Очевидно, что после того, что произошло с MtGox или QuadrigaCX или подобных случаев, когда основатели утверждали, что они потеряли закрытые ключи, содержащие большинство цифровых активов их бирж, исчезнув или найдены мертвыми позже, люди в криптосфере становятся все более подозрительными, когда слышат о взломать проект, и первая мысль, которая приходит на ум, это то, что основатели фактически опустошили фонд и сбежали с ним, это то, что обычно называют RUG.
Это, вероятно, имело место во многих проектах, но не обязательно во всех, поэтому сегодня мы рассматриваем случай, который мы считаем настоящим взломом из-за характера ситуации.
Мы считаем, что это интересный случай для анализа, поскольку он поможет лучше понять важность безопасности и аудита в проектах, связанных со смарт-контрактами или блокчейном в целом.
Объективно проанализируем драму, случившуюся с проектом RING Financial, токеном, запущенным на BSC (Binance Blockchain).
Прежде чем перейти к взлому, мы сначала подведем итоги проекта и его ситуации перед ним:
RING Financial до взлома
RING Financial был проектом DeFi, целью которого было сделать DeFi более доступным для сообщества DeFi и криптовалют. Амбициозный проект, который хотел создать протокол передачи узлов, которым управляли бы держатели узлов, и распределять ликвидность по более чем 300 протоколам одновременно. Цель состояла в том, чтобы получить доступ ко всем протоколам через один RING Node и через RING Dapp.
Эти протоколы были проверены командой, а затем сообщество проголосовало за их размещение. Та же концепция голосования, что и в DAO, что делает RING довольно привлекательным.
RING Financial также значительно упростила процесс исследования и процесс развертывания для одного держателя узла. Одно Dapp для доступа ко всем другим Dapps, поэтому вам понадобится только один интерфейс вместо 300 разных со своими собственными доступами и собственными узлами.
Наконец, цель RING Financial состояла в том, чтобы снизить комиссию за развертывание на различных протоколах, а объем означает более низкую комиссию за транзакции для отдельных держателей, что было одним из основных преимуществ проекта. Проект с талантом и стремлением облегчить жизнь сообществу и сделать его еще более популярным для тех, кто не знает о Defi.
Однако чутья и амбиций не всегда достаточно, и вам нужны опыт и знания, которые на новых и незрелых рынках являются редкостью, и именно поэтому RING Financial не смогла полностью выполнить свое обещание.
Так что же на самом деле произошло с RING Financial? И почему его взломали? Благодаря блокчейну у нас есть все доказательства, необходимые для судебной экспертизы, чтобы разобраться в этом и увидеть, где были уязвимости и почему. RING Financial не была аферой.
RING Financial HACK произошел 5 декабря 2021 года между 2:01 и 2:06 по всемирному координированному времени.
Да, все произошло буквально за 5 минут! Кстати, благодаря сканеру блокчейна за эти детали мы предоставляем вам чуть ниже ссылки на транзакции, связанные со ВЗЛОМ, а также адрес контракта для тех, кто захочет искать более подробно.
Вот краткое описание уязвимости, которую использовал злоумышленник:
Вы должны понимать, что смарт-контракт RING Financial состоял из нескольких частей: одна для токена и всех связанных с ним данных, а другая для всего, что связано с учетом узлов и вознаграждений. Часть токена была защищена, так что только администратор контракта может изменить важные данные этого, чтобы показать вам некоторый код, вот заголовок функции контракта, который защищен атрибутом «onlyOwner». в котором указано, что функция может быть выполнена только администратором:
Функция, не имеющая тольковладелец атрибут (или эквивалентный атрибут для защиты доступа к функции) может быть выполнен буквально кем угодно.
Теперь, угадайте, что? Функции в части узлов и вознаграждений не имели этого атрибута, как вы можете видеть, взглянув на имена функций ниже (значок тольковладелец атрибут отсутствует):
И, как вы можете себе представить, хакер воспользовался и обманул эту уязвимость, чтобы получить экспоненциальное количество вознаграждений в RING, а затем сбросил их в пул ликвидности и почти насильственно опустошил его за несколько минут. Таким образом, он совершал свои аферы.
Теперь вы, вероятно, задаете себе два вопроса:
Как разработчики могли оставить такую лазейку?
Пообщавшись с разработчиками Solidity (язык написания смарт-контрактов на Ethereum), это ошибка, связанная с наследованием ролей между двумя смарт-контрактами, наследование — это понятие языка программирования, и чтобы не вызывать у вас головной боли, мы Останусь простыми словами: В принципе, очень вероятно, что человек, который кодировал контракт, думал, что функции части Node унаследовали роли безопасности функций части Token, но, к сожалению, это не так в Solidity, и необходимо переопределить роли каждой функции каждого контракта, какова бы ни была их связь. Таким образом, наш вывод по этому вопросу заключается в том, что разработчик не был экспертом и что он, вероятно, опубликовал контракт, НЕ потратив время на его повторное прочтение, вероятно, в спешке.
Откуда вы знаете, что это не сам разработчик специально оставил этот недостаток и это не был развод?
Очень хорошее возражение, и легко предположить мошенничество, когда вы не уверены в том, как умные контракты работают, но на самом деле очень легко предположить невиновность разработчика, потому что он опубликовал и проверил весь код смарт-контракта публично на BSCSCAN.COM (самый популярный сканер блокчейна Binance) 19 ноября 2021 года, что то есть более чем за две недели до того, как произошел взлом RING Financial. И, как объяснялось ранее, недостаток был написан ЧЕРНЫМ ПО БЕЛОМ в контракте, и любой опытный разработчик заметил бы его и отреагировал, но, к сожалению, первый не пощадил. Таким образом, очевидно, что разработчик не знал об этом недостатке, потому что он не стал бы рисковать, позволив кому-либо убить проект RING Financial в любое время.
Чтобы вернуться к продолжению RING Financial HACK, разработчик осознал свою оплошность и просто заморозил контракт, чтобы остановить любую раздачу вознаграждений, чтобы злоумышленник не опустошил пул полностью. Затем он повторно развернул контракт Node, на этот раз с атрибутом безопасности onlyOwner. Этот новый контракт Node смог правильно обработать новое распределение вознаграждения, за исключением того, что было слишком поздно, потому что в результате ВЗЛОМА все доверие к проекту и команде было потеряно, а давление со стороны продавцов убило и положило конец токену и проект.
В заключение мы выбрали эту историю, потому что она показывает две важные вещи о смарт-контрактах и криптопроектах: никогда не кодируйте контракт в спешке и всегда связывайтесь с аудиторскими фирмами, потому что, как только произойдет взлом, уже слишком поздно спасать лодку, и Хорошим примером является финансовый проект RING, более того, согласно их сообщению, они связались с аудиторскими фирмами для этого второго контракта Node и не публиковали его публично на BSCSCAN, пока не были уверены в его безопасности. Но, как было сказано ранее, для RING Financial было уже слишком поздно, и ущерб был необратим.
Вот все ссылки сканера и адреса договоров:
кошелек выполняет транзакцию для взлома: 0xfe58c9e2ecb95757be6f4bca33162cfa346cc34f
Ring smart-contract address: 0x521ef54063148e5f15f18b9631426175cee23de2
Ring reward pool address: 0xa46cc87eca075c5ae387b86867aa3ee4cb397372
эксплойт для взлома транзакций:
TRX 1
link: https://bscscan.com/tx/0x596d38494ea5ae640b2a556a7029692928f15713d22b5948477c4eb4a92cf68e
TRX 2
link: https://bscscan.com/tx/0xfc890c855709bb6aeb5177ee31e08751561344402a88af13e7dfd02b9a2f6003
TRX 3
link: https://bscscan.com/tx/0x35c2f1ed9c5ce13a714af6c0dcbbce8fe720f7d6212232b6dd3657d8799a10f1
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.fintechnews.org/how-to-judge-if-a-so-called-hack-that-happened-to-a-crypto-or-blockchain-project-is-legit-or-if-its-just-a-mechanism-to-hide-a-rug/
- :является
- 2021
- a
- в состоянии
- О нас
- доступ
- доступной
- По
- Бухгалтерский учет
- на самом деле
- адрес
- адреса
- После
- Все
- всегда
- амбиция
- честолюбивый
- анализировать
- и
- Другой
- кто угодно
- МЫ
- AS
- Активы
- At
- привлекательный
- аудит
- аудиторские фирмы
- аудит
- в основном
- BE
- , так как:
- до
- верить
- ниже
- Лучшая
- между
- binance
- Черный
- блокчейн
- Блокчейн
- лодка
- BSC
- by
- под названием
- CAN
- случаев
- случаев
- Вызывать
- определенный
- заявил
- код
- COM
- как
- приход
- обычно
- Связь
- сообщество
- полностью
- состоящие
- сама концепция
- вывод
- заключение
- обращайтесь
- продолжение
- контракт
- может
- Создайте
- крипто-
- crypto community
- криптопроекты
- DAO
- DAPP
- DApps
- данным
- мертвый
- Декабрь
- Defi
- развертывание
- развертывание
- подробность
- подробнее
- Застройщик
- застройщиков
- DID
- различный
- Интернет
- Цифровые активы
- исчезающий
- распределение
- Драма
- каждый
- легче
- достаточно
- Весь
- полностью
- Эквивалент
- ошибка
- Эфириума
- Даже
- многое
- , поскольку большинство сенаторов
- пример
- Кроме
- Биржи
- проведение
- опытные
- эксперту
- опыта
- объяснены
- объясняя
- Эксплуатировать
- Эксплуатируемый
- экспоненциальный
- Сборы
- несколько
- финансовый
- Найдите
- Компаний
- Во-первых,
- недостаток
- Что касается
- судебный
- найденный
- Учредителями
- функция
- Функции
- фонд
- Общие
- получить
- хорошо
- мотыга
- взломанa
- хакер
- обрабатывать
- произошло
- происходит
- Есть
- слышать
- помощь
- здесь
- Спрятать
- держатель
- держатели
- проведение
- Как
- How To
- HTTPS
- IBM
- значение
- важную
- in
- все больше и больше
- individual
- наследование
- вместо
- интересный
- Интерфейс
- IT
- ЕГО
- JPG
- судья
- ключи
- Убийство
- Знать
- знания
- язык
- Поздно
- запустили
- Оставлять
- Законный
- Вероятно
- LINK
- связи
- Ликвидность
- пул ликвидности
- искать
- серия
- сделанный
- Главная
- Mainstream
- Большинство
- сделать
- Создание
- многих
- Области применения:
- макс-ширина
- механизм
- против
- Минут
- отсутствующий
- изменять
- БОЛЕЕ
- Более того
- самых
- Самые популярные
- mtgox
- имена
- природа
- обязательно
- необходимо
- Необходимость
- Новые
- узел
- узлы
- понятие
- Ноябрь
- номер
- Очевидный
- of
- on
- ONE
- заказ
- Другое
- собственный
- часть
- части
- Люди
- человек
- взял
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Точка
- пунктов
- бассейн
- Популярное
- После
- давление
- частная
- Частные ключи
- вероятно
- процесс
- Программирование
- Проект
- проектов
- обещание
- для защиты
- защищенный
- протокол
- протоколы
- обеспечивать
- публично
- опубликованный
- цель
- QuadrigaCX
- Вопросы
- РЕДКИЙ
- Читать
- реальные
- реализованный
- уменьшить
- Связанный
- исследованиям
- результат
- возвращают
- Предложение
- Награды
- кольцо
- Снижение
- Роли
- роли
- Run
- Сказал
- то же
- Сохранить
- Мошенничество
- мошенничество
- Поиск
- Во-вторых
- безопасность
- продажа
- несколько
- показывать
- Шоу
- аналогичный
- просто
- упрощенный
- просто
- одинарной
- ситуация
- умный контракт
- So
- основательность
- некоторые
- оставаться
- Stop
- История
- такие
- суммировать
- РЕЗЮМЕ
- подозрительный
- с
- говорить
- команда
- Спасибо
- который
- Ассоциация
- их
- Их
- следовательно
- Эти
- вещи
- мысль
- Через
- время
- в
- сегодня
- знак
- слишком
- сделка
- Операционные издержки
- Сделки
- Доверие
- понимать
- UTC
- проверено
- с помощью
- объем
- Голос
- голосование
- Уязвимости
- стремятся
- Путь..
- Недели
- ЧТО Ж
- Что
- который
- в то время как
- белый
- КТО
- будете
- без
- слова
- Работа
- бы
- письменный
- уступая
- Ты
- себя
- зефирнет