Lekcije iz napada na Tinyman, največji DEX na Algorandu

Čas branja: 5 min

Kripto vdori se nadaljujejo tudi v letu 2022, ko hekerji napadajo ranljivosti v različnih omrežjih, kar prispeva k milijonom ukradenih sredstev. Skupnost Algorand je leto začela slabo po napadu na njihovo decentralizirano borzo, ki je povzročil izgubo približno 3 milijonov dolarjev sredstev.

Po poročilih, dne Januar 1, 2022, nepooblaščeni uporabniki napadeni Drobnjak, decentralizirana finančna platforma, zgrajena na Algorandu. Dogodek je bil izveden v štirih ločenih napadih, ki so hekerjem omogočili krajo $ 3 milijonov iz bazenov znotraj protokola.

Poročilo Tinymana je pokazalo, da so bili ogroženi štirje računi, kar je prizadelo približno 250 uporabnikov z deleži v goBTC in goETH. Triinštirideset bazenov je prizadelo 360 zlonamernih dejavnosti, izvedenih s 13 edinstvenih naslovov.

Predvsem so napadalci aktivirali svoje naslove denarnic, kar jim je omogočilo, da položijo začetni sklad za napad. Poleg tega naj bi ti posamezniki kršili prej neznane ranljivosti v pametni pogodbi Tinyman. To jim je omogočilo, da so pridobili dva ista žetona, s katerima so nato zamenjali nekaj sredstev in kovanih žetonov združenja.

Napadi naj bi bili naklonjeni nepooblaščenim uporabnikom, ker goBTC premoženje je bilo dragocenejše od ALGO žeton, s katerim so zamenjali, da bi prejeli več sredstev. Poleg tega so napadalci zamenjali bazene s stabilnimi kovanci, preden so sredstva umaknili v druge denarnice in centralizirane borze.

Tinyman kot nezaupljiv protokol brez dovoljenj uporablja predvsem nespremenljive pogodbe, zaradi česar izmenjava ne more odpraviti ranljivosti in hitro zaustaviti napada. Vendar pa so posledično lahko le svetovali svojim uporabnikom, naj ne uporabljajo platforme, medtem ko so delali na odpravljanju težave.

Medtem ko skupina Tinyman še naprej preiskuje pojavnost, je treba obravnavati nekaj ključnih področij. Tej vključujejo:

Pomen revizij

Glede na povečano število primerov goljufij in napadov, povezanih s kriptovalutami, znotraj DeFi in celotnega trga kriptovalut potrebe po sistemih preverjanja in odgovornosti ni mogoče dovolj poudariti. 

Lani novembra, Elipsasta, globalno podjetje za upravljanje s kripto tveganji, je izvedlo raziskavo, ki je pokazala, da nad $ 10.5 milijarde DeFi je leta 2021 zaradi vdorov in drugih napadov na omrežja in protokole izgubil veliko sredstev. 

Poleg tega so upoštevani vdori, povezani z DeFi 76% vseh večjih vdorov v letu 2021. Glede na poročilo je nezaupljiva narava decentraliziranih aplikacij (DApps) znotraj DeFi hkrati blagoslov in prekletstvo. Nezaupljivost odpravlja kakršen koli nadzor tretjih oseb nad sredstvi uporabnikov. Vendar pa so uporabniki prisiljeni verjeti, da ustvarjalci zadevnih protokolov niso naredili nobenih napak pri kodiranju ali oblikovanju, ki bi lahko omogočile napad na sistem.

Revizije omogočajo zaupanja vrednim subjektom, da preverijo ranljivosti s kodami in strukturno zasnovo projekta, kar poveča splošno varnost. Revizije je treba izvajati nenehno, da bi bili v koraku s prefinjenimi in novimi tehnikami, ki jih hekerji uporabljajo za napad na sisteme. Medtem ko je bil Tinyman domnevno podvržen reviziji, bi nedavni revizijski pregled lahko pomagal odpraviti napake ali ranljivosti in morda preprečiti izgube.

Morati prebrati: Velika četverica si prizadeva za revizijo verige blokov

V idealnem primeru je treba revizije pametnih pogodb opraviti, preden se pogodbe uvedejo. Te revizije poskušajo preveriti pogoste napake, kot so težave s skladom, napake pri ponovnem vstopu in drugi možni zapleti. Revizijski postopek preveri tudi znane napake in varnostne pomanjkljivosti gostiteljskih platform, medtem ko razvijalcem omogoča preizkus pametne pogodbe.

Poleg tega revizije pomagajo projektom nenehno izboljševati svoje pametne pogodbe in zagotavljajo, da so vedno posodobljene. Na primer, po napadu je bil Tinyman prisiljen posodobiti svoje pametne pogodbe, da prepreči takšne napade v prihodnosti.

Zavarovanje DeFi

Predvsem morajo uporabniki pred kakršno koli ureditvijo na trgu DeFi v celoti razumeti tveganja, povezana s trgom. Poleg tveganj pametnih pogodb se lahko uporabniki soočijo tudi s tveganji Oracle in tveganji upravljanja. 

Kljub temu izvajanje ustreznih raziskav o trgih in projektih na njih uporabnikom omogoča sprejemanje premišljenih odločitev. Ena takih odločitev je pridobitev zaščite pred nepredvidenimi napadi prek zavarovanja DeFi.

Zavarovanje DeFi je postopek zavarovanja ali nakupa kritja pred izgubami, ki jih lahko utrpijo dogodki v industriji DeFi. Naraščajoče število izgub znotraj DeFi je ustvarilo povpraševanje po zavarovalnih produktih DeFi, saj novi projekti iz dneva v dan naraščajo. 

Običajno veliko prizadetih borz po napadu žrtvam povrne stroške. Vendar pa nekateri vdrti projekti svojim uporabnikom ne morejo povrniti stroškov.

Upoštevajte, da je ekipa Tinyman zagotovila prizadetim uporabnikom, da jim bodo izgube povrnjene.

Moč v skupnostih

Ko je prvi napad postal javen, je veliko več hekerjev izkoristilo priložnost in kopiralo vdor. Iste ranljivosti so uporabili za izvajanje manjših napadov (od drugega do četrtega napada) na borzo. Vendar pa je Tinyman s pomočjo skupnosti uspel rešiti velik odstotek svojih sredstev.

Pri tem in podobnih napadih so skupnosti pripomogle k hitrejšemu širjenju novic, kar je uporabnikom omogočilo, da izvedejo potrebne varnostne ukrepe za zaščito svojih sredstev. Poleg tega so skupnosti do neke mere pomagale pri izgradnji boljše komunikacije in sodelovanja med razvijalci in uporabniki za rast celotnega ekosistema.

V zadnjih dneh so skupnosti, ki temeljijo na kripto, pomagale dvigniti revolucije, ki so vodile k rasti projektov v industriji.

Zavijanje

Medtem ko je blockchain naredil izjemen preboj, zlasti na področju financ, tehnologija še zdaleč ni popolna. Vendar pa lahko lastniki projektov, razvijalci in uporabniki sprejmejo ustrezne ukrepe za zagotovitev večje varnosti v aplikacijah, ki temeljijo na verigi blokov.

S sprejetjem ukrepov odgovornosti z revizijami in drugimi ustreznimi ukrepi lahko projekti odpravijo vse hrošče ali ranljivosti, ki bi jih lahko uporabili proti aplikaciji. Poleg tega je za ublažitev takšnih dogodkov pomembno sprejetje drugih previdnostnih ukrepov, kot sta zavarovanje DeFi in ohranjanje tesne skupnosti. 

Obrnite se na QuillAudits

QuillAudits je varna platforma za revizije pametnih pogodb, ki jo je zasnoval QuillHash
Tehnologije.
Je revizijska platforma, ki natančno analizira in preverja pametne pogodbe, da preveri varnostne ranljivosti z učinkovitim ročnim pregledom z orodji za statično in dinamično analizo, analizatorji plinov in simulatorji. Poleg tega revizijski proces vključuje tudi obsežno testiranje enot in strukturno analizo.
Izvajamo revizije pametnih pogodb in teste prodora, da bi našli potencial
varnostne ranljivosti, ki bi lahko škodovale celovitosti platforme.

Če potrebujete kakršno koli pomoč pri reviziji pametnih pogodb, se obrnite na naše strokovnjake tukaj!

Če želite biti na tekočem z našim delom, se pridružite naši skupnosti: -

Twitter | LinkedIn | Facebook  | Telegram

Pošta Lekcije iz napada na Tinyman, največji DEX na Algorandu pojavil prvi na Blog.quillhash.

Vir: https://blog.quillhash.com/2022/01/lessons-from-the-attack-on-tinyman-largest-dex-on-algorand