Uppenbarligen, efter vad som hände med MtGox eller QuadrigaCX eller liknande fall där grundare hävdade att de förlorade de privata nycklarna som innehöll majoriteten av de digitala tillgångarna på deras börser medan de försvann eller hittades döda senare, blir människor i kryptosfären alltmer misstänksamma när de hör om en hacka på ett projekt, och den första tanken som kommer att tänka på är att grundarna i princip har tömt fonden och sprungit iväg med den, det är vad man brukar kalla en RUG.
Detta har förmodligen varit fallet i många projekt, men inte nödvändigtvis i alla, så idag tittar vi på ett fall som vi tror är ett riktigt hack på grund av situationens natur.
Vi tycker att det är ett intressant fall att analysera eftersom det kommer att bidra till att bättre förstå vikten av säkerhet och revisioner i smarta kontrakt eller blockchain-relaterade projekt i allmänhet.
Vi kommer objektivt att analysera dramat som hände med RING Financial-projektet, en token som lanserades på BSC (Binance Blockchain).
Innan vi kommer till hacket kommer vi först att sammanfatta projektet och dess situation innan det:
RING Financial före hacket
RING financial var ett DeFi-projekt med syftet att göra DeFi mer tillgängligt för DeFi- och kryptogemenskapen. Ett ambitiöst projekt som ville skapa ett nodavkastande protokoll som skulle styras av nodinnehavare och allokera likviditet till mer än 300 protokoll samtidigt. Syftet var att få tillgång till alla protokoll genom en RING-nod och genom RING Dapp.
Dessa protokoll verifierades av teamet och sedan röstade samhället om var de skulle fördelas. Samma koncept för att rösta som du skulle ha i en DAO vilket gjorde RING ganska attraktiv.
RING Financial förenklade också en hel del av forskningsprocessen och distributionsprocessen för en enda nodinnehavare. En Dapp för att komma åt alla andra Dapps så att du bara skulle behöva ett gränssnitt istället för 300 olika med sina egna åtkomster och egna noder.
Slutligen var RING Financials mål att sänka avgifterna för distribution på olika protokoll, med volymen kommer lägre transaktionsavgifter för enskilda innehavare, vilket var ett av projektets främsta försäljningsargument. Ett projekt med känsla och ambition att göra saker enklare för samhället och ännu mer mainstream för de som inte känner till Defi.
Men det räcker inte alltid med flärd och ambition och du behöver expertis och kunskap, vilket på nya och omogna marknader är ett sällsynt fynd och det är därför RING Financial inte kunde hålla sitt löfte helt och hållet.
Så vad hände egentligen med RING Financial? Och varför blev den hackad? Tack vare blockkedjan har vi alla rättsmedicinska bevis som behövs för att fördjupa oss i detta och se var sårbarheterna fanns och varför RING Financial var inte en bluff.
RING Financial HACK inträffade den 5 december 2021 mellan 2:01 och 2:06 UTC.
Ja, allt hände på bokstavligen bara 5 minuter! Tack vare blockchain-skannern för dessa detaljer, förresten, ger vi dig precis nedanför länkarna till transaktionerna relaterade till HACK samt adressen till kontraktet för dem som vill söka mer detaljerat.
Här är sammanfattningen som förklarar felet som angriparen har utnyttjat:
Du måste förstå att RING Financials smarta kontrakt bestod av flera delar, en för token och all data relaterad till den och en annan för allt relaterat till redovisning av noder och belöningar. Delen av token hade en säkerhet så att endast administratören av kontraktet kan ändra de viktiga uppgifterna för denna, för att visa dig lite kod, här är en rubrik för en funktion i kontraktet som skyddas via attributet "onlyOwner" som föreskriver att funktionen endast kan köras av administratören:
En funktion som inte har en endast Ägare attribut (eller motsvarande attribut för att skydda funktionens åtkomst) kan exekveras av bokstavligen vem som helst.
Nu, gissa vad? Funktionerna på Nodes and Rewards-delen hade inte detta attribut, som du kan se genom att titta på funktionsnamnen nedan (den endast Ägare attribut saknas):
Och som du kan föreställa dig, utnyttjade och lurade en hackare denna brist för att få ett exponentiellt antal belöningar i RING, och dumpade dem sedan i likviditetspoolen och tömde den nästan våldsamt på några minuter. Därmed begick han sina bedrägerier.
Nu ställer du dig förmodligen två frågor:
Hur kunde utvecklarna lämna ett sådant kryphål?
Efter att ha pratat med Solidity-utvecklare (språk som används för att koda smarta kontrakt på Ethereum), är detta ett fel relaterat till rollarv mellan två smarta kontrakt, arv är ett begrepp om programmeringsspråk och för att inte orsaka huvudvärk kommer att stanna i enkla ord: I grund och botten är det mycket troligt att personen som kodade kontraktet trodde att funktionerna i Node-delen ärvde säkerhetsrollerna för funktionerna i Token-delen, men det är tyvärr inte fallet i Solidity, och det är nödvändigt att omdefiniera rollerna för varje funktion i varje kontrakt, oavsett deras koppling. Så vår slutsats på denna punkt är att utvecklaren inte var någon expert och att han förmodligen publicerade kontraktet UTAN att ta sig tid att läsa det igen, troligen för bråttom.
Hur vet du att det inte är utvecklaren själv som lämnade detta fel med flit och att det inte var en bluff?
Mycket bra invändning och det är lätt att anta en bluff när man inte är säker på hur smarta kontrakt fungerar men det är faktiskt väldigt lätt att anta utvecklarens oskuld, eftersom han publicerade och verifierade hela koden för det smarta kontraktet offentligt på BSCSCAN.COM (den mest populära skannern av Binance Blockchain), den 19 november 2021, att det vill säga mer än två veckor innan RING Financial HACK hände. Och som förklarats tidigare var felet skrivet i SVART PÅ VITT i kontraktet, och vilken erfaren utvecklare som helst skulle ha märkt det och reagerat, men tyvärr var den första som inte hade någon nåd alls. Det är därför uppenbart att utvecklaren inte var medveten om detta fel eftersom han inte skulle ha tagit risken att låta någon döda RING Financial-projektet när som helst.
För att återgå till fortsättningen av RING Financial HACK, insåg utvecklaren sin blunder och frös helt enkelt kontraktet för att stoppa all utdelning av belöningar så att angriparen inte tömmer poolen helt. Han omplacerade sedan ett nodkontrakt, denna gång med säkerhetsattributet "onlyOwner". Detta nya Node-kontrakt kunde hantera den nya belöningsfördelningen korrekt, förutom att det var för sent, eftersom som ett resultat av HACK hade allt förtroende för projektet och teamet förlorats, och säljtrycket dödade och gjorde slut på token och projektet.
Avslutningsvis valde vi den här historien eftersom den visar två viktiga saker om smarta kontrakt och kryptoprojekt, koda aldrig ett kontrakt i hast och kontakta alltid revisionsbyråerna, för när hacket väl inträffar är det för sent att rädda båten, och RING Financial-projektet är ett bra exempel, de har dessutom, enligt deras kommunikation, kontaktat revisionsbyråer för detta andra Node-kontrakt och inte publicerat det offentligt på BSCSCAN förrän de var säkra på dess säkerhet. Men som sagt tidigare var det för sent för RING Financial, och skadan var oåterkallelig.
Här är alla länkar till skannern och kontraktsadresserna:
plånbok som kör transaktion för hackexploatering: 0xfe58c9e2ecb95757be6f4bca33162cfa346cc34f
Ring smart-contract address: 0x521ef54063148e5f15f18b9631426175cee23de2
Ring reward pool address: 0xa46cc87eca075c5ae387b86867aa3ee4cb397372
transaktion hack exploatering:
TRX 1
link: https://bscscan.com/tx/0x596d38494ea5ae640b2a556a7029692928f15713d22b5948477c4eb4a92cf68e
TRX 2
link: https://bscscan.com/tx/0xfc890c855709bb6aeb5177ee31e08751561344402a88af13e7dfd02b9a2f6003
TRX 3
link: https://bscscan.com/tx/0x35c2f1ed9c5ce13a714af6c0dcbbce8fe720f7d6212232b6dd3657d8799a10f1
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://www.fintechnews.org/how-to-judge-if-a-so-called-hack-that-happened-to-a-crypto-or-blockchain-project-is-legit-or-if-its-just-a-mechanism-to-hide-a-rug/
- :är
- 2021
- a
- Able
- Om oss
- tillgång
- tillgänglig
- Enligt
- Redovisning
- faktiskt
- adress
- adresser
- Efter
- Alla
- alltid
- ambition
- ambitiösa
- analysera
- och
- Annan
- någon
- ÄR
- AS
- Tillgångar
- At
- attraktiv
- revision
- revisionsbyråer
- revisioner
- I grund och botten
- BE
- därför att
- innan
- tro
- nedan
- Bättre
- mellan
- binance
- Svart
- blockchain
- Blockchain-relaterad
- Båten
- BSC
- by
- kallas
- KAN
- Vid
- fall
- Orsak
- vissa
- hävdade
- koda
- COM
- komma
- kommande
- vanligen
- Kommunikation
- samfundet
- fullständigt
- sammansatt
- begrepp
- avslutar
- slutsats
- kontakta
- fortsättning
- kontrakt
- kunde
- skapa
- crypto
- crypto community
- kryptoprojekt
- <b>PostNord</b>
- Dapp
- DApps
- datum
- döda
- December
- Defi
- utplacera
- utplacering
- detalj
- detaljer
- Utvecklare
- utvecklare
- DID
- olika
- digital
- Digitala tillgångar
- försvinna
- fördelning
- Drama
- varje
- lättare
- tillräckligt
- Hela
- helt
- Motsvarande
- fel
- ethereum
- Även
- allt
- bevis
- exempel
- Utom
- Utbyten
- exekvera
- erfaren
- expert
- expertis
- förklarade
- förklara
- Exploit
- utnyttjas
- exponentiell
- avgifter
- få
- finansiella
- hitta
- företag
- Förnamn
- fel
- För
- Forensic
- hittade
- grundare
- fungera
- funktioner
- fond
- Allmänt
- skaffa sig
- god
- hacka
- hackad
- Hackaren
- hantera
- hänt
- händer
- Har
- höra
- hjälpa
- här.
- Dölja
- hållare
- hållare
- innehav
- Hur ser din drömresa ut
- How To
- HTTPS
- IBM
- vikt
- med Esport
- in
- alltmer
- individuellt
- arv
- istället
- intressant
- Gränssnitt
- IT
- DESS
- jpg
- Domaren
- nycklar
- Döda
- Vet
- kunskap
- språk
- Sent
- lanserades
- Lämna
- Äkta
- sannolikt
- LINK
- länkar
- Likviditet
- likviditetspool
- du letar
- Lot
- gjord
- Huvudsida
- Vanliga
- Majoritet
- göra
- Framställning
- många
- Marknader
- max-bredd
- mekanism
- emot
- minuter
- saknas
- modifiera
- mer
- Dessutom
- mest
- Mest populär
- mtgox
- namn
- Natur
- nödvändigtvis
- nödvändigt för
- Behöver
- Nya
- nod
- noder
- Begrepp
- November
- antal
- Uppenbara
- of
- on
- ONE
- beställa
- Övriga
- egen
- del
- reservdelar till din klassiker
- Personer
- personen
- plockade
- plato
- Platon Data Intelligence
- PlatonData
- Punkt
- poäng
- poolen
- Populära
- Inlägg
- tryck
- privat
- Privata nycklar
- förmodligen
- process
- Programmering
- projektet
- projekt
- löfte
- skydda
- skyddad
- protokoll
- protokoll
- ge
- publicly
- publicerade
- Syftet
- QuadrigaCX
- frågor
- SÄLLSYNT
- Läsa
- verklig
- insåg
- minska
- relaterad
- forskning
- resultera
- avkastning
- Belöna
- Belöningar
- Ringa
- Risk
- Roll
- roller
- Körning
- Nämnda
- Samma
- Save
- Lurendrejeri
- bedrägerier
- Sök
- Andra
- säkerhet
- Försäljningen
- flera
- show
- Visar
- liknande
- Enkelt
- förenklade
- helt enkelt
- enda
- Situationen
- smart kontrakt
- So
- fasthet
- några
- bo
- Sluta
- Historia
- sådana
- sammanfatta
- SAMMANFATTNING
- misstänksam
- tar
- tala
- grupp
- Tack
- den där
- Smakämnen
- deras
- Dem
- därför
- Dessa
- saker
- trodde
- Genom
- tid
- till
- i dag
- token
- alltför
- transaktion
- Transaktionsavgifter
- Transaktioner
- Litar
- förstå
- UTC
- verifierade
- via
- volym
- Rösta
- Röstning
- sårbarheter
- ville
- Sätt..
- veckor
- VÄL
- Vad
- som
- medan
- vit
- VEM
- kommer
- med
- utan
- ord
- Arbete
- skulle
- skriven
- vilket gav
- Om er
- själv
- zephyrnet
