Etter det som skjedde med MtGox eller QuadrigaCX eller lignende tilfeller der grunnleggere hevdet at de mistet de private nøklene som inneholdt mesteparten av de digitale eiendelene til børsene deres mens de forsvant eller funnet døde senere, blir folk i kryptosfæren stadig mer mistenksomme når de hører om en hacke på et prosjekt, og den første tanken som dukker opp er at gründerne i utgangspunktet har tømt fondet og stukket av med det, det er det som vanligvis kalles et RUG.
Dette har nok vært tilfelle i mange prosjekter, men ikke nødvendigvis i alle, så i dag ser vi på en sak som vi mener er et skikkelig hack på grunn av situasjonens natur.
Vi synes det er en interessant sak å analysere fordi den vil bidra til å bedre forstå viktigheten av sikkerhet og revisjoner i smartkontrakt- eller blokkjederelaterte prosjekter generelt.
Vi vil objektivt analysere dramaet som skjedde med RING Financial-prosjektet, et token lansert på BSC (Binance Blockchain).
Før vi kommer til hacket, vil vi først oppsummere prosjektet og dets situasjon før det:
RING Financial før hacket
RING financial var et DeFi-prosjekt med mål om å gjøre DeFi mer tilgjengelig for DeFi- og kryptosamfunnet. Et ambisiøst prosjekt som ønsket å lage en node-avkastningsprotokoll som ville bli styrt av nodeholdere og allokere likviditet til mer enn 300 protokoller samtidig. Målet var å få tilgang til alle protokollene gjennom én RING Node og gjennom RING Dapp.
Disse protokollene ble verifisert av teamet, og deretter ville samfunnet stemme på dem hvor de skulle tildeles. Det samme konseptet med å stemme som du ville ha i en DAO som gjorde RING ganske attraktiv.
RING Financial forenklet også ganske mye av forskningsprosessen og distribusjonsprosessen for én enkelt nodeholder. En Dapp for å få tilgang til alle de andre Dappene, så du trenger bare ett grensesnitt i stedet for 300 forskjellige med sine egne tilganger og egne noder.
Til slutt, RING Financials mål var å redusere gebyrene for distribusjon på forskjellige protokoller, med volum kommer lavere transaksjonsgebyrer for individuelle innehavere som var et av hovedsalgspunktene for prosjektet. Et prosjekt med teft og ambisjon om å gjøre ting enklere for samfunnet og enda mer mainstream for de som ikke er klar over Defi.
Men teft og ambisjoner er ikke alltid nok, og du trenger ekspertise og kunnskap som i nye og umodne markeder er et sjeldent funn, og som er grunnen til at RING Financial ikke klarte å oppfylle løftene sine.
Så hva skjedde egentlig med RING Financial? Og hvorfor ble den hacket? Takket være blokkjeden har vi alle rettsmedisinske bevis som trengs for å fordype oss i dette og se hvor sårbarhetene var og hvorfor RING Financial var ikke en svindel.
RING Financial HACK skjedde 5. desember 2021 mellom 2:01 og 2:06 UTC.
Ja, alt skjedde på bokstavelig talt bare 5 minutter! Takket være blokkjedeskanneren for disse detaljene, gir vi deg forresten rett under lenkene til transaksjonene relatert til HACK, samt adressen til kontrakten for de som vil søke mer detaljert.
Her er sammendraget som forklarer feilen som angriperen har utnyttet:
Du må forstå at RING Financials smartkontrakt var sammensatt av flere deler, en for token og all data relatert til den og en annen for alt relatert til regnskap for noder og belønninger. Den delen av tokenet hadde en sikkerhet slik at bare administratoren av kontrakten kan endre de viktige dataene til denne, for å vise deg litt kode, her er en overskrift for en funksjon av kontrakten som er beskyttet via attributtet "onlyOwner" som fastsetter at funksjonen kun kan utføres av administratoren:
En funksjon som ikke har en eneste eier attributt (eller tilsvarende attributt for å beskytte funksjonens tilgang) kan utføres av bokstavelig talt hvem som helst.
Nå, gjett hva? Funksjonene på Nodes and Rewards-delen hadde ikke denne egenskapen, som du kan se ved å se på funksjonsnavnene nedenfor (den eneste eier attributt mangler):
Og som du kan forestille deg, utnyttet og svindlet en hacker denne feilen for å få et eksponentielt antall belønninger i RING, og dumpet dem deretter i likviditetspoolen og tømte den nesten voldsomt på noen få minutter. Dermed utførte han svindelene sine.
Nå stiller du deg sannsynligvis to spørsmål:
Hvordan kunne utviklerne etterlate et slikt smutthull?
Etter å ha snakket med Solidity-utviklere (språk som brukes til å kode smartkontrakter på Ethereum), er dette en feil relatert til rollearven mellom to smartkontrakter, arv er en forestilling om programmeringsspråk og for ikke å forårsake hodepine, vil forbli i enkle ord: I utgangspunktet er det svært sannsynlig at personen som kodet kontrakten trodde at funksjonene til Node-delen arvet sikkerhetsrollene til funksjonene til Token-delen, men dette er dessverre ikke tilfelle i Solidity, og det er nødvendig å omdefinere rollene til hver funksjon i hver kontrakt, uansett kobling. Så vår konklusjon på dette punktet er at utvikleren ikke var ekspert og at han sannsynligvis publiserte kontrakten UTEN å ta seg tid til å lese den på nytt, sannsynligvis i all hast.
Hvordan vet du at det ikke er utvikleren selv som forlot denne feilen med vilje og at det ikke var en svindel?
Veldig god innvending og det er lett å anta en svindel når du ikke er sikker på hvordan smarte kontrakter fungerer, men det er faktisk veldig lett å anta utviklerens uskyld, fordi han publiserte og bekreftet hele koden til smartkontrakten offentlig på BSCSCAN.COM (den mest populære skanneren av Binance Blockchain), 19. november 2021, at det vil si mer enn to uker før RING Financial HACK skjedde. Og som forklart før, var feilen skrevet i SVART PÅ HVIT i kontrakten, og enhver erfaren utvikler ville ha lagt merke til det og reagert, men dessverre var den første som ikke hadde nåde i det hele tatt. Det er derfor åpenbart at utvikleren ikke var klar over denne feilen fordi han ikke ville ha tatt risikoen for å la noen drepe RING Financial-prosjektet når som helst.
For å gå tilbake til fortsettelsen av RING Financial HACK, innså utvikleren sin tabbe og fryste rett og slett kontrakten for å stoppe all distribusjon av belønninger slik at angriperen ikke tømmer bassenget helt. Deretter omdisponerte han en nodekontrakt, denne gangen med sikkerhetsattributtet "onlyOwner". Denne nye Node-kontrakten var i stand til å håndtere den nye belønningsfordelingen riktig, bortsett fra at det var for sent, fordi som et resultat av HACK hadde all tillit gått tapt til prosjektet og teamet, og salgspresset drepte og avsluttet tokenet og prosjektet.
For å konkludere, valgte vi denne historien fordi den viser to viktige ting om smartkontrakter og kryptoprosjekter, aldri kode en kontrakt i hast og alltid kontakt revisjonsfirmaene, for når hacket først skjer, er det for sent å redde båten, og RING Financial-prosjektet er et godt eksempel, de har dessuten, ifølge deres kommunikasjon, kontaktet revisjonsfirmaer for denne andre Node-kontrakten og ikke lagt den ut offentlig på BSCSCAN før de var sikre på sikkerheten. Men som sagt før, det var for sent for RING Financial, og skaden var irreversibel.
Her er alle lenkene til skanneren og kontraktsadressene:
lommebok utfører transaksjon for hackutnyttelse: 0xfe58c9e2ecb95757be6f4bca33162cfa346cc34f
Ring smart-contract address: 0x521ef54063148e5f15f18b9631426175cee23de2
Ring reward pool address: 0xa46cc87eca075c5ae387b86867aa3ee4cb397372
transaksjonshackutnyttelse:
TRX 1
link: https://bscscan.com/tx/0x596d38494ea5ae640b2a556a7029692928f15713d22b5948477c4eb4a92cf68e
TRX 2
link: https://bscscan.com/tx/0xfc890c855709bb6aeb5177ee31e08751561344402a88af13e7dfd02b9a2f6003
TRX 3
link: https://bscscan.com/tx/0x35c2f1ed9c5ce13a714af6c0dcbbce8fe720f7d6212232b6dd3657d8799a10f1
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://www.fintechnews.org/how-to-judge-if-a-so-called-hack-that-happened-to-a-crypto-or-blockchain-project-is-legit-or-if-its-just-a-mechanism-to-hide-a-rug/
- :er
- 2021
- a
- I stand
- Om oss
- adgang
- tilgjengelig
- Ifølge
- Regnskap og administrasjon
- faktisk
- adresse
- adresser
- Etter
- Alle
- alltid
- ambisjon
- ambisiøs
- analysere
- og
- En annen
- noen
- ER
- AS
- Eiendeler
- At
- attraktiv
- revisjon
- revisjonsfirmaer
- revisjoner
- I utgangspunktet
- BE
- fordi
- før du
- tro
- under
- Bedre
- mellom
- binance
- Svart
- blockchain
- Blockchain-relatert
- båt
- BSC
- by
- som heter
- CAN
- saken
- saker
- Årsak
- viss
- hevdet
- kode
- COM
- Kom
- kommer
- vanligvis
- Kommunikasjon
- samfunnet
- helt
- komponert
- konsept
- konkluderer
- konklusjon
- kontakt
- videreføring
- kontrakt
- kunne
- skape
- krypto
- kryptomiljøet
- kryptoprosjekter
- DAO
- Dapp
- DApps
- dato
- død
- Desember
- Defi
- utplasserings
- distribusjon
- detalj
- detaljer
- Utvikler
- utviklere
- gJORDE
- forskjellig
- digitalt
- Digitale eiendeler
- forsvinner
- distribusjon
- Drama
- hver enkelt
- enklere
- nok
- Hele
- fullstendig
- Tilsvarende
- feil
- ethereum
- Selv
- alt
- bevis
- eksempel
- Unntatt
- Børser
- utførende
- erfaren
- Expert
- ekspertise
- forklarte
- forklare
- Exploit
- Exploited
- eksponentiell
- avgifter
- Noen få
- finansiell
- Finn
- bedrifter
- Først
- feil
- Til
- Rettsmedisinsk
- funnet
- grunnleggere
- funksjon
- funksjoner
- fond
- general
- få
- god
- hack
- hacket
- hacker
- håndtere
- skjedde
- skjer
- Ha
- høre
- hjelpe
- her.
- Gjemme seg
- holder
- holdere
- holder
- Hvordan
- Hvordan
- HTTPS
- IBM
- betydning
- viktig
- in
- stadig
- individuelt
- arv
- i stedet
- interessant
- Interface
- IT
- DET ER
- jpg
- dømme
- nøkler
- Drepe
- Vet
- kunnskap
- Språk
- Late
- lansert
- Permisjon
- Legit
- Sannsynlig
- LINK
- lenker
- Likviditet
- likviditetsbasseng
- ser
- Lot
- laget
- Hoved
- Mainstream
- Flertall
- gjøre
- Making
- mange
- Markets
- max bredde
- mekanisme
- tankene
- minutter
- mangler
- modifisere
- mer
- Videre
- mest
- Mest populær
- mtgox
- navn
- Natur
- nødvendigvis
- nødvendig
- Trenger
- Ny
- node
- noder
- Forestilling
- November
- Antall
- Åpenbare
- of
- on
- ONE
- rekkefølge
- Annen
- egen
- del
- deler
- Ansatte
- person
- plukket
- plato
- Platon Data Intelligence
- PlatonData
- Point
- poeng
- basseng
- Populær
- Post
- press
- privat
- Private nøkler
- sannsynligvis
- prosess
- Programmering
- prosjekt
- prosjekter
- løfte
- beskytte
- beskyttet
- protokollen
- protokoller
- gi
- offentlig
- publisert
- formål
- QuadrigaCX
- spørsmål
- SJELDEN
- Lese
- ekte
- realisert
- redusere
- i slekt
- forskning
- resultere
- retur
- Belønn
- Belønninger
- Ringe
- Risiko
- Rolle
- roller
- Kjør
- Sa
- samme
- Spar
- Svindel
- svindel
- Søk
- Sekund
- sikkerhet
- Å Sell
- flere
- Vis
- Viser
- lignende
- Enkelt
- forenklet
- ganske enkelt
- enkelt
- situasjon
- smart kontrakt
- So
- soliditet
- noen
- opphold
- Stopp
- Story
- slik
- oppsummere
- SAMMENDRAG
- mistenkelig
- ta
- snakker
- lag
- Takk
- Det
- De
- deres
- Dem
- derfor
- Disse
- ting
- trodde
- Gjennom
- tid
- til
- i dag
- token
- også
- Transaksjonen
- transaksjons~~POS=TRUNC
- Transaksjoner
- Stol
- forstå
- UTC
- verifisert
- av
- volum
- Stem
- Stemmegivning
- Sikkerhetsproblemer
- ønsket
- Vei..
- uker
- VI VIL
- Hva
- hvilken
- mens
- hvit
- HVEM
- vil
- med
- uten
- ord
- Arbeid
- ville
- skrevet
- givende
- Du
- deg selv
- zephyrnet
