Как определить, законен ли так называемый «ВЗЛОМ», произошедший с проектом криптовалюты или блокчейна, или это просто механизм, позволяющий спрятать коврик?

Переиздано Платоном

Читают: 0

Очевидно, что после того, что произошло с MtGox или QuadrigaCX или подобных случаев, когда основатели утверждали, что они потеряли закрытые ключи, содержащие большинство цифровых активов их бирж, исчезнув или найдены мертвыми позже, люди в криптосфере становятся все более подозрительными, когда слышат о взломать проект, и первая мысль, которая приходит на ум, это то, что основатели фактически опустошили фонд и сбежали с ним, это то, что обычно называют RUG.

Это, вероятно, имело место во многих проектах, но не обязательно во всех, поэтому сегодня мы рассматриваем случай, который мы считаем настоящим взломом из-за характера ситуации.

Мы считаем, что это интересный случай для анализа, поскольку он поможет лучше понять важность безопасности и аудита в проектах, связанных со смарт-контрактами или блокчейном в целом.

Объективно проанализируем драму, случившуюся с проектом RING Financial, токеном, запущенным на BSC (Binance Blockchain).

Прежде чем перейти к взлому, мы сначала подведем итоги проекта и его ситуации перед ним:

RING Financial до взлома

RING Financial был проектом DeFi, целью которого было сделать DeFi более доступным для сообщества DeFi и криптовалют. Амбициозный проект, который хотел создать протокол передачи узлов, которым управляли бы держатели узлов, и распределять ликвидность по более чем 300 протоколам одновременно. Цель состояла в том, чтобы получить доступ ко всем протоколам через один RING Node и через RING Dapp.

Эти протоколы были проверены командой, а затем сообщество проголосовало за их размещение. Та же концепция голосования, что и в DAO, что делает RING довольно привлекательным.

RING Financial также значительно упростила процесс исследования и процесс развертывания для одного держателя узла. Одно Dapp для доступа ко всем другим Dapps, поэтому вам понадобится только один интерфейс вместо 300 разных со своими собственными доступами и собственными узлами.

Наконец, цель RING Financial состояла в том, чтобы снизить комиссию за развертывание на различных протоколах, а объем означает более низкую комиссию за транзакции для отдельных держателей, что было одним из основных преимуществ проекта. Проект с талантом и стремлением облегчить жизнь сообществу и сделать его еще более популярным для тех, кто не знает о Defi.

Однако чутья и амбиций не всегда достаточно, и вам нужны опыт и знания, которые на новых и незрелых рынках являются редкостью, и именно поэтому RING Financial не смогла полностью выполнить свое обещание.

Так что же на самом деле произошло с RING Financial? И почему его взломали? Благодаря блокчейну у нас есть все доказательства, необходимые для судебной экспертизы, чтобы разобраться в этом и увидеть, где были уязвимости и почему. RING Financial не была аферой.

RING Financial HACK произошел 5 декабря 2021 года между 2:01 и 2:06 по всемирному координированному времени.

Да, все произошло буквально за 5 минут! Кстати, благодаря сканеру блокчейна за эти детали мы предоставляем вам чуть ниже ссылки на транзакции, связанные со ВЗЛОМ, а также адрес контракта для тех, кто захочет искать более подробно.

Вот краткое описание уязвимости, которую использовал злоумышленник:

Вы должны понимать, что смарт-контракт RING Financial состоял из нескольких частей: одна для токена и всех связанных с ним данных, а другая для всего, что связано с учетом узлов и вознаграждений. Часть токена была защищена, так что только администратор контракта может изменить важные данные этого, чтобы показать вам некоторый код, вот заголовок функции контракта, который защищен атрибутом «onlyOwner». в котором указано, что функция может быть выполнена только администратором:

Функция, не имеющая тольковладелец атрибут (или эквивалентный атрибут для защиты доступа к функции) может быть выполнен буквально кем угодно.

Теперь, угадайте, что? Функции в части узлов и вознаграждений не имели этого атрибута, как вы можете видеть, взглянув на имена функций ниже (значок тольковладелец атрибут отсутствует):

И, как вы можете себе представить, хакер воспользовался и обманул эту уязвимость, чтобы получить экспоненциальное количество вознаграждений в RING, а затем сбросил их в пул ликвидности и почти насильственно опустошил его за несколько минут. Таким образом, он совершал свои аферы.

Теперь вы, вероятно, задаете себе два вопроса:

Как разработчики могли оставить такую лазейку?

Пообщавшись с разработчиками Solidity (язык написания смарт-контрактов на Ethereum), это ошибка, связанная с наследованием ролей между двумя смарт-контрактами, наследование — это понятие языка программирования, и чтобы не вызывать у вас головной боли, мы Останусь простыми словами: В принципе, очень вероятно, что человек, который кодировал контракт, думал, что функции части Node унаследовали роли безопасности функций части Token, но, к сожалению, это не так в Solidity, и необходимо переопределить роли каждой функции каждого контракта, какова бы ни была их связь. Таким образом, наш вывод по этому вопросу заключается в том, что разработчик не был экспертом и что он, вероятно, опубликовал контракт, НЕ потратив время на его повторное прочтение, вероятно, в спешке.

Откуда вы знаете, что это не сам разработчик специально оставил этот недостаток и это не был развод?

Очень хорошее возражение, и легко предположить мошенничество, когда вы не уверены в том, как умные контракты работают, но на самом деле очень легко предположить невиновность разработчика, потому что он опубликовал и проверил весь код смарт-контракта публично на BSCSCAN.COM (самый популярный сканер блокчейна Binance) 19 ноября 2021 года, что то есть более чем за две недели до того, как произошел взлом RING Financial. И, как объяснялось ранее, недостаток был написан ЧЕРНЫМ ПО БЕЛОМ в контракте, и любой опытный разработчик заметил бы его и отреагировал, но, к сожалению, первый не пощадил. Таким образом, очевидно, что разработчик не знал об этом недостатке, потому что он не стал бы рисковать, позволив кому-либо убить проект RING Financial в любое время.

Чтобы вернуться к продолжению RING Financial HACK, разработчик осознал свою оплошность и просто заморозил контракт, чтобы остановить любую раздачу вознаграждений, чтобы злоумышленник не опустошил пул полностью. Затем он повторно развернул контракт Node, на этот раз с атрибутом безопасности onlyOwner. Этот новый контракт Node смог правильно обработать новое распределение вознаграждения, за исключением того, что было слишком поздно, потому что в результате ВЗЛОМА все доверие к проекту и команде было потеряно, а давление со стороны продавцов убило и положило конец токену и проект.

В заключение мы выбрали эту историю, потому что она показывает две важные вещи о смарт-контрактах и криптопроектах: никогда не кодируйте контракт в спешке и всегда связывайтесь с аудиторскими фирмами, потому что, как только произойдет взлом, уже слишком поздно спасать лодку, и Хорошим примером является финансовый проект RING, более того, согласно их сообщению, они связались с аудиторскими фирмами для этого второго контракта Node и не публиковали его публично на BSCSCAN, пока не были уверены в его безопасности. Но, как было сказано ранее, для RING Financial было уже слишком поздно, и ущерб был необратим.