'יין על הפרטים הללו, אגב, אנו מספקים לכם ממש מתחת לקישורים של העסקאות הקשורות ל-HACK וכן את כתובת החוזה למי שירצה לחפש ביתר פירוט.
הנה התקציר המסביר את הפגם שהתוקף ניצל:
עליכם להבין שהחוזה החכם של RING Financial הורכב מכמה חלקים, אחד עבור האסימון וכל הנתונים הקשורים אליו ועוד אחד עבור כל מה שקשור לחשבונאות של צמתים ותגמולים. לחלק של האסימון היה אבטחה כך שרק מנהל החוזה יכול לשנות את הנתונים החשובים של זה, כדי להראות לך קצת קוד, הנה כותרת של פונקציה של החוזה המוגנת באמצעות התכונה "onlyOwner" מה שקובע שהפונקציה יכולה להתבצע רק על ידי המנהל:
פונקציה שאין לה an בעלים בלבד תכונה (או תכונה מקבילה להגנה על הגישה של הפונקציה) יכול להתבצע על ידי כל אחד.
עכשיו, נחשו מה? לפונקציות בחלק הצמתים והתגמולים לא הייתה תכונה זו, כפי שניתן לראות על ידי התבוננות בשמות הפונקציות למטה (ה בעלים בלבד חסרה תכונה):
וכפי שאתם יכולים לדמיין, האקר ניצל ורימה את הפגם הזה כדי לקבל מספר אקספוננציאלי של תגמולים ב-RING, ואז זרק אותם למאגר הנזילות וכמעט רוקן אותו באלימות תוך כמה דקות. לפיכך, הוא ביצע את ההונאות שלו.
עכשיו אתה בוודאי שואל את עצמך שתי שאלות:
איך יכלו היזמים להשאיר פרצה כזו?
לאחר שיחה עם מפתחי Solidity (השפה המשמשת לקוד חוזים חכמים ב-Ethereum), זו שגיאה הקשורה לירושת התפקידים בין שני חוזים חכמים, ירושה היא מושג של שפת תכנות וכדי לא לגרום לך לכאב ראש, אנחנו יישאר במילים פשוטות: בעיקרון, סביר מאוד שהאדם שקודד את החוזה חשב שהפונקציות של ה-Node ירשו את תפקידי האבטחה של הפונקציות של ה-Token, אבל זה למרבה הצער לא המקרה ב-Solidity, ו יש צורך להגדיר מחדש את התפקידים של כל פונקציה של כל חוזה, לא משנה מה הקשר שלהם. אז המסקנה שלנו בנקודה הזו היא שהיזם לא היה מומחה ושהוא כנראה פרסם את החוזה מבלי שהקדיש זמן לקרוא אותו שוב, כנראה מיהר.
איך אתה יודע שזה לא היזם עצמו שהשאיר את הפגם הזה בכוונה וזה לא היה הונאה?
התנגדות טובה מאוד וקל להניח הונאה כאשר אינך בטוח כיצד חוזים חכמים עובד אבל למעשה קל מאוד להניח את חפותו של היזם, כי הוא פרסם ואימת את כל הקוד של החוזה החכם בפומבי ב-BSCSCAN.COM (הסורק הפופולרי ביותר של Binance Blockchain), ב-19 בנובמבר 2021, כי כלומר, יותר משבועיים לפני שהפריצה הפיננסית של RING אירעה. וכפי שהוסבר קודם, הפגם היה כתוב ב-BLACK ON WHITE בחוזה, וכל מפתח מנוסה היה שם לב אליו ומגיב, אבל למרבה הצער, הראשון שלא רחם כלל. לפיכך ברור שהיזם לא היה מודע לפגם זה מכיוון שהוא לא היה לוקח את הסיכון לתת לאף אחד להרוג את פרויקט RING פיננסי בכל עת.
כדי לחזור להמשך ה-RING Financial HACK, היזם הבין את הטעות שלו ופשוט הקפיא את החוזה כדי לעצור כל חלוקת תגמולים כדי שהתוקף לא ירוקן את המאגר לגמרי. לאחר מכן הוא פרס מחדש חוזה Node, הפעם עם תכונת האבטחה "onlyOwner". חוזה ה-Node החדש הזה הצליח לטפל נכון בחלוקת התגמולים החדשה, אלא שזה היה מאוחר מדי, כי כתוצאה מה-HACK כל האמון בפרויקט ובצוות אבד, ולחץ המכירה הרג וגמר את האסימון ו הפרויקט.
לסיום, בחרנו את הסיפור הזה כי הוא מראה שני דברים חשובים על חוזים חכמים ופרויקטי קריפטו, לעולם אל תקודד חוזה בחיפזון ותמיד צור קשר עם משרדי הביקורת, כי ברגע שהפריצה מתרחשת, זה מאוחר מדי להציל את הסירה, ו פרויקט פיננסי של RING הוא דוגמה טובה, הם יתר על כן, על פי התקשורת שלהם, יצרו קשר עם משרדי ביקורת עבור חוזה הצומת השני הזה ולא פרסמו אותו בפומבי ב-BSCSCAN עד שהם היו בטוחים באבטחתו. אבל כאמור, זה היה מאוחר מדי עבור RING Financial, והנזק היה בלתי הפיך.
להלן כל הקישורים של הסורק וכתובות החוזה:
ארנק מבצע עסקה עבור ניצול פריצה: 0xfe58c9e2ecb95757be6f4bca33162cfa346cc34f
Ring smart-contract address: 0x521ef54063148e5f15f18b9631426175cee23de2
Ring reward pool address: 0xa46cc87eca075c5ae387b86867aa3ee4cb397372
ניצול פריצת עסקאות:
TRX 1
link: https://bscscan.com/tx/0x596d38494ea5ae640b2a556a7029692928f15713d22b5948477c4eb4a92cf68e
TRX 2
link: https://bscscan.com/tx/0xfc890c855709bb6aeb5177ee31e08751561344402a88af13e7dfd02b9a2f6003
TRX 3
link: https://bscscan.com/tx/0x35c2f1ed9c5ce13a714af6c0dcbbce8fe720f7d6212232b6dd3657d8799a10f1
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://www.fintechnews.org/how-to-judge-if-a-so-called-hack-that-happened-to-a-crypto-or-blockchain-project-is-legit-or-if-its-just-a-mechanism-to-hide-a-rug/
- :הוא
- 2021
- a
- יכול
- אודות
- גישה
- נגיש
- פי
- חשבונאות
- למעשה
- כתובת
- כתובות
- לאחר
- תעשיות
- תמיד
- שאיפה
- שאפתן
- לנתח
- ו
- אחר
- כל אחד
- ARE
- AS
- נכסים
- At
- מושך
- ביקורת
- משרדי רואי חשבון
- ביקורת
- בעיקרון
- BE
- כי
- לפני
- תאמינו
- להלן
- מוטב
- בֵּין
- binance
- שחור
- blockchain
- קשור לבלוקצ'יין
- סירה
- BSC
- by
- נקרא
- CAN
- מקרה
- מקרים
- לגרום
- מסוים
- נתבע
- קוד
- COM
- איך
- מגיע
- בדרך כלל
- תקשורת
- קהילה
- לחלוטין
- מורכב
- מושג
- מסכם
- מסקנה
- צור קשר
- המשך
- חוזה
- יכול
- לִיצוֹר
- קריפטו
- קהילת קריפטו
- פרויקטים של קריפטו
- DAO
- דפ
- DAPs
- נתונים
- מת
- דֵצֶמבֶּר
- DeFi
- פריסה
- פריסה
- פרט
- פרטים
- מפתח
- מפתחים
- DID
- אחר
- דיגיטלי
- נכסים דיגיטליים
- נעלם
- הפצה
- דרמה
- כל אחד
- קל יותר
- מספיק
- שלם
- לַחֲלוּטִין
- שווה
- שגיאה
- ethereum
- אֲפִילוּ
- הכל
- עדות
- דוגמה
- אלא
- בורסות
- מבצע
- מנוסה
- מומחה
- מומחיות
- מוסבר
- המסביר
- לנצל
- ומנוצל
- מעריכי
- אגרות
- מעטים
- כספי
- חברות
- ראשון
- פגם
- בעד
- משפטי
- מצא
- המייסדים
- פונקציה
- פונקציות
- קרן
- כללי
- לקבל
- טוב
- לפרוץ
- פרוצים
- האקר
- לטפל
- קרה
- קורה
- יש
- לִשְׁמוֹעַ
- לעזור
- כאן
- הסתר
- מחזיק
- מחזיקים
- מחזיק
- איך
- איך
- HTTPS
- יבמ
- חשיבות
- חשוב
- in
- יותר ויותר
- בנפרד
- ירושה
- במקום
- מעניין
- מִמְשָׁק
- IT
- שֶׁלָה
- jpg
- שופט
- מפתחות
- לַהֲרוֹג
- לדעת
- ידע
- שפה
- מְאוּחָר
- הושק
- יציאה
- חוּקִי
- סביר
- קשר
- קישורים
- נְזִילוּת
- מאגר נזילות
- הסתכלות
- מגרש
- עשוי
- ראשי
- זרם מרכזי
- הרוב
- לעשות
- עשייה
- רב
- שוקי
- max-width
- מנגנון
- אכפת לי
- דקות
- חסר
- לשנות
- יותר
- יתר על כן
- רוב
- הכי פופולארי
- mtgox
- שמות
- טבע
- בהכרח
- הכרחי
- צורך
- חדש
- צומת
- צמתים
- רעיון
- נוֹבֶמבֶּר
- מספר
- ברור
- of
- on
- ONE
- להזמין
- אחר
- שֶׁלוֹ
- חלק
- חלקים
- אֲנָשִׁים
- אדם
- הרים
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- נקודות
- בריכה
- פופולרי
- הודעה
- לחץ
- פְּרָטִי
- מפתחות פרטיים
- כנראה
- תהליך
- תכנות
- פּרוֹיֶקט
- פרויקטים
- הבטחה
- להגן
- מוּגָן
- פרוטוקול
- פרוטוקולים
- לספק
- בפומבי
- לאור
- מטרה
- QuadrigaCX
- שאלות
- נדיר
- חומר עיוני
- ממשי
- הבין
- להפחית
- קָשׁוּר
- מחקר
- תוצאה
- לַחֲזוֹר
- לגמול
- תגמולים
- טַבַּעַת
- הסיכון
- תפקיד
- תפקידים
- הפעלה
- אמר
- אותו
- שמור
- הונאה
- הונאות
- חיפוש
- שְׁנִיָה
- אבטחה
- מכירת
- כמה
- לְהַצִיג
- הופעות
- דומה
- פָּשׁוּט
- פשוט
- בפשטות
- יחיד
- מצב
- חוזה חכם
- So
- מוּצָקוּת
- כמה
- להשאר
- עצור
- סיפור
- כזה
- לסכם
- סיכום
- חשוד
- נטילת
- מדבר
- נבחרת
- תודה
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- לכן
- אלה
- דברים
- מחשבה
- דרך
- זמן
- ל
- היום
- אסימון
- גַם
- עסקה
- עמלות על העסקה
- עסקות
- סומך
- להבין
- UTC
- מְאוּמָת
- באמצעות
- כֶּרֶך
- הַצבָּעָה
- הצבעה
- פגיעויות
- רציתי
- דֶרֶך..
- שבועות
- טוֹב
- מה
- אשר
- בזמן
- לבן
- מי
- יצטרך
- עם
- לְלֹא
- מילים
- תיק עבודות
- היה
- כתוב
- מותר
- אתה
- עצמך
- זפירנט
