לקחים מההתקפה על Tinyman, ה-DEX הגדול ביותר על Algorand

זמן קריאה: 5 דקות

פריצות קריפטו נמשכות בשנת 2022 כאשר האקרים תוקפים נקודות תורפה בתוך רשתות שונות, ומוסיפים למיליוני נכסים גנובים. קהילת אלגוראנד פתחה את השנה בנימה חמוצה בעקבות מתקפה על הבורסה המבוזרת שלהם שהובילה לאובדן נכסים בשווי של כ-3 מיליון דולר.

על פי דיווחים, על ינואר 1, 2022, תקפו משתמשים לא מורשים טינימן, פלטפורמה פיננסית מבוזרת הבנויה על אלגוראנד. האירוע נעשה בארבע התקפות נפרדות, מה שאפשר להאקרים לגנוב $ 3 מיליון מבריכות במסגרת הפרוטוקול.

דוח של Tinyman הראה שארבעה חשבונות נפגעו, מה שהשפיע על כ-250 משתמשים עם אחזקות ב-goBTC וב-goETH. 360 בריכות הושפעו מ-13 פעילויות זדוניות שבוצעו על ידי XNUMX כתובות ייחודיות.

יש לציין שהתוקפים הפעילו את כתובות הארנק שלהם, מה שאיפשר להם להפקיד קרן ראשונית עבור המתקפה. בנוסף, על פי הדיווחים, אנשים אלה הפרו נקודות תורפה שלא ידועות בעבר בחוזה החכם של Tinyman. זה איפשר להם לקבל שניים מאותם אסימונים, ואז הם המשיכו להחליף חלק מהנכסים ואסימוני בריכה.

לפי הדיווחים, ההתקפות העדיפו את המשתמשים הבלתי מורשים מכיוון ש goBTC הנכס היה יקר יותר מהנכס algo אסימון שהם החליפו נגדו כדי לקבל עוד כספים. בנוסף, התוקפים גם החליפו בריכות ב-stablecoins לפני משיכת הנכסים לארנקים אחרים ולבורסות מרכזיות.

כפרוטוקול חסר אמון וחסר הרשאה, Tinyman משתמשת במיוחד בחוזים בלתי ניתנים לשינוי, מה שהופך את הבורסה לבלתי אפשרית לתקן את הפגיעויות ולעצור את המתקפה במהירות. עם זאת, כתוצאה מכך, הם יכלו רק לייעץ למשתמשים שלהם לא להשתמש בפלטפורמה מכיוון שהם עבדו על תיקון הבעיה.

בעוד צוות Tinyman ממשיך לחקור את ההיארעות, יש לטפל בכמה תחומים מרכזיים. אלו כוללים:

חשיבות הביקורות

לאור המספר המוגדל של מקרי הונאה והתקפות הקשורות לקריפטו בתוך DeFi ובשוק המטבעות הקריפטוגרפיים הכולל, לא ניתן להדגיש מספיק את הצורך במערכות צ'קים ואחריות. 

בשנה שעברה בנובמבר, אליפטי, חברת סיכונים גלובלית לניהול קריפטו, ערכה מחקר שהראה כי נגמר 10.5 $ מיליארד בשווי נכסים אבדו מ-DeFi בשנת 2021 עקב פריצות והתקפות אחרות על רשתות ופרוטוקולים. 

יתר על כן, פריצות הקשורות ל-DeFi היו אחראיות 76% מכל הפריצות הגדולות בשנת 2021. לפי הדו"ח, האופי חסר האמון של אפליקציות מבוזרות (DApps) בתוך DeFi הוא גם ברכה וגם קללה. חוסר אמון מבטל כל שליטה של ​​צד שלישי בכספי המשתמשים. עם זאת, המשתמשים נאלצים לסמוך על כך שיוצרי הפרוטוקולים המדוברים לא עשו טעויות בקידוד או בעיצוב שעלולות לאפשר התקפה על המערכת.

ביקורת מאפשרת לגופים מהימנים לבדוק פגיעויות באמצעות הקודים והעיצוב המבני של פרויקט, מה שמגביר את האבטחה הכוללת. יש לבצע ביקורות כל הזמן כדי לעמוד בקצב הטכניקות המתוחכמות והחדשות שהאקרים משתמשים בהם כדי לתקוף מערכות. בעוד שלפי הדיווחים Tinyman עבר ביקורת, בדיקת ביקורת לאחרונה הייתה יכולה לעזור לתקן את הבאגים או הפגיעויות ואולי למנוע את ההפסדים.

חייב לקרוא: ארבעת הגדולים פועלים לקראת ביקורת בלוקצ'יין

באופן אידיאלי, יש לבצע ביקורות חוזים חכמות לפני פריסת החוזים. ביקורות אלו מבקשות לבדוק אם יש שגיאות נפוצות כגון בעיות מחסנית, טעויות בכניסה חוזרת וסיבוכים אפשריים אחרים. תהליך הביקורת בודק גם שגיאות ופגמי אבטחה ידועים של הפלטפורמות המארחות, תוך שהוא מאפשר למפתחים לבדוק את החוזה החכם.

בנוסף, ביקורת מסייעת לפרויקטים לשפר כל הזמן את החוזים החכמים שלהם, ומבטיחה שהם תמיד מעודכנים. לדוגמה, בעקבות המתקפה, נאלץ Tinyman לעדכן את החוזים החכמים שלהם כדי למנוע התקפות כאלה בעתיד.

ביטוח DeFi

יש לציין, לפני ביצוע הסדר כלשהו בשוק DeFi, המשתמשים צריכים להבין את הסיכונים הכרוכים בשוק במלואו. מלבד סיכוני חוזים חכמים, משתמשים עלולים גם להתמודד עם סיכוני אורקל וסיכוני ממשל. 

עם זאת, ביצוע מחקר נכון על השווקים והפרויקטים בהם מאפשר למשתמשים לקבל החלטות מושכלות. החלטה אחת כזו היא קבלת הגנה מפני התקפות בלתי צפויות באמצעות DeFi Insurance.

DeFi Insurance הוא תהליך של ביטוח או קניית כיסוי מפני הפסדים שאירועים בענף DeFi עלולים לסבול. המספר ההולך וגדל של הפסדים בתוך DeFi יצר ביקוש למוצרי ביטוח DeFi מכיוון שפרויקטים חדשים ממשיכים לעלות מיום ליום. 

בדרך כלל, חילופים רבים שנפגעו בסופו של דבר מפצים את הקורבנות שלהם בעקבות התקיפה. עם זאת, חלק מהפרויקטים שנפרצו אינם יכולים להחזיר למשתמשים שלהם.

שימו לב, צוות Tinyman יצא כדי להבטיח למשתמשים המושפעים שהם יקבלו החזר על ההפסדים שלהם.

כוח בקהילות

יש לציין, לאחר שהמתקפה הראשונה הפכה לגלויה, האקרים רבים נוספים ניצלו את ההזדמנות כדי להעתיק את הפריצה. הם השתמשו באותן נקודות תורפה כדי לבצע התקפות קטנות יותר (התקפות שנייה עד רביעית) על הבורסה. אולם טינימן הצליחה להציל אחוז גדול מנכסיהם בעזרת הקהילה.

בהתקפות זו ודומותיהן, קהילות עזרו להפיץ את החדשות מהר יותר, ואפשרו למשתמשים לבצע את פעולות האבטחה הדרושות כדי לשמור על בטיחות הנכסים שלהם. בנוסף, קהילות, במידה מסוימת, עזרו בבניית תקשורת טובה יותר ושיתופי פעולה בין מפתחים ומשתמשים לצמיחת המערכת האקולוגית כולה.

בימים האחרונים, קהילות מבוססות קריפטו עזרו להעלות מהפכות שהובילו לצמיחת פרויקטים בתעשייה.

גלישה את

בעוד שבלוקצ'יין עשה פריצות דרך אדירות, במיוחד בתחום הפיננסים, הטכנולוגיה רחוקה מלהיות מושלמת. עם זאת, בעלי פרויקטים, מפתחים ומשתמשים כאחד יכולים לנקוט באמצעים מתאימים כדי להבטיח יותר אבטחה בתוך יישומים מבוססי בלוקצ'יין.

על ידי נקיטת אמצעי אחריות באמצעות ביקורת ואמצעים רלוונטיים אחרים, פרויקטים יכולים לחסל כל באג או פגיעות שיכולים לשמש נגד האפליקציה. כמו כן, נקיטת אמצעי זהירות אחרים כגון ביטוח DeFi ושמירה על קהילה הדוקה חשובה בהפחתת אירועים כאלה. 

פנה ל- QuillAudits

QuillAudits היא פלטפורמת ביקורת חוזים חכמה מאובטחת שתוכננה על ידי QuillHash
טכנולוגיות.
זוהי פלטפורמת ביקורת שמנתחת ומאמתת חוזים חכמים בקפדנות כדי לבדוק פרצות אבטחה באמצעות סקירה ידנית יעילה עם כלי ניתוח סטטיים ודינמיים, מנתחי גז וכן מטמיעים. יתרה מכך, תהליך הביקורת כולל גם בדיקות יחידות מקיפות וכן ניתוח מבני.
אנו עורכים גם ביקורת חוזים חכמות וגם מבחני חדירה כדי למצוא פוטנציאל
פרצות אבטחה שעלולות לפגוע בשלמות הפלטפורמה.

אם אתה זקוק לסיוע כלשהו בביקורת החוזים החכמים, אל תהסס לפנות למומחים שלנו כאן!

כדי להיות מעודכנים בעבודה שלנו, הצטרף לקהילה שלנו:-

טויטר | לינקדין | פייסבוק | מברק

ההודעה לקחים מההתקפה על Tinyman, ה-DEX הגדול ביותר על Algorand הופיע לראשונה ב Blog.quillhash.

מקור: https://blog.quillhash.com/2022/01/lessons-from-the-attack-on-tinyman-largest-dex-on-algorand