Leestijd: 5 minuten
Crypto-hacks gaan door in 2022, terwijl hackers kwetsbaarheden binnen verschillende netwerken aanvallen, wat bijdraagt โโโโaan miljoenen gestolen activa. De Algorand-gemeenschap begon het jaar somber na een aanval op hun gedecentraliseerde beurs die leidde tot het verlies van ongeveer $ 3 miljoen aan activa.
Volgens rapporten, op 1 januari 2022, onbevoegde gebruikers aangevallen tinyman, een gedecentraliseerd financieel platform gebouwd op Algorand. Het evenement vond plaats in vier afzonderlijke aanvallen, waardoor de hackers konden stelen $ 3 miljoen van pools binnen het protocol.
Een rapport van Tinyman toonde aan dat vier accounts waren gecompromitteerd, waarbij ongeveer 250 gebruikers met belangen in goBTC en goETH werden getroffen. Drieรซnveertig pools werden getroffen door 360 kwaadaardige activiteiten die werden uitgevoerd door 13 unieke adressen.
De aanvallers activeerden met name hun portemonnee-adressen waardoor ze een startfonds voor de aanval konden storten. Bovendien hebben deze personen naar verluidt eerder onbekende kwetsbaarheden in het slimme contract van Tinyman geschonden. Hierdoor konden ze twee dezelfde tokens krijgen, die ze vervolgens gingen verwisselen voor een deel van de activa en geslagen pooltokens.
De aanvallen waren naar verluidt in het voordeel van de niet-geautoriseerde gebruikers omdat de goBTC actief was waardevoller dan de IETS token waar ze tegen hebben geruild om meer geld te ontvangen. Bovendien hebben de aanvallers ook pools geruild met stablecoins voordat ze de activa terugtrokken naar andere portefeuilles en gecentraliseerde uitwisselingen.
Als een betrouwbaar en toestemmingloos protocol gebruikt Tinyman met name onveranderlijke contracten, waardoor het voor de centrale onmogelijk is om de kwetsbaarheden te verhelpen en de aanval snel te stoppen. Als gevolg hiervan konden ze hun gebruikers echter alleen adviseren het platform niet te gebruiken terwijl ze aan het oplossen van het probleem werkten.
Terwijl het Tinyman-team de incidentie blijft onderzoeken, moeten een paar belangrijke gebieden worden aangepakt. Waaronder:
Belang van audits
Gezien het toegenomen aantal fraudegevallen en crypto-gerelateerde aanvallen binnen DeFi en de algehele cryptocurrency-markt, kan de noodzaak van controlesystemen en aansprakelijkheid niet genoeg worden benadrukt.
Vorig jaar november, Elliptische, een wereldwijd risicobedrijf voor cryptobeheer, heeft onderzoek uitgevoerd waaruit blijkt dat meer dan $ 10.5 miljard In 2021 gingen er activa verloren van DeFi als gevolg van hacks en andere aanvallen op netwerken en protocollen.
Bovendien waren DeFi-gerelateerde hacks verantwoordelijk voor 76% van alle grote hacks in 2021. Volgens het rapport is het vertrouwenloze karakter van gedecentraliseerde applicaties (DApps) binnen DeFi zowel een zegen als een vloek. Door onbetrouwbaar te zijn, wordt elke controle door derden over het geld van gebruikers geรซlimineerd. Gebruikers moeten er echter op vertrouwen dat de makers van de betreffende protocollen geen fouten hebben gemaakt in de codering of het ontwerp die een aanval op het systeem mogelijk zouden kunnen maken.
Met audits kunnen vertrouwde entiteiten controleren op kwetsbaarheden met de codes en het structurele ontwerp van een project, waardoor de algehele beveiliging wordt vergroot. Er moeten voortdurend audits worden uitgevoerd om gelijke tred te houden met de geavanceerde en nieuwe technieken die hackers gebruiken om systemen aan te vallen. Hoewel Tinyman naar verluidt een audit had ondergaan, had een recente auditingcontrole kunnen helpen om de bugs of kwetsbaarheden op te lossen en mogelijk de verliezen te voorkomen.
Moet lezen: De grote vier werken aan blockchain-audits
Idealiter zouden slimme contractaudits moeten worden uitgevoerd voordat de contracten worden geรฏmplementeerd. Deze audits zijn bedoeld om te controleren op veelvoorkomende fouten, zoals stapelproblemen, fouten bij het opnieuw invoeren en andere mogelijke complicaties. Het auditproces controleert ook op bekende fouten en beveiligingsfouten van hostplatforms, terwijl ontwikkelaars het slimme contract kunnen testen.
Bovendien helpen audits projecten om hun slimme contracten voortdurend te verbeteren, zodat ze altijd up-to-date zijn. Zo werd Tinyman na de aanval gedwongen om hun slimme contracten bij te werken om dergelijke aanvallen in de toekomst te voorkomen.
DeFi-verzekering
Met name moeten gebruikers, voordat ze een regeling treffen binnen de DeFi-markt, de risico's die aan de markt zijn verbonden volledig begrijpen. Afgezien van slimme contractrisico's, kunnen gebruikers ook worden geconfronteerd met orakelrisico's en governancerisico's.
Dat gezegd hebbende, door goed onderzoek te doen naar de markten en projecten daarin kunnen gebruikers weloverwogen beslissingen nemen. Een van die beslissingen is het verkrijgen van bescherming tegen onvoorziene aanvallen via DeFi Insurance.
DeFi Insurance is het proces waarbij u zich verzekert of dekking koopt tegen verliezen die gebeurtenissen in de DeFi-industrie kunnen lijden. Het groeiende aantal verliezen binnen DeFi heeft geleid tot een vraag naar DeFi-verzekeringsproducten, aangezien nieuwe projecten met de dag toenemen.
Meestal vergoeden veel getroffen beurzen hun slachtoffers na de aanval. Sommige van de gehackte projecten kunnen hun gebruikers echter niet terugbetalen.
Let op, het Tinyman-team is naar voren gekomen om de getroffen gebruikers te verzekeren dat ze hun verliezen zullen vergoeden.
Kracht in gemeenschappen
Met name nadat de eerste aanval openbaar werd, maakten veel meer hackers van de gelegenheid gebruik om de hack te kopiรซren. Ze gebruikten dezelfde kwetsbaarheden om kleinere aanvallen (tweede tot vierde aanvallen) op de centrale uit te voeren. Tinyman slaagde er echter in een groot percentage van hun vermogen te redden met de hulp van de gemeenschap.
Bij deze en soortgelijke aanvallen hebben gemeenschappen geholpen het nieuws sneller te verspreiden, waardoor gebruikers de nodige beveiligingsmaatregelen kunnen nemen om hun activa veilig te houden. Bovendien hebben gemeenschappen tot op zekere hoogte geholpen bij het opbouwen van betere communicatie en samenwerkingen tussen ontwikkelaars en gebruikers voor de groei van het hele ecosysteem.
In de afgelopen dagen hebben op crypto gebaseerde gemeenschappen geholpen om revoluties teweeg te brengen die hebben geleid tot de groei van projecten binnen de industrie.
Afsluiten
Hoewel blockchain enorme doorbraken heeft gemaakt, vooral binnen de financiรซle wereld, is de technologie verre van perfect. Projecteigenaren, ontwikkelaars en gebruikers kunnen echter passende maatregelen nemen om meer veiligheid te garanderen binnen op blockchain gebaseerde applicaties.
Door verantwoordingsmaatregelen te nemen door middel van audits en andere relevante maatregelen, kunnen projecten eventuele bugs of kwetsbaarheden elimineren die tegen de applicatie kunnen worden gebruikt. Ook het nemen van andere voorzorgsmaatregelen, zoals een DeFi-verzekering en het behouden van een hechte gemeenschap, is belangrijk om dergelijke gebeurtenissen te beperken.
Neem contact op met QuillAudits
QuillAudits is een veilig platform voor slimme contractaudits ontworpen door: QuillHash
Technologies.
Het is een auditplatform dat slimme contracten rigoureus analyseert en verifieert om te controleren op beveiligingsproblemen door middel van effectieve handmatige beoordeling met statische en dynamische analysetools, gasanalysatoren en assimulatoren. Bovendien omvat het auditproces ook uitgebreide unittests en structurele analyses.
We voeren zowel slimme contractaudits als penetratietests uit om potentieel te vinden
beveiligingsproblemen die de integriteit van het platform kunnen schaden.
Als je hulp nodig hebt bij de audit van slimme contracten, neem dan gerust contact op met onze experts hier!
Word lid van onze community om op de hoogte te blijven van ons werk: -
Twitter | LinkedIn | Facebook | Telegram
De post Lessen uit de aanval op Tinyman, de grootste DEX op Algorand verscheen eerst op Blog.quillhash.
Bron: https://blog.quillhash.com/2022/01/lessons-from-the-attack-on-tinyman-largest-dex-on-algorand
- "
- 2022
- Over
- Volgens
- acties
- activiteiten
- Algorand
- Alles
- Het toestaan
- analyse
- Aanvraag
- toepassingen
- aanwinst
- Activa
- controleren
- wezen
- blockchain
- blockchain-gebaseerde
- bugs
- Gebouw
- Buying
- gevallen
- Controles
- codering
- Gemeen
- Communicatie
- Gemeenschappen
- gemeenschap
- afstand
- voortzetten
- blijft
- contract
- contracten
- kon
- scheppers
- crypto
- cryptogeld
- cryptocurrency markt
- DApps
- dag
- gedecentraliseerde
- Gedecentraliseerde applicaties
- Gedecentraliseerde uitwisseling
- Defi
- Vraag
- Design
- ontwikkelaars
- Dex
- DEED
- anders
- Display
- ecosysteem
- vooral
- Event
- EVENTS
- uitwisseling
- Exchanges
- Gezicht
- financiรซn
- financieel
- Voornaam*
- Bepalen
- gebreken
- bedrog
- Gratis
- fonds
- fondsen
- toekomst
- GAS
- het krijgen van
- Globaal
- bestuur
- Groeiend
- houwen
- Hackers
- hacks
- hulp
- HTTPS
- belangrijk
- meer
- -industrie
- verzekering
- onderzoeken
- IT
- mee
- houden
- sleutel
- Groot
- LED
- groot
- maken
- management
- Markt
- Markten
- miljoen
- miljoenen
- NATUUR
- netwerken
- nieuws
- nummers
- kansen
- orakel
- Overige
- eigenaren
- percentage
- platform
- zwembad
- Zwembaden
- probleem
- Producten
- project
- projecten
- bescherming
- protocol
- publiek
- vraag
- verhogen
- verslag
- Rapporten
- onderzoek
- beoordelen
- Risico
- veilig
- Zei
- veiligheid
- zaad
- gelijk
- slim
- slim contract
- Slimme contracten
- verspreiden
- Stablecoins
- gestolen
- system
- Systems
- Technologie
- proef
- testen
- van derden
- Door
- niet de tijd of
- teken
- tokens
- tools
- ontzettend
- Trust
- unieke
- bijwerken
- gebruikers
- kwetsbaarheden
- Portemonnee
- Portemonnees
- binnen
- Mijn werk
- werkte
- waard
- jaar
