เห็นได้ชัดว่าหลังจากสิ่งที่เกิดขึ้นกับ MtGox หรือ QuadrigaCX หรือกรณีที่คล้ายกันซึ่งผู้ก่อตั้งอ้างว่าพวกเขาทำกุญแจส่วนตัวที่ถือครองสินทรัพย์ดิจิทัลส่วนใหญ่ในการแลกเปลี่ยนของพวกเขาหายในขณะที่หายตัวไปหรือพบว่าเสียชีวิตในภายหลัง ผู้คนในแวดวงคริปโตเริ่มสงสัยมากขึ้นเมื่อพวกเขาได้ยินเกี่ยวกับ แฮ็คโครงการ และความคิดแรกที่นึกถึงก็คือผู้ก่อตั้งได้ทำให้กองทุนหมดและหมดไปกับมัน นั่นคือสิ่งที่เรียกกันทั่วไปว่า RUG
นี่อาจเป็นกรณีนี้ในหลาย ๆ โครงการ แต่ไม่จำเป็นสำหรับทุกโครงการ ดังนั้นวันนี้เรากำลังมองหากรณีที่เราเชื่อว่าเป็นการแฮ็กจริงเนื่องจากลักษณะของสถานการณ์
เราคิดว่าเป็นกรณีที่น่าสนใจในการวิเคราะห์ เพราะจะช่วยให้เข้าใจถึงความสำคัญของการรักษาความปลอดภัยและการตรวจสอบในโครงการที่เกี่ยวข้องกับสัญญาอัจฉริยะหรือบล็อกเชนโดยทั่วไปได้ดียิ่งขึ้น
เราจะวิเคราะห์ดราม่าที่เกิดขึ้นกับโครงการ RING Financial ซึ่งเป็นโทเค็นที่เปิดตัวบน BSC (Binance Blockchain) อย่างเป็นกลาง
ก่อนที่จะมาถึงการแฮ็ก เราจะสรุปโครงการและสถานการณ์ก่อน:
RING การเงินก่อนการแฮ็ก
RING Financial เป็นโครงการ DeFi โดยมีจุดประสงค์เพื่อให้ DeFi เข้าถึงชุมชน DeFi และ crypto ได้มากขึ้น โครงการที่มีความทะเยอทะยานที่ต้องการสร้างโปรโตคอลที่ให้โหนดซึ่งจะถูกควบคุมโดยผู้ถือโหนดและจัดสรรสภาพคล่องให้กับโปรโตคอลมากกว่า 300 รายการในคราวเดียว เป้าหมายคือการเข้าถึงโปรโตคอลทั้งหมดผ่านโหนด RING เดียวและผ่าน RING Dapp
โปรโตคอลเหล่านี้ได้รับการตรวจสอบโดยทีมงาน จากนั้นชุมชนจะลงมติว่าจะจัดสรรที่ใด แนวคิดการลงคะแนนแบบเดียวกับที่คุณมีใน DAO ซึ่งทำให้ RING น่าสนใจทีเดียว
RING Financial ยังลดความซับซ้อนของกระบวนการวิจัยและขั้นตอนการปรับใช้สำหรับ Node Holder เพียงตัวเดียว Dapp เดียวเพื่อเข้าถึง Dapps อื่น ๆ ทั้งหมด ดังนั้นคุณจึงต้องการเพียงอินเทอร์เฟซเดียวแทนที่จะเป็น 300 รายการที่แตกต่างกันด้วยการเข้าถึงและโหนดของตนเอง
สุดท้าย เป้าหมายของ RING Financial คือการลดค่าธรรมเนียมสำหรับการปรับใช้บนโปรโตคอลต่างๆ โดยค่าธรรมเนียมการทำธุรกรรมในปริมาณที่ต่ำกว่าสำหรับผู้ถือรายบุคคลซึ่งเป็นหนึ่งในจุดขายหลักของโครงการ โครงการที่มีไหวพริบและความทะเยอทะยานที่จะทำให้สิ่งต่างๆ ง่ายขึ้นสำหรับชุมชน และยิ่งเป็นกระแสหลักสำหรับผู้ที่ไม่รู้จัก Defi
อย่างไรก็ตาม ไหวพริบและความทะเยอทะยานนั้นไม่เพียงพอเสมอไป และคุณต้องการความเชี่ยวชาญและความรู้ ซึ่งในตลาดใหม่ที่ยังไม่บรรลุนิติภาวะเป็นสิ่งที่หาได้ยาก และเป็นเหตุผลว่าทำไม RING Financial จึงไม่สามารถทำได้ตามคำสัญญาโดยสิ้นเชิง
แล้วเกิดอะไรขึ้นกับ RING Financial? และทำไมมันถึงถูกแฮ็ค? ต้องขอบคุณบล็อกเชนที่เรามีหลักฐานทางนิติวิทยาศาสตร์ทั้งหมดที่จำเป็นในการเจาะลึกเรื่องนี้และดูว่าช่องโหว่นั้นอยู่ที่ไหนและทำไม RING Financial ไม่ใช่การหลอกลวง.
RING Financial HACK เกิดขึ้นในวันที่ 5 ธันวาคม 2021 ระหว่างเวลา 2:01 น. ถึง 2:06 น. UTC
ใช่ ทุกอย่างเกิดขึ้นใน 5 นาทีเท่านั้น! ต้องขอบคุณเครื่องสแกนบล็อกเชนสำหรับรายละเอียดเหล่านี้ อย่างไรก็ตาม เราให้คุณด้านล่างลิงก์ของธุรกรรมที่เกี่ยวข้องกับการแฮ็ก เช่นเดียวกับที่อยู่ของสัญญาสำหรับผู้ที่ต้องการค้นหารายละเอียดเพิ่มเติม
นี่คือบทสรุปที่อธิบายข้อบกพร่องที่ผู้โจมตีใช้:
คุณต้องเข้าใจว่าสัญญาอัจฉริยะของ RING Financial ประกอบด้วยหลายส่วน ส่วนหนึ่งสำหรับโทเค็นและข้อมูลทั้งหมดที่เกี่ยวข้อง และอีกส่วนหนึ่งสำหรับทุกสิ่งที่เกี่ยวข้องกับการบัญชีของโหนดและรางวัล ส่วนหนึ่งของโทเค็นมีการรักษาความปลอดภัย เพื่อให้เฉพาะผู้ดูแลระบบของสัญญาเท่านั้นที่สามารถแก้ไขข้อมูลสำคัญของโทเค็นนี้ได้ เพื่อแสดงรหัสบางส่วน นี่คือส่วนหัวของฟังก์ชันของสัญญาซึ่งได้รับการป้องกันผ่านแอตทริบิวต์ “onlyOwner' ซึ่งกำหนดว่าฟังก์ชั่นสามารถดำเนินการได้โดยผู้ดูแลระบบเท่านั้น:
ฟังก์ชันที่ไม่มี เจ้าของเท่านั้น แอตทริบิวต์ (หรือแอตทริบิวต์ที่เทียบเท่าเพื่อป้องกันการเข้าถึงฟังก์ชัน) สามารถดำเนินการได้โดยใครก็ตาม
ตอนนี้คาดเดาอะไร ฟังก์ชันในส่วนของโหนดและรางวัลไม่มีแอตทริบิวต์นี้ ดังที่คุณเห็นได้จากการดูชื่อฟังก์ชันด้านล่าง ( เจ้าของเท่านั้น ไม่มีแอตทริบิวต์):
และอย่างที่คุณจินตนาการได้ แฮ็กเกอร์ใช้ประโยชน์จากข้อบกพร่องนี้และหลอกลวงเพื่อรับรางวัลเป็นจำนวนทวีคูณใน RING จากนั้นทิ้งลงในแหล่งสภาพคล่องและเกือบหมดอย่างรวดเร็วในเวลาไม่กี่นาที ดังนั้นเขาจึงทำการหลอกลวงของเขา
ตอนนี้คุณอาจกำลังถามตัวเองด้วยคำถามสองข้อ:
นักพัฒนาจะทิ้งช่องโหว่ดังกล่าวได้อย่างไร?
หลังจากพูดคุยกับนักพัฒนา Solidity (ภาษาที่ใช้ในการเขียนโค้ดสัญญาอัจฉริยะบน Ethereum) นี่เป็นข้อผิดพลาดที่เกี่ยวข้องกับการสืบทอดบทบาทระหว่างสัญญาอัจฉริยะสองสัญญา การสืบทอดเป็นแนวคิดของภาษาโปรแกรม และเพื่อไม่ให้คุณปวดหัว เรา จะพูดง่ายๆ ก็คือ โดยพื้นฐานแล้ว เป็นไปได้มากว่าผู้ที่เขียนโค้ดสัญญาคิดว่าฟังก์ชันของส่วน Node สืบทอด Security role ของฟังก์ชันของส่วน Token แต่โชคไม่ดีที่กรณีนี้ไม่ใช่ใน Solidity และ มีความจำเป็นต้องกำหนดบทบาทของแต่ละหน้าที่ของแต่ละสัญญาใหม่ไม่ว่าจะมีความเชื่อมโยงกันอย่างไร ข้อสรุปของเราเกี่ยวกับประเด็นนี้คือผู้พัฒนาไม่ใช่ผู้เชี่ยวชาญและเขาอาจเผยแพร่สัญญาโดยไม่สละเวลาอ่านอีกครั้ง อาจจะรีบร้อน
คุณรู้ได้อย่างไรว่าไม่ใช่ผู้พัฒนาเองที่ทิ้งข้อบกพร่องนี้ไว้โดยเจตนา และไม่ใช่การหลอกลวง
การคัดค้านที่ดีมากและเป็นเรื่องง่ายที่จะสันนิษฐานว่าเป็นการหลอกลวงเมื่อคุณไม่แน่ใจว่าเป็นอย่างไร สัญญาสมาร์ท ทำงานได้ แต่จริง ๆ แล้วเป็นเรื่องง่ายมากที่จะสันนิษฐานว่านักพัฒนาเป็นผู้บริสุทธิ์ เพราะเขาเผยแพร่และตรวจสอบรหัสทั้งหมดของสัญญาอัจฉริยะต่อสาธารณะบน BSCSCAN.COM (เครื่องมือสแกนยอดนิยมที่สุดของ Binance Blockchain) เมื่อวันที่ 19 พฤศจิกายน 2021 กล่าวคือ มากกว่าสองสัปดาห์ก่อนที่ RING Financial HACK จะเกิดขึ้น และตามที่ได้อธิบายไปก่อนหน้านี้ ข้อบกพร่องถูกเขียนเป็น BLACK ON WHITE ในสัญญา และนักพัฒนาที่มีประสบการณ์ทุกคนจะสังเกตเห็นและตอบสนอง แต่น่าเสียดายที่คนแรกไม่มีความเมตตาเลย ดังนั้นจึงเห็นได้ชัดว่านักพัฒนาไม่ได้ตระหนักถึงข้อบกพร่องนี้เพราะเขาจะไม่เสี่ยงที่จะปล่อยให้ใครก็ตามฆ่าโครงการ RING Financial เมื่อใดก็ได้
เพื่อกลับไปที่ความต่อเนื่องของ RING Financial HACK ผู้พัฒนาได้ตระหนักถึงความผิดพลาดของเขาและเพียงแค่หยุดสัญญาเพื่อหยุดการแจกจ่ายรางวัลใด ๆ เพื่อไม่ให้ผู้โจมตีล้างข้อมูลทั้งหมด จากนั้นเขาปรับใช้ Node contract อีกครั้ง โดยคราวนี้มีแอตทริบิวต์ความปลอดภัย “onlyOwner” สัญญาโหนดใหม่นี้สามารถจัดการการกระจายรางวัลใหม่ได้อย่างถูกต้อง ยกเว้นว่าจะสายเกินไป เนื่องจากผลของการแฮ็ก ความไว้วางใจทั้งหมดในโครงการและทีมสูญเสียไป และแรงกดดันในการขายได้ฆ่าและยุติโทเค็นและ โครงการ.
โดยสรุปแล้ว เราเลือกเรื่องนี้เพราะมันแสดงให้เห็นสิ่งสำคัญสองประการเกี่ยวกับสัญญาอัจฉริยะและโครงการคริปโต อย่ารีบเร่งรีบเขียนโค้ดสัญญาและติดต่อบริษัทตรวจสอบบัญชีเสมอ เพราะเมื่อแฮ็กเกิดขึ้น มันก็สายเกินไปที่จะช่วยเรือ และ โครงการ RING Financial เป็นตัวอย่างที่ดี ยิ่งไปกว่านั้น ตามการสื่อสารของพวกเขา พวกเขาได้ติดต่อบริษัทตรวจสอบสำหรับสัญญา Node ที่สองนี้ และไม่ได้โพสต์ต่อสาธารณะบน BSCSCAN จนกว่าพวกเขาจะมั่นใจในความปลอดภัย แต่อย่างที่กล่าวไว้ก่อนหน้านี้ มันสายเกินไปสำหรับ RING Financial และความเสียหายนั้นไม่สามารถแก้ไขได้
นี่คือลิงค์ทั้งหมดของสแกนเนอร์และที่อยู่ของสัญญา:
การดำเนินธุรกรรมกระเป๋าเงินสำหรับการเจาะช่องโหว่: 0xfe58c9e2ecb95757be6f4bca33162cfa346cc34f
Ring smart-contract address: 0x521ef54063148e5f15f18b9631426175cee23de2
Ring reward pool address: 0xa46cc87eca075c5ae387b86867aa3ee4cb397372
การเจาะระบบธุรกรรม:
ทีอาร์เอ็กซ์1
link: https://bscscan.com/tx/0x596d38494ea5ae640b2a556a7029692928f15713d22b5948477c4eb4a92cf68e
ทีอาร์เอ็กซ์2
link: https://bscscan.com/tx/0xfc890c855709bb6aeb5177ee31e08751561344402a88af13e7dfd02b9a2f6003
ทีอาร์เอ็กซ์3
link: https://bscscan.com/tx/0x35c2f1ed9c5ce13a714af6c0dcbbce8fe720f7d6212232b6dd3657d8799a10f1
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://www.fintechnews.org/how-to-judge-if-a-so-called-hack-that-happened-to-a-crypto-or-blockchain-project-is-legit-or-if-its-just-a-mechanism-to-hide-a-rug/
- :เป็น
- 2021
- a
- สามารถ
- เกี่ยวกับเรา
- เข้า
- สามารถเข้าถึงได้
- ตาม
- การบัญชี
- จริง
- ที่อยู่
- ที่อยู่
- หลังจาก
- ทั้งหมด
- เสมอ
- ความทะเยอทะยาน
- ทะเยอทะยาน
- วิเคราะห์
- และ
- อื่น
- ทุกคน
- เป็น
- AS
- สินทรัพย์
- At
- มีเสน่ห์
- การตรวจสอบบัญชี
- บริษัทสอบบัญชี
- การตรวจสอบ
- เป็นพื้น
- BE
- เพราะ
- ก่อน
- เชื่อ
- ด้านล่าง
- ดีกว่า
- ระหว่าง
- binance
- Black
- blockchain
- ที่เกี่ยวข้องกับบล็อคเชน
- เรือ
- บีเอสซี
- by
- ที่เรียกว่า
- CAN
- กรณี
- กรณี
- ก่อให้เกิด
- บาง
- อ้างว่า
- รหัส
- COM
- อย่างไร
- มา
- อย่างธรรมดา
- การสื่อสาร
- ชุมชน
- อย่างสมบูรณ์
- สงบ
- แนวคิด
- สรุป
- ข้อสรุป
- ติดต่อเรา
- ความต่อเนื่อง
- สัญญา
- ได้
- สร้าง
- การเข้ารหัสลับ
- ชุมชน crypto
- โครงการเข้ารหัสลับ
- DAO
- Dapp
- DApps
- ข้อมูล
- ตาย
- ธันวาคม
- Defi
- ปรับใช้
- การใช้งาน
- รายละเอียด
- รายละเอียด
- ผู้พัฒนา
- นักพัฒนา
- DID
- ต่าง
- ดิจิตอล
- สินทรัพย์ดิจิทัล
- หายไป
- การกระจาย
- ละคร
- แต่ละ
- ง่ายดาย
- พอ
- ทั้งหมด
- อย่างสิ้นเชิง
- เท่ากัน
- ความผิดพลาด
- ethereum
- แม้
- ทุกอย่าง
- หลักฐาน
- ตัวอย่าง
- ยกเว้น
- แลกเปลี่ยน
- การดำเนินงาน
- มีประสบการณ์
- ชำนาญ
- ความชำนาญ
- อธิบาย
- อธิบาย
- เอาเปรียบ
- ใช้ประโยชน์
- ที่ชี้แจง
- ค่าธรรมเนียม
- สองสาม
- ทางการเงิน
- หา
- บริษัท
- ชื่อจริง
- ข้อบกพร่อง
- สำหรับ
- ทางกฎหมาย
- พบ
- ผู้ก่อตั้ง
- ฟังก์ชัน
- ฟังก์ชั่น
- กองทุน
- General
- ได้รับ
- ดี
- สับ
- hacked
- แฮ็กเกอร์
- จัดการ
- ที่เกิดขึ้น
- ที่เกิดขึ้น
- มี
- ได้ยิน
- ช่วย
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- ซ่อน
- เจ้าของ
- ผู้ถือ
- โฮลดิ้ง
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTTPS
- ไอบีเอ็ม
- ความสำคัญ
- สำคัญ
- in
- ขึ้น
- เป็นรายบุคคล
- มรดก
- แทน
- น่าสนใจ
- อินเตอร์เฟซ
- IT
- ITS
- jpg
- ผู้พิพากษา
- กุญแจ
- ฆ่า
- ทราบ
- ความรู้
- ภาษา
- ปลาย
- เปิดตัว
- ทิ้ง
- Legit
- น่าจะ
- LINK
- การเชื่อมโยง
- สภาพคล่อง
- สระว่ายน้ำสภาพคล่อง
- ที่ต้องการหา
- Lot
- ทำ
- หลัก
- หลัก
- ส่วนใหญ่
- ทำ
- การทำ
- หลาย
- ตลาด
- ความกว้างสูงสุด
- กลไก
- ใจ
- นาที
- หายไป
- แก้ไข
- ข้อมูลเพิ่มเติม
- ยิ่งไปกว่านั้น
- มากที่สุด
- เป็นที่นิยม
- เอ็มทีก็อกซ์
- ชื่อ
- ธรรมชาติ
- จำเป็นต้อง
- จำเป็น
- จำเป็นต้อง
- ใหม่
- ปม
- โหนด
- ความคิด
- พฤศจิกายน
- จำนวน
- ชัดเจน
- of
- on
- ONE
- ใบสั่ง
- อื่นๆ
- ของตนเอง
- ส่วนหนึ่ง
- ส่วน
- คน
- คน
- เลือก
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- จุด
- สระ
- ยอดนิยม
- โพสต์
- ความดัน
- ส่วนตัว
- คีย์ส่วนตัว
- อาจ
- กระบวนการ
- การเขียนโปรแกรม
- โครงการ
- โครงการ
- คำมั่นสัญญา
- ป้องกัน
- การป้องกัน
- โปรโตคอล
- โปรโตคอล
- ให้
- สาธารณชน
- การตีพิมพ์
- วัตถุประสงค์
- QuadrigaCX
- คำถาม
- หายาก
- อ่าน
- จริง
- ตระหนัก
- ลด
- ที่เกี่ยวข้อง
- การวิจัย
- ผล
- กลับ
- รางวัล
- รางวัล
- แหวน
- ความเสี่ยง
- บทบาท
- บทบาท
- วิ่ง
- กล่าวว่า
- เดียวกัน
- ลด
- การหลอกลวง
- หลอกลวง
- ค้นหา
- ที่สอง
- ความปลอดภัย
- Selling
- หลาย
- โชว์
- แสดงให้เห็นว่า
- คล้ายคลึงกัน
- ง่าย
- ที่เรียบง่าย
- ง่ายดาย
- เดียว
- สถานการณ์
- สัญญาสมาร์ท
- So
- ความแข็งแรง
- บาง
- เข้าพัก
- หยุด
- เรื่องราว
- อย่างเช่น
- สรุป
- สรุป
- พิรุธ
- การ
- การพูดคุย
- ทีม
- ขอบคุณ
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ดังนั้น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- สิ่ง
- คิดว่า
- ตลอด
- เวลา
- ไปยัง
- ในวันนี้
- โทเค็น
- เกินไป
- การทำธุกรรม
- ค่าธรรมเนียมการทำธุรกรรม
- การทำธุรกรรม
- วางใจ
- เข้าใจ
- UTC
- การตรวจสอบแล้ว
- ผ่านทาง
- ปริมาณ
- โหวต
- การออกเสียง
- ช่องโหว่
- อยาก
- ทาง..
- สัปดาห์ที่ผ่านมา
- ดี
- อะไร
- ที่
- ในขณะที่
- ขาว
- WHO
- จะ
- กับ
- ไม่มี
- คำ
- งาน
- จะ
- เขียน
- ยอมให้
- คุณ
- ด้วยตัวคุณเอง
- ลมทะเล