Lesetid: 5 minutter
Kryptohack fortsetter i 2022 ettersom hackere angriper sårbarheter i forskjellige nettverk, og legger til millioner av stjålne eiendeler. Algorand-samfunnet begynte året på en sur tone etter et angrep på deres desentraliserte børs som førte til tap av eiendeler verdt rundt 3 millioner dollar.
Ifølge rapporter, på Januar 1, 2022, angrep uautoriserte brukere Tinyman, en desentralisert finansiell plattform bygget på Algorand. Arrangementet ble utført i fire separate angrep, slik at hackerne kunne stjele rundt $ 3 millioner fra bassenger innenfor protokollen.
En rapport fra Tinyman viste at fire kontoer ble kompromittert, noe som påvirket rundt 250 brukere med eierandeler i goBTC og goETH. Førti-tre bassenger ble berørt av 360 ondsinnede aktiviteter utført av 13 unike adresser.
Spesielt aktiverte angriperne lommebokadressene sine som tillot dem å sette inn et startfond for angrepet. I tillegg skal disse personene ha brutt tidligere ukjente sårbarheter på Tinymans smarte kontrakt. Dette tillot dem å få to av de samme tokens, som de deretter fortsatte med å bytte noen av eiendelene og preget pool-tokens.
Angrepene skal ha favoriserte uautoriserte brukere fordi goBTC eiendelen var mer verdifull enn ALGO token de byttet mot for å motta flere midler. I tillegg byttet angriperne også bassenger med stablecoins før de trakk ut eiendelene til andre lommebøker og sentraliserte børser.
Som en tillitsløs og tillatelsesfri protokoll bruker Tinyman spesielt uforanderlige kontrakter, noe som gjør det umulig for børsen å fikse sårbarhetene og stoppe angrepet raskt. Som et resultat kunne de imidlertid bare råde brukerne til å ikke bruke plattformen da de jobbet med å fikse problemet.
Mens Tinyman-teamet fortsetter å undersøke forekomsten, må noen få nøkkelområder tas opp. Disse inkluderer:
Viktigheten av revisjoner
Gitt det økte antallet svindelsaker og kryptorelaterte angrep innenfor DeFi og det generelle kryptovalutamarkedet, kan ikke behovet for kontrollsystemer og ansvarlighet understrekes nok.
I fjor i november, Elliptic, et globalt risikoselskap for kryptostyring, utførte undersøkelser som viser at over $ 10.5 milliarder verdi av eiendeler gikk tapt fra DeFi i 2021 på grunn av hacks og andre angrep på nettverk og protokoller.
Videre sto DeFi-relaterte hacks for 76% av alle større hacks i 2021. Ifølge rapporten er den tillitsløse naturen til desentraliserte applikasjoner (DApps) i DeFi både en velsignelse og en forbannelse. Å være tillitsløs eliminerer enhver tredjeparts kontroll over brukernes midler. Imidlertid er brukere tvunget til å stole på at skaperne av de aktuelle protokollene ikke har gjort noen feil i kodingen eller designet som kan tillate et angrep på systemet.
Revisjon lar pålitelige enheter se etter sårbarheter med kodene og strukturelle utformingen av et prosjekt, noe som øker den generelle sikkerheten. Tilsyn bør utføres kontinuerlig for å holde tritt med de sofistikerte og nye teknikkene hackere bruker for å angripe systemer. Mens Tinyman angivelig hadde gjennomgått en revisjon, kunne en nylig revisjonssjekk ha bidratt til å fikse feilene eller sårbarhetene og muligens forhindre tapene.
Må lese: De fire store jobber mot blokkjederevisjon
Ideelt sett bør smarte kontraktrevisjoner gjøres før kontraktene distribueres. Disse revisjonene søker å se etter vanlige feil som stabelproblemer, gjeninnføringsfeil og andre mulige komplikasjoner. Revisjonsprosessen sjekker også for vertsplattformers kjente feil og sikkerhetsfeil, samtidig som utviklere kan teste den smarte kontrakten.
I tillegg hjelper revisjoner prosjekter med å kontinuerlig forbedre sine smarte kontrakter, og sikrer at de alltid er oppdatert. For eksempel, etter angrepet, ble Tinyman tvunget til å oppdatere sine smarte kontrakter for å forhindre slike angrep i fremtiden.
DeFi Forsikring
Spesielt, før du gjør noen ordninger innenfor DeFi-markedet, må brukere forstå risikoene forbundet med markedet fullt ut. Bortsett fra risikoer for smarte kontrakter, kan brukere også møte orakelrisiko og styringsrisiko.
Når det er sagt, kan brukerne ta informerte avgjørelser ved å gjennomføre skikkelig forskning på markedene og prosjektene der. En slik beslutning er å få beskyttelse for uforutsette angrep gjennom DeFi Insurance.
DeFi Insurance er prosessen med å forsikre seg eller kjøpe dekning mot tap som hendelser i DeFi-bransjen kan lide. Det økende antallet tap innen DeFi har skapt en etterspørsel etter DeFi-forsikringsprodukter ettersom nye prosjekter fortsetter å øke for hver dag.
Vanligvis ender mange berørte sentraler opp med å gi erstatning til ofrene sine etter angrepet. Noen av de hackede prosjektene kan imidlertid ikke refundere brukerne sine.
Merk at Tinyman-teamet har kommet frem for å forsikre berørte brukere om at de vil bli refundert for tapene sine.
Styrke i fellesskap
Spesielt etter at det første angrepet ble offentlig, benyttet mange flere hackere muligheten til å kopiere hacket. De brukte de samme sårbarhetene for å utføre mindre angrep (andre til fjerde angrep) på sentralen. Imidlertid klarte Tinyman å redde en stor prosentandel av eiendelene deres med fellesskapets hjelp.
I dette og lignende angrep har samfunn bidratt til å spre nyhetene raskere, slik at brukere kan utføre de nødvendige sikkerhetstiltakene for å holde eiendelene sine trygge. I tillegg har lokalsamfunn til en viss grad bidratt til å bygge bedre kommunikasjon og samarbeid mellom utviklere og brukere for vekst av hele økosystemet.
De siste dagene har kryptobaserte samfunn bidratt til revolusjoner som har ført til vekst av prosjekter innen industrien.
Innpakning opp
Mens blockchain har gjort enorme gjennombrudd, spesielt innen finans, er teknologien langt fra perfekt. Imidlertid kan både prosjekteiere, utviklere og brukere ta passende tiltak for å sikre mer sikkerhet innenfor blokkjedebaserte applikasjoner.
Ved å ta ansvarlighetstiltak gjennom revisjoner og andre relevante tiltak, kan prosjekter eliminere eventuelle feil eller sårbarheter som kan brukes mot applikasjonen. Det er også viktig å ta andre forholdsregler som DeFi-forsikring og holde et tett fellesskap for å redusere slike hendelser.
Ta kontakt med QuillAudits
QuillAudits er en sikker smart kontraktrevisjonsplattform designet av QuillHash
Technologies.
Det er en revisjonsplattform som grundig analyserer og verifiserer smarte kontrakter for å se etter sikkerhetssårbarheter gjennom effektiv manuell gjennomgang med statiske og dynamiske analyseverktøy, gassanalysatorer og assimulatorer. I tillegg inkluderer revisjonsprosessen omfattende enhetstesting samt strukturelle analyser.
Vi gjennomfører både smarte kontraktrevisjoner og penetrasjonstester for å finne potensiale
sikkerhetssårbarheter som kan skade plattformens integritet.
Hvis du trenger hjelp til revisjonen av smarte kontrakter, ta gjerne kontakt med ekspertene våre her!
Bli med i fellesskapet vårt for å være oppdatert med arbeidet vårt:-
Twitter | Linkedin | Facebook | Telegram
Innlegget Lærdom fra angrepet på Tinyman, største DEX på Algorand dukket først på Blog.quillhash.
Kilde: https://blog.quillhash.com/2022/01/lessons-from-the-attack-on-tinyman-largest-dex-on-algorand
- "
- 2022
- Om oss
- Ifølge
- handlinger
- Aktiviteter
- Algorand
- Alle
- tillate
- analyse
- Søknad
- søknader
- eiendel
- Eiendeler
- revisjon
- være
- blockchain
- blockchain-baserte
- bugs
- Bygning
- Kjøpe
- saker
- Sjekker
- Koding
- Felles
- Kommunikasjon
- Communities
- samfunnet
- Selskapet
- fortsette
- fortsetter
- kontrakt
- kontrakter
- kunne
- skaperne
- krypto
- cryptocurrency
- cryptocurrency markedet
- DApps
- dag
- desentralisert
- Desentraliserte applikasjoner
- Desentralisert utveksling
- Defi
- Etterspørsel
- utforming
- utviklere
- Dex
- gJORDE
- forskjellig
- Vise
- økosystem
- spesielt
- Event
- hendelser
- utveksling
- Børser
- Face
- finansiere
- finansiell
- Først
- Fix
- feil
- svindel
- Gratis
- fond
- midler
- framtid
- GAS
- få
- Global
- styresett
- Økende
- Vekst
- hack
- hackere
- hacks
- hjelpe
- HTTPS
- viktig
- økt
- industri
- forsikring
- undersøke
- IT
- bli medlem
- holde
- nøkkel
- stor
- Led
- større
- Making
- ledelse
- marked
- Markets
- millioner
- millioner
- Natur
- nettverk
- nyheter
- tall
- Opportunity
- orakel
- Annen
- eiere
- prosent
- plattform
- basseng
- pools
- Problem
- prosess
- Produkter
- prosjekt
- prosjekter
- beskyttelse
- protokollen
- offentlig
- spørsmål
- heve
- rapporterer
- Rapporter
- forskning
- anmeldelse
- Risiko
- trygge
- Sa
- sikkerhet
- seed
- lignende
- Smart
- smart kontrakt
- Smarte kontrakter
- spre
- Stablecoins
- stjålet
- system
- Systemer
- Teknologi
- test
- tester
- tredjeparts
- Gjennom
- tid
- token
- tokens
- verktøy
- enorm
- Stol
- unik
- Oppdater
- Brukere
- Sikkerhetsproblemer
- lommebok
- Lommebøker
- innenfor
- Arbeid
- arbeidet
- verdt
- år
