Tempo de leitura: 5 minutos
Os hacks de criptografia continuam em 2022, à medida que os hackers atacam vulnerabilidades em diferentes redes, aumentando milhões de ativos roubados. A comunidade Algorand começou o ano com uma nota azeda após um ataque à sua exchange descentralizada que levou à perda de cerca de US$ 3 milhões em ativos.
Segundo relatos, em 1 de janeiro de 2022, usuários não autorizados atacados Tinyman, uma plataforma financeira descentralizada construída em Algorand. O evento foi feito em quatro ataques separados, permitindo que os hackers roubassem cerca de $ 3 milhões de pools dentro do protocolo.
Um relatório da Tinyman mostrou que quatro contas foram comprometidas, o que afetou cerca de 250 usuários com participações em goBTC e goETH. Quarenta e três pools foram afetados por 360 atividades maliciosas realizadas por 13 endereços exclusivos.
Notavelmente, os invasores ativaram seus endereços de carteira, o que lhes permitiu depositar um fundo inicial para o ataque. Além disso, esses indivíduos supostamente violaram vulnerabilidades anteriormente desconhecidas no contrato inteligente da Tinyman. Isso permitiu que eles obtivessem dois dos mesmos tokens, que então trocaram alguns dos ativos e tokens de pool cunhados.
Os ataques teriam favorecido os usuários não autorizados porque o goBTC ativo era mais valioso do que o ALGO token que eles trocaram para receber mais fundos. Além disso, os atacantes também trocaram pools por stablecoins antes de retirar os ativos para outras carteiras e exchanges centralizadas.
Como um protocolo sem confiança e sem permissão, o Tinyman usa notavelmente contratos imutáveis, tornando impossível para a exchange corrigir as vulnerabilidades e interromper o ataque rapidamente. No entanto, como resultado, eles só podiam aconselhar seus usuários a não usar a plataforma enquanto trabalhavam na correção do problema.
À medida que a equipe do Tinyman continua investigando a incidência, algumas áreas-chave precisam ser abordadas. Esses incluem:
Importância das Auditorias
Dado o aumento do número de casos de fraude e ataques relacionados a criptomoedas no DeFi e no mercado geral de criptomoedas, a necessidade de sistemas de verificação e responsabilidade não pode ser enfatizada o suficiente.
No ano passado, em novembro, Elliptic, uma empresa global de gerenciamento de risco de criptografia, realizou pesquisas mostrando que mais de US$ 10.5 bilhões valor de ativos foram perdidos do DeFi em 2021 devido a hacks e outros ataques a redes e protocolos.
Além disso, hacks relacionados ao DeFi representaram 76% de todos os principais hacks em 2021. De acordo com o relatório, a natureza sem confiança dos aplicativos descentralizados (DApps) dentro do DeFi é uma bênção e uma maldição. A falta de confiança elimina qualquer controle de terceiros sobre os fundos dos usuários. No entanto, os usuários são forçados a confiar que os criadores dos protocolos em questão não cometeram nenhum erro na codificação ou design que poderia permitir um ataque ao sistema.
As auditorias permitem que entidades confiáveis verifiquem vulnerabilidades com os códigos e o design estrutural de um projeto, aumentando a segurança geral. Auditorias devem ser realizadas constantemente para acompanhar as técnicas sofisticadas e novas que os hackers usam para atacar os sistemas. Embora o Tinyman tenha passado por uma auditoria, uma verificação de auditoria recente poderia ter ajudado a corrigir os bugs ou vulnerabilidades e possivelmente evitar as perdas.
Deve ler: Os quatro grandes trabalhando para a auditoria Blockchain
Idealmente, as auditorias de contrato inteligente devem ser feitas antes da implantação dos contratos. Essas auditorias procuram verificar erros comuns, como problemas de pilha, erros de reentrada e outras possíveis complicações. O processo de auditoria também verifica erros conhecidos e falhas de segurança das plataformas host, permitindo que os desenvolvedores testem o contrato inteligente.
Além disso, as auditorias ajudam os projetos a melhorar constantemente seus contratos inteligentes, garantindo que estejam sempre atualizados. Por exemplo, após o ataque, a Tinyman foi forçada a atualizar seus contratos inteligentes para evitar esses ataques no futuro.
Seguro DeFi
Notavelmente, antes de fazer qualquer acordo no mercado DeFi, os usuários precisam entender completamente os riscos associados ao mercado. Além dos riscos de contrato inteligente, os usuários também podem enfrentar riscos de oráculo e riscos de governança.
Dito isto, a realização de pesquisas adequadas sobre os mercados e projetos neles existentes permite que os usuários tomem decisões informadas. Uma dessas decisões é obter proteção contra ataques imprevistos por meio do DeFi Insurance.
Seguro DeFi é o processo de se segurar ou comprar cobertura contra perdas que eventos na indústria DeFi possam sofrer. O número crescente de perdas dentro do DeFi criou uma demanda por produtos de seguro DeFi à medida que novos projetos crescem a cada dia.
Normalmente, muitas exchanges afetadas acabam reembolsando suas vítimas após o ataque. No entanto, alguns dos projetos hackeados não podem reembolsar seus usuários.
Observe que a equipe do Tinyman veio para garantir aos usuários afetados que eles serão reembolsados por suas perdas.
Força nas Comunidades
Notavelmente, depois que o primeiro ataque se tornou público, muitos outros hackers aproveitaram a oportunidade para copiar o hack. Eles usaram as mesmas vulnerabilidades para executar ataques menores (segundo a quarto ataques) na exchange. No entanto, Tinyman conseguiu economizar uma grande porcentagem de seus ativos com a ajuda da comunidade.
Nesse e em ataques semelhantes, as comunidades ajudaram a divulgar as notícias mais rapidamente, permitindo que os usuários tomem as ações de segurança necessárias para ajudar a manter seus ativos seguros. Além disso, as comunidades, até certo ponto, ajudaram na construção de uma melhor comunicação e colaborações entre desenvolvedores e usuários para o crescimento de todo o ecossistema.
Nos últimos dias, as comunidades baseadas em criptografia ajudaram a criar revoluções que levaram ao crescimento de projetos no setor.
Resumindo
Embora o blockchain tenha feito grandes avanços, especialmente nas finanças, a tecnologia está longe de ser perfeita. No entanto, proprietários de projetos, desenvolvedores e usuários podem tomar as medidas apropriadas para garantir mais segurança em aplicativos baseados em blockchain.
Ao tomar medidas de responsabilidade por meio de auditorias e outras medidas relevantes, os projetos podem eliminar quaisquer bugs ou vulnerabilidades que possam ser usados contra o aplicativo. Além disso, tomar outras precauções, como seguro DeFi e manter uma comunidade fechada, é importante para mitigar esses eventos.
Entre em contato com QuillAudits
QuillAudits é uma plataforma de auditoria de contrato inteligente e segura projetada por QuillHash
Tecnologias.
É uma plataforma de auditoria que analisa e verifica rigorosamente contratos inteligentes para verificar vulnerabilidades de segurança por meio de revisão manual eficaz com ferramentas de análise estática e dinâmica, analisadores de gás e assimuladores. Além disso, o processo de auditoria também inclui testes de unidade extensivos, bem como análise estrutural.
Realizamos auditorias de contrato inteligentes e testes de penetração para encontrar potencial
vulnerabilidades de segurança que podem prejudicar a integridade da plataforma.
Se você precisar de assistência na auditoria de contratos inteligentes, sinta-se à vontade para entrar em contato com nossos especialistas aqui!
Para estar em dia com nosso trabalho, Junte-se à nossa comunidade: -
Twitter | LinkedIn | Facebook | Telegram
O posto Lições do ataque a Tinyman, maior DEX em Algorand apareceu pela primeira vez em Blog.quilhash.
Fonte: https://blog.quillhash.com/2022/01/lessons-from-the-attack-on-tinyman-largest-dex-on-algorand
- "
- 2022
- Sobre
- Segundo
- ações
- atividades
- Algorand
- Todos os Produtos
- Permitindo
- análise
- Aplicação
- aplicações
- ativo
- Ativos
- auditor
- ser
- blockchain
- baseada em bloco
- erros
- Prédio
- Comprar
- casos
- Cheques
- Codificação
- comum
- Comunicação
- Comunidades
- comunidade
- Empresa
- continuar
- continua
- contract
- contratos
- poderia
- criadores
- cripto
- criptomoedas
- mercado de criptografia
- DApps
- dia
- Descentralizada
- Aplicações Descentralizadas
- Troca Descentralizada
- DeFi
- Demanda
- Design
- desenvolvedores
- Dex
- DID
- diferente
- Ecrã
- ecossistema
- especialmente
- Evento
- eventos
- exchange
- Trocas
- Rosto
- financiar
- financeiro
- Primeiro nome
- Fixar
- falhas
- fraude
- Gratuito
- fundo
- fundos
- futuro
- GAS
- obtendo
- Global
- governo
- Crescente
- Growth
- cortar
- hackers
- hacks
- ajudar
- HTTPS
- importante
- aumentou
- indústria
- com seguro
- investigar
- IT
- juntar
- manutenção
- Chave
- grande
- levou
- principal
- Fazendo
- de grupos
- mercado
- Mercados
- milhão
- milhões
- Natureza
- redes
- notícias
- números
- Oportunidade
- oráculo
- Outros
- proprietários
- percentagem
- plataforma
- piscina
- Piscinas
- Problema
- processo
- Produtos
- projeto
- projetos
- proteção
- protocolo
- público
- questão
- aumentar
- Denunciar
- Relatórios
- pesquisa
- rever
- Risco
- seguro
- Dito
- segurança
- semente
- semelhante
- smart
- smart contract
- Smart Contracts
- propagação
- Stablecoins
- roubado
- .
- sistemas
- Equipar
- teste
- testes
- De terceiros
- Através da
- tempo
- token
- Tokens
- ferramentas
- tremendo
- Confiança
- único
- Atualizar
- usuários
- vulnerabilidades
- Wallet
- Carteiras
- dentro
- Atividades:
- trabalhou
- Equivalente há
- ano
