明らかに、MtGox や QuadrigaCX で起こったこと、または創設者が取引所のデジタル資産の大部分を保持している秘密鍵を紛失したと主張した後、姿を消したり死んでいるのが発見されたりした後、暗号分野の人々は、プロジェクトをハックし、最初に頭に浮かぶのは、創業者が基本的に資金を空にして逃げ出したということです。これは一般に RUG と呼ばれるものです。
これはおそらく多くのプロジェクトに当てはまりますが、必ずしもすべてのプロジェクトに当てはまるわけではありません。そのため、今日は、状況の性質上、本当のハッキングであると思われるケースに注目しています。
スマートコントラクトまたはブロックチェーン関連のプロジェクト全般におけるセキュリティと監査の重要性をよりよく理解するのに役立つため、分析するのは興味深いケースだと思います。
BSC(Binance Blockchain)でローンチされたトークンであるRING Financialプロジェクトに起こったドラマを客観的に分析します。
ハッキングに入る前に、まずプロジェクトとその前の状況を要約します。
ハッキングされる前のRING Financial
RING Financialは、DeFiと暗号コミュニティがDeFiをより利用しやすくすることを目的としたDeFiプロジェクトでした。 ノード所有者によって管理され、一度に 300 以上のプロトコルに流動性を割り当てるノード利回りプロトコルを作成したいという野心的なプロジェクト。 目的は、XNUMX つの RING ノードと RING Dapp を介してすべてのプロトコルにアクセスすることでした。
これらのプロトコルはチームによって検証され、コミュニティはそれらをどこに割り当てるかについて投票しました。 RING を非常に魅力的なものにした DAO と同じ投票の概念。
RING Financial はまた、300 つのノード ホルダーの調査プロセスと展開プロセスのかなりの部分を簡素化しました。 XNUMX つの Dapp で他のすべての Dapps にアクセスできるため、独自のアクセスと独自のノードを持つ XNUMX の異なるインターフェイスではなく、XNUMX つのインターフェイスのみが必要になります。
最後に、RING Financial の目的は、さまざまなプロトコルに展開するための手数料を削減することでした。ボリュームが増えると、プロジェクトの主なセールス ポイントの XNUMX つである個人所有者の取引手数料が低くなります。 コミュニティにとって物事をより簡単にし、Defi を知らない人々にとってはさらに主流になるようにするという才能と野心を持ったプロジェクトです。
しかし、才能と野心は常に十分ではなく、新しい未熟な市場ではめったに見つからない専門知識と知識が必要であり、それがRING Financialがその約束を完全に果たすことができなかった理由です.
では、リング・フィナンシャルに実際に何が起こったのでしょうか? そして、なぜハッキングされたのですか? ブロックチェーンのおかげで、これを掘り下げ、脆弱性がどこにあり、その理由を確認するために必要な法医学的証拠がすべて揃っています。 RING Financial は詐欺ではありませんでした.
RING Financial HACK は、5 年 2021 月 2 日午後 01 時 2 分から午後 06 時 XNUMX 分 (UTC) の間に発生しました。
はい、文字通り5分ですべてが起こりました! ちなみに、これらの詳細についてはブロックチェーン スキャナーのおかげで、HACK に関連するトランザクションのリンクのすぐ下に、さらに詳細に検索したい人のために契約のアドレスを提供しています。
攻撃者が悪用した欠陥を説明する要約を次に示します。
RING Financial のスマートコントラクトはいくつかの部分で構成されていることを理解する必要があります。XNUMX つはトークンとそれに関連するすべてのデータ用で、もう XNUMX つはノードと報酬の会計に関連するすべてのものです。 トークンの一部には、コントラクトの管理者のみがこの重要なデータを変更できるようにセキュリティが設定されていました。いくつかのコードを示すために、属性「onlyOwner」を介して保護されているコントラクトの関数のヘッダーを次に示します。これは、管理者のみが機能を実行できることを規定しています。
を持たない関数 所有者のみ 属性 (または関数のアクセスを保護するための同等の属性) は文字通り誰でも実行できます。
さて、何を推測しますか? 以下の関数名を見るとわかるように、ノードと報酬部分の関数にはこの属性がありませんでした ( 所有者のみ 属性がありません):
ご想像のとおり、ハッカーはこの欠陥を悪用して詐欺を行い、RING で指数関数的な数の報酬を取得し、流動性プールに投棄し、数分でほぼ暴力的に空にしました。 したがって、彼は詐欺を実行しました。
ここで、おそらく次の XNUMX つの質問を自問しているでしょう。
開発者はどうしてそのような抜け穴を残すことができたのでしょうか?
Solidity 開発者 (イーサリアムでスマート コントラクトをコーディングするために使用される言語) と話し合った結果、これは XNUMX つのスマート コントラクト間のロールの継承に関連するエラーです。継承はプログラミング言語の概念であり、頭痛の種にならないように、基本的に、コントラクトをコーディングした人は、Node 部分の機能が Token 部分の機能のセキュリティ ロールを継承したと考えた可能性が非常に高いですが、Solidity では残念ながらそうではなく、リンクがどうであれ、各コントラクトの各機能の役割を再定義する必要があります。 したがって、この点に関する私たちの結論は、開発者は専門家ではなく、おそらく急いで、時間をかけてもう一度読むことなく契約を公開したということです。
この欠陥を故意に残したのは開発者自身ではなく、詐欺ではないことをどのように知っていますか?
非常に良い反論であり、方法がわからない場合は詐欺であると簡単に推測できます スマート契約 19 年 2021 月 XNUMX 日に BSCSCAN.COM (バイナンス ブロックチェーンの最も人気のあるスキャナー) でスマート コントラクトのコード全体を公開して検証したため、実際には開発者の無実を推測するのは非常に簡単です。つまり、RING Financial HACK が発生する XNUMX 週間以上前のことです。 そして、前述のように、欠陥は契約書にBLACK ON WHITEで書かれており、経験豊富な開発者なら誰でもそれに気づき、反応したはずですが、残念ながら、最初のものはまったく容赦がありませんでした. したがって、開発者がこの欠陥に気付いていなかったことは明らかです。なぜなら、彼はいつでも誰かに RING Financial プロジェクトを停止させるリスクを負わなかったからです。
RING Financial HACK の続きに戻ると、開発者は自分の失敗に気づき、契約を凍結して報酬の配布を停止し、攻撃者がプールを完全に空にしないようにしました。 その後、今度はセキュリティ属性「onlyOwner」を使用してノード コントラクトを再デプロイしました。 この新しいノード コントラクトは、手遅れだったことを除けば、新しい報酬の分配を正しく処理することができました。HACK の結果、プロジェクトとチームですべての信頼が失われ、販売圧力がトークンを殺して終了させたためです。プロジェクト。
結論として、スマート コントラクトと暗号化プロジェクトに関する XNUMX つの重要な点を示しているため、このストーリーを選択しました。急いでコントラクトをコーディングしないこと、常に監査会社に連絡することです。ハッキングが発生すると、船を救うには遅すぎるためです。 RING Financial プロジェクトはその良い例です。さらに、彼らのコミュニケーションによると、彼らはこの XNUMX 番目のノード契約について監査会社に連絡し、そのセキュリティを確認するまで BSCSCAN に公開しませんでした。 しかし、前述のとおり、RING Financial にとっては手遅れであり、被害は取り返しのつかないものでした。
スキャナーと契約アドレスのすべてのリンクは次のとおりです。
ハッキング エクスプロイトのトランザクションを実行するウォレット: 0xfe58c9e2ecb95757be6f4bca33162cfa346cc34f
Ring smart-contract address: 0x521ef54063148e5f15f18b9631426175cee23de2
Ring reward pool address: 0xa46cc87eca075c5ae387b86867aa3ee4cb397372
トランザクション ハッキングのエクスプロイト:
TRX1
link: https://bscscan.com/tx/0x596d38494ea5ae640b2a556a7029692928f15713d22b5948477c4eb4a92cf68e
TRX2
link: https://bscscan.com/tx/0xfc890c855709bb6aeb5177ee31e08751561344402a88af13e7dfd02b9a2f6003
TRX3
link: https://bscscan.com/tx/0x35c2f1ed9c5ce13a714af6c0dcbbce8fe720f7d6212232b6dd3657d8799a10f1
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://www.fintechnews.org/how-to-judge-if-a-so-called-hack-that-happened-to-a-crypto-or-blockchain-project-is-legit-or-if-its-just-a-mechanism-to-hide-a-rug/
- :は
- 2021
- a
- できる
- 私たちについて
- アクセス
- アクセス可能な
- 従った
- 会計
- 実際に
- 住所
- アドレス
- 後
- すべて
- 常に
- 野心
- 野心的な
- 分析します
- および
- 別の
- 誰も
- です
- AS
- 資産
- At
- 魅力的
- 監査
- 監査法人
- 監査
- 基本的に
- BE
- なぜなら
- 信じる
- 以下
- より良いです
- の間に
- ビンランス
- ブラック
- ブロックチェーン
- ブロックチェーン関連
- ボート
- BSC
- by
- 呼ばれます
- 缶
- 場合
- 例
- 原因となる
- 一定
- 主張した
- コード
- COM
- 来ます
- 到来
- 一般に
- コミュニケーション
- コミュニティ
- 完全に
- 構成
- コンセプト
- 結論
- 結論
- 接触
- 継続
- 縮小することはできません。
- 可能性
- 作ります
- クリプト
- 暗号コミュニティ
- 暗号化プロジェクト
- DAO
- ダップ
- DApps
- データ
- 死んだ
- 12月
- DeFi
- 展開する
- 展開
- 詳細
- 細部
- Developer
- 開発者
- DID
- 異なります
- デジタル
- デジタル資産
- 消えていく
- ディストリビューション
- ドラマ
- 各
- 容易
- 十分な
- 全体
- 完全に
- 同等の
- エラー
- イーサリアム
- さらに
- すべてのもの
- 証拠
- 例
- 除く
- 交換について
- 実行
- 経験豊かな
- エキスパート
- 専門知識
- 説明
- 説明
- 悪用する
- 搾取
- 指数関数
- 費用
- 少数の
- ファイナンシャル
- もう完成させ、ワークスペースに掲示しましたか?
- 企業
- 名
- 欠陥
- 法医学
- 発見
- 創設者
- function
- 機能
- ファンド
- 取得する
- 良い
- ハック
- SIMカード製造会社の最大手がアメリカやイギリスのスパイ機関によってハッキングされたとの情報が見つかっている。
- ハッカー
- ハンドル
- が起こった
- 起こります
- 持ってる
- 聞く
- 助けます
- こちら
- 隠す
- 保有者
- ホルダー
- 開催
- 認定条件
- How To
- HTTPS
- IBM
- 重要性
- 重要
- in
- ますます
- 個人
- 継承
- を取得する必要がある者
- 興味深い
- インタフェース
- IT
- ITS
- JPG
- 裁判官
- キー
- 殺します
- 知っている
- 知識
- 言語
- 遅く
- 打ち上げ
- コメントを残す
- 合法の
- 可能性が高い
- LINK
- リンク
- 流動性
- 流動性プール
- 探して
- たくさん
- 製
- メイン
- 主流
- 大多数
- make
- 作成
- 多くの
- マーケット
- 最大幅
- メカニズム
- マインド
- 分
- 行方不明
- 修正する
- 他には?
- さらに
- 最も
- 一番人気
- ミトゴックス
- 名
- 自然
- 必ずしも
- 必要
- 必要
- 新作
- ノード
- 概念
- 11月
- 数
- 明白
- of
- on
- ONE
- 注文
- その他
- 自分の
- 部
- 部品
- のワークプ
- 人
- ピックアップ
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- ポイント
- プール
- 人気
- ポスト
- 圧力
- プライベート
- 秘密鍵
- 多分
- プロセス
- プログラミング
- プロジェクト
- プロジェクト(実績作品)
- 約束
- 守る
- 保護された
- プロトコル
- 提供します
- 公然と
- 公表
- 目的
- クアドリガCX
- 質問
- 珍しい
- 読む
- リアル
- 実現
- 減らします
- 関連する
- 研究
- 結果
- return
- 報いる
- 報酬
- リング
- リスク
- 職種
- 役割
- ラン
- 前記
- 同じ
- Save
- 詐欺
- 詐欺
- を検索
- 二番
- セキュリティ
- 販売
- いくつかの
- 表示する
- 作品
- 同様の
- 簡単な拡張で
- 簡略化されました
- 単に
- 状況
- スマート契約
- So
- 固い
- 一部
- 滞在
- Force Stop
- ストーリー
- そのような
- まとめる
- 概要
- 疑わしい
- 取得
- 会話
- チーム
- 感謝
- それ
- アプリ環境に合わせて
- それら
- したがって、
- ボーマン
- 物事
- 考え
- 介して
- 時間
- 〜へ
- 今日
- トークン
- あまりに
- トランザクション
- 取引手数料
- 取引
- 信頼
- わかる
- UTC
- 検証
- 、
- ボリューム
- 投票
- 投票
- 脆弱性
- wanted
- 仕方..
- ウィークス
- WELL
- この試験は
- which
- while
- 白
- 誰
- 意志
- 無し
- 言葉
- 仕事
- でしょう
- 書かれた
- 収穫
- You
- あなた自身
- ゼファーネット