Уроки атаки на Tinyman, крупнейшего DEX на Algorand

Время Читать: 5 минут

Криптовалютные взломы продолжаются и в 2022 году, поскольку хакеры атакуют уязвимости в различных сетях, увеличивая миллионы украденных активов. Сообщество Algorand начало год на грустной ноте после атаки на их децентрализованную биржу, которая привела к потере активов на сумму около 3 миллионов долларов.

По сообщениям, на 1 января 2022, атакованы неавторизованные пользователи Tinyman, децентрализованная финансовая платформа, построенная на Algorand. Мероприятие было проведено в виде четырех отдельных атак, что позволило хакерам украсть $ 3 миллионов из пулов внутри протокола.

Отчет Tinyman показал, что четыре учетные записи были скомпрометированы, что затронуло около 250 пользователей с запасами в goBTC и goETH. Сорок три пула пострадали от 360 вредоносных действий, совершенных с 13 уникальных адресов.

Примечательно, что злоумышленники активировали адреса своих кошельков, что позволило им внести начальный капитал для атаки. Кроме того, эти люди, как сообщается, взломали ранее неизвестные уязвимости в смарт-контракте Tinyman. Это позволило им получить два одинаковых токена, которые они затем обменяли некоторыми активами и токенами отчеканенного пула.

Сообщается, что атаки были совершены неавторизованными пользователями, поскольку goBTC актив был более ценным, чем ALGO токен, на который они обменялись, чтобы получить больше средств. Кроме того, злоумышленники также обменивали пулы на стейблкоины перед выводом активов на другие кошельки и централизованные биржи.

В качестве протокола без доверия и разрешений Tinyman, в частности, использует неизменяемые контракты, что делает невозможным для биржи исправление уязвимостей и быстрое прекращение атаки. Однако в результате они могли только посоветовать своим пользователям не использовать платформу, пока они работали над устранением проблемы.

Поскольку команда Tinyman продолжает расследование инцидента, необходимо решить несколько ключевых вопросов. Это включает:

Важность аудита

Учитывая увеличение числа случаев мошенничества и атак, связанных с криптовалютой, в DeFi и на рынке криптовалюты в целом, невозможно переоценить необходимость систем проверки и подотчетности. 

В прошлом году в ноябре, Эллиптических, глобальная компания по управлению рисками криптовалюты, провела исследование, показывающее, что более 10.5 млрд долларов США активов было потеряно из DeFi в 2021 году из-за взломов и других атак на сети и протоколы. 

Кроме того, на долю взломов, связанных с DeFi, приходится 76% среди всех крупных взломов в 2021 году. Согласно отчету, ненадежный характер децентрализованных приложений (DApps) в DeFi является одновременно и благословением, и проклятием. Отсутствие доверия исключает любой сторонний контроль над средствами пользователей. Однако пользователи вынуждены верить, что создатели рассматриваемых протоколов не допустили ошибок в кодировании или дизайне, которые могли бы позволить провести атаку на систему.

Аудиты позволяют доверенным лицам проверять коды и структуру проекта на наличие уязвимостей, повышая общую безопасность. Аудиты должны проводиться постоянно, чтобы не отставать от сложных и новых методов, которые хакеры используют для атак на системы. Хотя Tinyman, как сообщается, прошел аудит, недавняя аудиторская проверка могла помочь исправить ошибки или уязвимости и, возможно, предотвратить потери.

Должен прочитать: Большая четверка работает над аудитом блокчейна

В идеале аудит смарт-контрактов должен проводиться до того, как контракты будут развернуты. Эти аудиты направлены на проверку распространенных ошибок, таких как проблемы со стеком, ошибки повторного входа и другие возможные осложнения. В процессе аудита также проверяются известные ошибки и недостатки безопасности хост-платформ, позволяя разработчикам протестировать смарт-контракт.

Кроме того, аудиты помогают проектам постоянно улучшать свои смарт-контракты, обеспечивая их постоянную актуальность. Например, после атаки Tinyman был вынужден обновить свои смарт-контракты, чтобы предотвратить подобные атаки в будущем.

Страхование DeFi

Примечательно, что прежде чем принимать какие-либо меры на рынке DeFi, пользователи должны полностью понимать риски, связанные с рынком. Помимо рисков смарт-контрактов, пользователи также могут столкнуться с рисками оракула и рисками управления. 

Тем не менее, проведение надлежащих исследований рынков и проектов на них позволяет пользователям принимать обоснованные решения. Одним из таких решений является получение защиты от непредвиденных атак через DeFi Insurance.

Страхование DeFi — это процесс страхования себя или покупки покрытия от убытков, которые могут понести события в индустрии DeFi. Растущее число убытков в DeFi создало спрос на страховые продукты DeFi, поскольку новые проекты продолжают расти с каждым днем. 

Обычно многие пострадавшие биржи в конечном итоге возмещают ущерб своим жертвам после атаки. Однако некоторые из взломанных проектов не могут вернуть деньги своим пользователям.

Обратите внимание, что команда Tinyman заверила пострадавших пользователей, что им будут возмещены их убытки.

Сила в сообществах

Примечательно, что после того, как первая атака стала достоянием общественности, многие другие хакеры воспользовались возможностью скопировать взлом. Они использовали те же уязвимости для выполнения небольших атак (со второй по четвертую атаку) на бирже. Однако Tinyman удалось сохранить большой процент своих активов с помощью сообщества.

В ходе этой и подобных атак сообщества помогли быстрее распространить новости, позволяя пользователям принимать необходимые меры безопасности, чтобы защитить свои активы. Кроме того, сообщества в некоторой степени помогли улучшить общение и сотрудничество между разработчиками и пользователями для роста всей экосистемы.

В последние дни сообщества, основанные на криптографии, помогли совершить революцию, которая привела к росту проектов в отрасли.

Подведение итогов

Хотя блокчейн совершил огромный прорыв, особенно в области финансов, технология далека от совершенства. Однако владельцы проектов, разработчики и пользователи могут принять соответствующие меры для обеспечения большей безопасности в приложениях на основе блокчейна.

Принимая меры по обеспечению подотчетности с помощью аудитов и других соответствующих мер, проекты могут устранять любые ошибки или уязвимости, которые могут быть использованы против приложения. Кроме того, принятие других мер предосторожности, таких как страхование DeFi и поддержание тесного сообщества, важно для смягчения последствий таких событий. 

Обратитесь в QuillAudits

QuillAudits - это безопасная платформа для аудита смарт-контрактов, разработанная QuillHash
Технологии.
Это платформа аудита, которая тщательно анализирует и проверяет смарт-контракты для проверки уязвимостей безопасности посредством эффективного ручного анализа с помощью инструментов статического и динамического анализа, газоанализаторов, а также ассимуляторов. Кроме того, процесс аудита также включает обширное модульное тестирование, а также структурный анализ.
Мы проводим как аудит смарт-контрактов, так и тесты на проникновение, чтобы найти потенциал
уязвимости безопасности, которые могут нанести ущерб целостности платформы.

Если вам нужна помощь в аудите смарт-контрактов, обращайтесь к нашим специалистам. здесь!

Чтобы быть в курсе нашей работы, присоединяйтесь к нашему сообществу: -

Twitter | LinkedIn | Facebook | Telegram

сообщение Уроки атаки на Tinyman, крупнейшего DEX на Algorand Появившийся сначала на Блог.quillhash.

Источник: https://blog.quillhash.com/2022/01/lessons-from-the-attack-on-tinyman-largest-dex-on-algorand.