Evident, după ceea ce s-a întâmplat cu MtGox sau QuadrigaCX sau cazuri similare în care fondatorii au susținut că au pierdut cheile private care dețineau majoritatea activelor digitale ale schimburilor lor în timp ce au dispărut sau au fost găsiți morți mai târziu, oamenii din sfera cripto sunt din ce în ce mai suspicioși când aud despre un pirata un proiect, iar primul gând care vine în minte este că fondatorii au golit fondul și au fugit cu el, asta este ceea ce se numește în mod obișnuit un RUG.
Probabil că acesta a fost cazul în multe proiecte, dar nu neapărat în toate, așa că astăzi ne uităm la un caz despre care credem că este un adevărat hack din cauza naturii situației.
Credem că este un caz interesant de analizat, deoarece va ajuta la înțelegerea mai bună a importanței securității și a auditurilor în proiectele legate de smart-contract sau blockchain în general.
Vom analiza obiectiv drama care s-a întâmplat cu proiectul RING Financial, un token lansat pe BSC (Binance Blockchain).
Înainte de a veni la hack, vom rezuma mai întâi proiectul și situația lui înaintea acestuia:
RING financiar înainte de hack
RING financiar a fost un proiect DeFi cu scopul de a face DeFi mai accesibil comunității DeFi și cripto. Un proiect ambițios care dorea să creeze un protocol de generare a nodurilor care să fie guvernat de Deținătorii de noduri și să aloce lichidități în peste 300 de protocoale simultan. Scopul a fost de a obține acces la toate protocoalele printr-un singur nod RING și prin RING Dapp.
Aceste protocoale au fost verificate de echipă și apoi comunitatea le-a votat unde să le aloce. Același concept de vot pe care l-ați avea într-un DAO care a făcut RING destul de atractiv.
De asemenea, RING Financial a simplificat destul de mult procesul de cercetare și procesul de implementare pentru un singur Node Holder. Un Dapp pentru a accesa toate celelalte Dapp-uri, astfel încât să aveți nevoie de o singură interfață în loc de 300 de altele diferite, cu propriile accesări și noduri proprii.
În cele din urmă, scopul RING Financial a fost de a reduce taxele de implementare pe diferite protocoale, cu volumul vin și comisioane de tranzacție mai mici pentru deținătorii individuali, ceea ce a fost unul dintre principalele puncte de vânzare ale proiectului. Un proiect cu fler și ambiție de a face lucrurile mai ușoare pentru comunitate și chiar mai mainstream pentru cei care nu cunosc Defi.
Cu toate acestea, flerul și ambiția nu sunt întotdeauna suficiente și aveți nevoie de experiență și cunoștințe, ceea ce pe piețele noi și imature este o descoperire rară și motiv pentru care RING Financial nu și-a putut îndeplini în totalitate promisiunea.
Deci, ce sa întâmplat cu adevărat cu RING Financial? Și de ce a fost spart? Datorită blockchain-ului, avem toate dovezile criminalistice necesare pentru a explora acest lucru și a vedea unde au fost vulnerabilitățile și de ce RING Financial nu a fost o înșelătorie.
HACK-ul financiar RING a avut loc pe 5 decembrie 2021, între orele 2:01 și 2:06 UTC.
Da, totul s-a întâmplat în doar 5 minute! Mulțumită scanerului blockchain pentru aceste detalii, de altfel, vă punem la dispoziție chiar mai jos linkurile tranzacțiilor legate de HACK-ul precum și adresa contractului pentru cei care vor dori să caute mai detaliat.
Iată rezumatul care explică defectul pe care a exploatat-o atacatorul:
Trebuie să înțelegeți că smart-contractul RING Financial a fost compus din mai multe părți, una pentru token și toate datele legate de acesta și alta pentru tot ce ține de contabilitatea nodurilor și recompenselor. Partea din token avea o securitate astfel încât doar administratorul contractului poate modifica datele importante ale acestuia, pentru a vă arăta un cod, iată un antet al unei funcții a contractului care este protejat prin atributul „onlyOwner” care prevede că funcția poate fi executată doar de administrator:
O funcție care nu are un numai Proprietar atributul (sau atributul echivalent pentru a proteja accesul la funcție) poate fi executat de aproape oricine.
Acum, ghici ce? Funcțiile din partea Noduri și recompense nu au avut acest atribut, așa cum puteți vedea uitându-vă la numele funcțiilor de mai jos ( numai Proprietar lipsește atributul):
Și după cum vă puteți imagina, un hacker a exploatat și a înșelat acest defect pentru a obține un număr exponențial de recompense în RING, apoi le-a aruncat în fondul de lichiditate și l-a golit aproape violent în câteva minute. Astfel, și-a săvârșit escrocherii.
Acum probabil că vă puneți două întrebări:
Cum au putut dezvoltatorii să lase o astfel de portiță?
După ce am discutat cu dezvoltatorii Solidity (limbaj folosit la codificarea smart-contract-urilor pe Ethereum), aceasta este o eroare legată de moștenirea rolului dintre două smart-contract, moștenirea este o noțiune de limbaj de programare și pentru a nu vă provoca bătăi de cap, noi va rămâne în cuvinte simple: în principiu, este foarte probabil ca persoana care a codificat contractul să fi crezut că funcțiile părții Node au moștenit rolurile de securitate ale funcțiilor părții Token, dar, din păcate, nu este cazul în Solidity, și este necesară redefinirea rolurilor fiecărei funcții a fiecărui contract, indiferent de legătura acestora. Deci concluzia noastră în acest punct este că dezvoltatorul nu era un expert și că probabil a publicat contractul FĂRĂ să-și facă timp să-l citească din nou, probabil în grabă.
De unde știi că nu dezvoltatorul însuși a lăsat acest defect intenționat și nu a fost o înșelătorie?
Obiecție foarte bună și este ușor să-ți asumi o înșelătorie atunci când nu ești sigur cum contracte inteligente funcționează, dar de fapt este foarte ușor să ne asumăm nevinovăția dezvoltatorului, deoarece acesta a publicat și verificat public întregul cod al smart-contractului pe BSCSCAN.COM (cel mai popular scaner al Binance Blockchain), pe 19 noiembrie 2021, că adică cu mai mult de două săptămâni înainte ca RING Financial HACK să aibă loc. Și așa cum am explicat mai înainte, defectul a fost scris cu NEGRU PE ALB în contract și orice dezvoltator cu experiență ar fi observat-o și ar fi reacționat, dar, din păcate, primul care nu a avut milă deloc. Prin urmare, este evident că dezvoltatorul nu era conștient de acest defect, deoarece nu și-ar fi asumat riscul de a lăsa pe nimeni să omoare proiectul RING Financial în orice moment.
Pentru a reveni la continuarea RING Financial HACK, dezvoltatorul și-a dat seama de gafa sa și pur și simplu a înghețat contractul pentru a opri orice distribuire de recompense, astfel încât atacatorul să nu golească complet fondul. Apoi a redistribuit un contract Node, de data aceasta cu atributul de securitate „onlyOwner”. Acest nou contract Node a reușit să gestioneze corect noua distribuție a recompensei, cu excepția faptului că era prea târziu, deoarece, ca urmare a HACK-ului, toată încrederea a fost pierdută în proiect și echipă, iar presiunea de vânzare a ucis și a pus capăt simbolului și proiectul.
Pentru a încheia, am ales această poveste pentru că arată două lucruri importante despre contractele inteligente și proiectele cripto, nu codificați niciodată un contract în grabă și contactați întotdeauna firmele de audit, deoarece odată ce se întâmplă hack-ul, este prea târziu pentru a salva barca și Proiectul financiar RING este un bun exemplu, în plus, conform comunicării lor, au contactat firme de audit pentru acest al doilea contract Node și nu l-au postat public pe BSCSCAN până nu au fost siguri de securitatea acestuia. Dar, după cum am spus mai devreme, era prea târziu pentru RING Financial, iar pagubele au fost ireversibile.
Iată toate linkurile scanerului și adresele contractului:
portofel care execută tranzacție pentru hack exploit: 0xfe58c9e2ecb95757be6f4bca33162cfa346cc34f
Ring smart-contract address: 0x521ef54063148e5f15f18b9631426175cee23de2
Ring reward pool address: 0xa46cc87eca075c5ae387b86867aa3ee4cb397372
exploatare de piratare a tranzacțiilor:
TRX 1
link: https://bscscan.com/tx/0x596d38494ea5ae640b2a556a7029692928f15713d22b5948477c4eb4a92cf68e
TRX 2
link: https://bscscan.com/tx/0xfc890c855709bb6aeb5177ee31e08751561344402a88af13e7dfd02b9a2f6003
TRX 3
link: https://bscscan.com/tx/0x35c2f1ed9c5ce13a714af6c0dcbbce8fe720f7d6212232b6dd3657d8799a10f1
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://www.fintechnews.org/how-to-judge-if-a-so-called-hack-that-happened-to-a-crypto-or-blockchain-project-is-legit-or-if-its-just-a-mechanism-to-hide-a-rug/
- :este
- 2021
- a
- Capabil
- Despre Noi
- acces
- accesibil
- Conform
- Contabilitate
- de fapt
- adresa
- adrese
- După
- TOATE
- mereu
- ambiție
- ambițios
- analiza
- și
- O alta
- oricine
- SUNT
- AS
- Bunuri
- At
- atractiv
- audit
- firme de audit
- audituri
- Pe scurt
- BE
- deoarece
- înainte
- Crede
- de mai jos
- Mai bine
- între
- binance
- Negru
- blockchain
- Legat de blockchain
- barcă
- BSC
- by
- denumit
- CAN
- caz
- cazuri
- Provoca
- sigur
- revendicat
- cod
- COM
- cum
- venire
- în mod obișnuit
- Comunicare
- comunitate
- complet
- compuse
- concept
- încheia
- concluzie
- contactați-ne
- continuare
- contract
- ar putea
- crea
- cripto
- cripto comunitate
- proiecte crypto
- DAO
- Dapp
- DApps
- de date
- mort
- decembrie
- DEFI
- Implementarea
- desfășurarea
- detaliu
- detalii
- Dezvoltator
- Dezvoltatorii
- FĂCUT
- diferit
- digital
- Active digitale
- dispărând
- distribuire
- Dramă
- fiecare
- mai ușor
- suficient de
- Întreg
- în întregime
- Echivalent
- eroare
- ethereum
- Chiar
- tot
- dovadă
- exemplu
- Cu excepția
- Platforme de tranzacţionare
- executând
- cu experienţă
- expert
- expertiză
- a explicat
- explicând
- Exploata
- exploatat
- exponențială
- Taxe
- puțini
- financiar
- Găsi
- firme
- First
- defect
- Pentru
- juridic
- găsit
- fondatorii
- funcţie
- funcții
- fond
- General
- obține
- bine
- hack
- tocat
- hacker
- manipula
- sa întâmplat
- se întâmplă
- Avea
- auzi
- ajutor
- aici
- Ascunde
- titular
- Titularii
- deținere
- Cum
- Cum Pentru a
- HTTPS
- IBM
- importanță
- important
- in
- tot mai mult
- individ
- moștenire
- in schimb
- interesant
- interfaţă
- IT
- ESTE
- jpg
- judecător
- chei
- Ucide
- Cunoaște
- cunoştinţe
- limbă
- Târziu
- a lansat
- Părăsi
- Legitim
- Probabil
- LINK
- Link-uri
- Lichiditate
- fond de lichidități
- cautati
- Lot
- făcut
- Principal
- Mainstream
- Majoritate
- face
- Efectuarea
- multe
- pieţe
- max-width
- mecanism
- minte
- minute
- dispărut
- modifica
- mai mult
- În plus
- cele mai multe
- Cel mai popular
- mtgox
- nume
- Natură
- în mod necesar
- necesar
- Nevoie
- Nou
- nod
- noduri
- noțiune
- noiembrie
- număr
- evident
- of
- on
- ONE
- comandă
- Altele
- propriu
- parte
- piese
- oameni
- persoană
- ales
- Plato
- Informații despre date Platon
- PlatoData
- Punct
- puncte
- piscină
- Popular
- Post
- presiune
- privat
- Cheile private
- probabil
- proces
- Programare
- proiect
- Proiecte
- promisiune
- proteja
- protejat
- protocol
- protocoale
- furniza
- public
- publicat
- scop
- QuadrigaCX
- Întrebări
- RAR
- Citeste
- real
- realizat
- reduce
- legate de
- cercetare
- rezultat
- reveni
- Răsplăti
- Recompense
- Inel
- Risc
- Rol
- rolurile
- Alerga
- Said
- acelaşi
- Economisiți
- Înșelătorie
- escrocherii
- Caută
- Al doilea
- securitate
- De vânzare
- câteva
- Arăta
- Emisiuni
- asemănător
- simplu
- simplificată
- pur şi simplu
- singur
- situație
- contract inteligent
- So
- soliditate
- unele
- şedere
- Stop
- Poveste
- astfel de
- rezuma
- REZUMAT
- suspicios
- luare
- vorbesc
- echipă
- mulțumesc
- acea
- lor
- Lor
- prin urmare
- Acestea
- lucruri
- gândit
- Prin
- timp
- la
- astăzi
- semn
- de asemenea
- tranzacție
- Taxele de tranzacție
- Tranzacții
- Încredere
- înţelege
- UTC
- verificat
- de
- volum
- Vot
- Vot
- Vulnerabilitățile
- dorit
- Cale..
- săptămâni
- BINE
- Ce
- care
- în timp ce
- alb
- OMS
- voi
- cu
- fără
- cuvinte
- Apartamente
- ar
- scris
- elastic
- Tu
- te
- zephyrnet
