อ่านเวลา: 5 นาที
การแฮ็ก Crypto ดำเนินต่อไปในปี 2022 เนื่องจากแฮกเกอร์โจมตีช่องโหว่ภายในเครือข่ายต่างๆ และเพิ่มสินทรัพย์ที่ถูกขโมยไปนับล้าน ชุมชน Algorand เริ่มต้นปีด้วยความรู้สึกไม่ดีหลังจากการโจมตีการแลกเปลี่ยนแบบกระจายอำนาจซึ่งนำไปสู่การสูญเสียทรัพย์สินมูลค่าประมาณ 3 ล้านดอลลาร์
ตามรายงานเมื่อ January 1, 2022 , ผู้ใช้ที่ไม่ได้รับอนุญาตโจมตี ไทนี่แมนแพลตฟอร์มการเงินแบบกระจายอำนาจที่สร้างขึ้นบน Algorand เหตุการณ์เกิดขึ้นในการโจมตีสี่แยก ทำให้แฮกเกอร์สามารถขโมยได้ $ 3 ล้าน จากพูลภายในโปรโตคอล
รายงานโดย Tinyman แสดงให้เห็นว่าบัญชีสี่บัญชีถูกบุกรุก ซึ่งส่งผลกระทบต่อผู้ใช้ประมาณ 250 รายที่มีการถือครองใน goBTC และ goETH กลุ่มสี่สิบสามได้รับผลกระทบจากกิจกรรมที่เป็นอันตราย 360 รายการที่ดำเนินการโดยที่อยู่ที่ไม่ซ้ำกัน 13 รายการ
โดยเฉพาะอย่างยิ่งผู้โจมตีเปิดใช้งานที่อยู่กระเป๋าเงินของพวกเขาซึ่งอนุญาตให้พวกเขาฝากเงินทุนสำหรับการโจมตี นอกจากนี้ มีรายงานว่าบุคคลเหล่านี้ละเมิดช่องโหว่ที่ไม่รู้จักก่อนหน้านี้ในสัญญาอัจฉริยะของ Tinyman สิ่งนี้ทำให้พวกเขาได้รับโทเค็นเดียวกันสองอัน จากนั้นจึงดำเนินการสลับสินทรัพย์และโทเค็นพูลบางส่วน
มีรายงานว่าการโจมตีดังกล่าวสนับสนุนผู้ใช้ที่ไม่ได้รับอนุญาตเนื่องจาก ไปBTC ทรัพย์สินมีค่ามากกว่า ALGO โทเค็นที่พวกเขาแลกเปลี่ยนเพื่อรับเงินมากขึ้น นอกจากนี้ ผู้โจมตียังแลกเปลี่ยนพูลกับ stablecoin ก่อนที่จะถอนสินทรัพย์ไปยังกระเป๋าเงินอื่น ๆ และการแลกเปลี่ยนแบบรวมศูนย์
เนื่องจากเป็นโปรโตคอลที่น่าเชื่อถือและไม่มีสิทธิ์อนุญาต Tinyman จึงใช้สัญญาที่ไม่เปลี่ยนรูป ทำให้การแลกเปลี่ยนแก้ไขจุดอ่อนและหยุดการโจมตีไม่ได้อย่างรวดเร็ว อย่างไรก็ตาม ผลที่ได้คือ พวกเขาทำได้เพียงแนะนำผู้ใช้ว่าอย่าใช้แพลตฟอร์มในขณะที่กำลังแก้ไขปัญหา
ในขณะที่ทีม Tinyman ยังคงสืบสวนเหตุการณ์นี้ต่อไป ประเด็นสำคัญบางประการจำเป็นต้องได้รับการแก้ไข ซึ่งรวมถึง:
ความสำคัญของการตรวจสอบ
ด้วยจำนวนคดีฉ้อโกงที่เพิ่มขึ้นและการโจมตีที่เกี่ยวข้องกับการเข้ารหัสลับภายใน DeFi และตลาดสกุลเงินดิจิทัลโดยรวม ความจำเป็นในการตรวจสอบระบบและความรับผิดชอบจึงไม่สามารถเน้นได้เพียงพอ
ปีที่แล้วในเดือนพฤศจิกายน รูปไข่บริษัทความเสี่ยงด้านการจัดการคริปโตระดับโลกได้ทำการวิจัยพบว่า $ 10.5 พันล้าน ทรัพย์สินมูลค่าหายไปจาก DeFi ในปี 2021 เนื่องจากการแฮ็กและการโจมตีอื่น ๆ บนเครือข่ายและโปรโตคอล
นอกจากนี้การแฮ็กที่เกี่ยวข้องกับ DeFi ยังคิดเป็น ลด 76% ของการแฮ็กสำคัญๆ ทั้งหมดในปี 2021 จากรายงานระบุว่า Decentralized applications (DApps) ที่ไม่น่าเชื่อถือภายใน DeFi นั้นเป็นทั้งพรและคำสาป ความไม่ไว้วางใจช่วยขจัดการควบคุมเงินทุนของผู้ใช้ของบุคคลที่สาม อย่างไรก็ตาม ผู้ใช้ถูกบังคับให้เชื่อมั่นว่าผู้สร้างโปรโตคอลที่เป็นปัญหาไม่ได้ทำผิดพลาดใดๆ ในการเข้ารหัสหรือการออกแบบที่อาจทำให้เกิดการโจมตีระบบได้
การตรวจสอบช่วยให้หน่วยงานที่เชื่อถือได้ตรวจสอบช่องโหว่ด้วยรหัสและการออกแบบโครงสร้างของโครงการ ซึ่งจะเพิ่มความปลอดภัยโดยรวม การตรวจสอบควรดำเนินการอย่างต่อเนื่องเพื่อให้ทันกับเทคนิคที่ซับซ้อนและใหม่ที่แฮ็กเกอร์ใช้ในการโจมตีระบบ ในขณะที่ Tinyman ได้รับรายงานว่าได้รับการตรวจสอบแล้ว การตรวจสอบล่าสุดสามารถช่วยแก้ไขจุดบกพร่องหรือจุดอ่อน และอาจป้องกันการสูญเสียได้
ต้องอ่าน: บิ๊กโฟร์กำลังทำงานเพื่อการตรวจสอบบล็อคเชน
ตามหลักการแล้ว การตรวจสอบสัญญาอัจฉริยะควรทำก่อนเริ่มใช้งานสัญญา การตรวจสอบเหล่านี้พยายามตรวจหาข้อผิดพลาดทั่วไป เช่น ปัญหาสแต็ก ข้อผิดพลาดในการกลับเข้ามาใหม่ และภาวะแทรกซ้อนอื่นๆ ที่อาจเกิดขึ้น กระบวนการตรวจสอบยังตรวจสอบข้อผิดพลาดที่ทราบของแพลตฟอร์มโฮสต์และข้อบกพร่องด้านความปลอดภัยในขณะที่อนุญาตให้นักพัฒนาทดสอบสัญญาอัจฉริยะ
นอกจากนี้ การตรวจสอบยังช่วยให้โปรเจ็กต์ปรับปรุงสัญญาอัจฉริยะได้อย่างต่อเนื่อง ทำให้มั่นใจได้ว่าสัญญาจะอัปเดตอยู่เสมอ ตัวอย่างเช่น หลังจากการโจมตี Tinyman ถูกบังคับให้อัปเดตสัญญาอัจฉริยะเพื่อป้องกันการโจมตีดังกล่าวในอนาคต
เดฟี่ประกันภัย
โดยเฉพาะอย่างยิ่ง ก่อนที่จะทำการจัดการใดๆ ภายในตลาด DeFi ผู้ใช้จำเป็นต้องเข้าใจความเสี่ยงที่เกี่ยวข้องกับตลาดอย่างเต็มที่ นอกจากความเสี่ยงจากสัญญาอัจฉริยะแล้ว ผู้ใช้ยังอาจต้องเผชิญกับความเสี่ยงด้านออราเคิลและความเสี่ยงด้านการกำกับดูแลอีกด้วย
ที่กล่าวว่าการดำเนินการวิจัยที่เหมาะสมเกี่ยวกับตลาดและโครงการต่างๆ ในตลาดนั้นช่วยให้ผู้ใช้สามารถตัดสินใจได้อย่างมีข้อมูล การตัดสินใจอย่างหนึ่งคือการป้องกันการโจมตีที่คาดไม่ถึงผ่าน DeFi Insurance
DeFi Insurance เป็นกระบวนการของการประกันตัวเองหรือการซื้อความคุ้มครองจากการสูญเสียที่เหตุการณ์ในอุตสาหกรรม DeFi อาจประสบ จำนวนความสูญเสียที่เพิ่มขึ้นภายใน DeFi ทำให้เกิดความต้องการผลิตภัณฑ์ประกันภัย DeFi เนื่องจากโครงการใหม่ๆ เพิ่มขึ้นทุกวัน
โดยปกติ การแลกเปลี่ยนที่ได้รับผลกระทบจำนวนมากจบลงด้วยการชดใช้ค่าเสียหายให้กับเหยื่อหลังการโจมตี อย่างไรก็ตาม โครงการที่ถูกแฮ็กบางโครงการไม่สามารถคืนเงินให้ผู้ใช้ได้
โปรดทราบว่าทีม Tinyman ได้ออกมาเพื่อให้มั่นใจว่าผู้ใช้ที่ได้รับผลกระทบจะได้รับเงินคืนสำหรับการสูญเสียของพวกเขา
ความเข้มแข็งในชุมชน
โดยเฉพาะอย่างยิ่ง หลังจากที่การโจมตีครั้งแรกกลายเป็นสาธารณะ แฮ็กเกอร์อีกจำนวนมากได้ใช้โอกาสนี้ในการคัดลอกการแฮ็ก พวกเขาใช้ช่องโหว่เดียวกันเพื่อดำเนินการโจมตีขนาดเล็ก (การโจมตีครั้งที่สองถึงสี่) ในการแลกเปลี่ยน อย่างไรก็ตาม Tinyman สามารถบันทึกทรัพย์สินของพวกเขาได้เป็นจำนวนมากด้วยความช่วยเหลือจากชุมชน
ในการโจมตีครั้งนี้และที่คล้ายคลึงกัน ชุมชนได้ช่วยกระจายข่าวเร็วขึ้น ทำให้ผู้ใช้สามารถดำเนินการด้านความปลอดภัยที่จำเป็นเพื่อช่วยให้ทรัพย์สินของตนปลอดภัย นอกจากนี้ ชุมชนได้ช่วยสร้างการสื่อสารและการทำงานร่วมกันที่ดีขึ้นระหว่างนักพัฒนาและผู้ใช้ในระดับหนึ่งเพื่อการเติบโตของระบบนิเวศทั้งหมด
ในช่วงไม่กี่วันที่ผ่านมา ชุมชนที่ใช้คริปโต (crypto) ได้ช่วยสร้างการปฏิวัติที่นำไปสู่การเติบโตของโครงการต่างๆ ในอุตสาหกรรม
ตัดขึ้น
แม้ว่าบล็อคเชนจะมีความก้าวหน้าอย่างมาก โดยเฉพาะอย่างยิ่งในด้านการเงิน แต่เทคโนโลยีนี้ก็ยังห่างไกลจากความสมบูรณ์แบบ อย่างไรก็ตาม เจ้าของโครงการ นักพัฒนา และผู้ใช้สามารถใช้มาตรการที่เหมาะสมเพื่อให้มั่นใจในความปลอดภัยมากขึ้นภายในแอปพลิเคชันที่ใช้บล็อคเชน
ด้วยการใช้มาตรการความรับผิดชอบผ่านการตรวจสอบและมาตรการที่เกี่ยวข้องอื่นๆ โครงการสามารถขจัดจุดบกพร่องหรือจุดอ่อนใดๆ ที่อาจใช้กับแอปพลิเคชันได้ นอกจากนี้ การใช้มาตรการป้องกันอื่นๆ เช่น การประกันภัย DeFi และการรักษาชุมชนที่แน่นแฟ้นเป็นสิ่งสำคัญในการบรรเทาเหตุการณ์ดังกล่าว
ติดต่อ QuillAudits
QuillAudits เป็นแพลตฟอร์มการตรวจสอบสัญญาอัจฉริยะที่ปลอดภัยซึ่งออกแบบโดย ขนนกแฮช
เทคโนโลยี
เป็นแพลตฟอร์มการตรวจสอบที่วิเคราะห์และตรวจสอบสัญญาอัจฉริยะอย่างเข้มงวด เพื่อตรวจสอบช่องโหว่ด้านความปลอดภัยผ่านการตรวจสอบโดยเจ้าหน้าที่ที่มีประสิทธิภาพด้วยเครื่องมือวิเคราะห์แบบสถิตและไดนามิก เครื่องวิเคราะห์ก๊าซ และเครื่องจำลอง นอกจากนี้ กระบวนการตรวจสอบยังรวมถึงการทดสอบหน่วยอย่างละเอียดและการวิเคราะห์โครงสร้างด้วย
เราดำเนินการตรวจสอบสัญญาอัจฉริยะและการทดสอบการเจาะเพื่อค้นหาศักยภาพ
ช่องโหว่ด้านความปลอดภัยที่อาจเป็นอันตรายต่อความสมบูรณ์ของแพลตฟอร์ม
หากคุณต้องการความช่วยเหลือในการตรวจสอบสัญญาอัจฉริยะ โปรดติดต่อผู้เชี่ยวชาญของเรา ที่นี่!
เพื่อติดตามผลงานของเรา เข้าร่วมชุมชนของเรา:-
Twitter | LinkedIn | Facebook | Telegram
โพสต์ บทเรียนจากการจู่โจมของ Tinyman, DEX ที่ใหญ่ที่สุดบน Algorand ปรากฏตัวครั้งแรกเมื่อ Blog.quillhash.
ที่มา: https://blog.quillhash.com/2022/01/lessons-from-the-attack-on-tinyman-largest-dex-on-algorand
- "
- 2022
- เกี่ยวกับเรา
- ตาม
- การปฏิบัติ
- กิจกรรม
- Algorand
- ทั้งหมด
- การอนุญาต
- การวิเคราะห์
- การใช้งาน
- การใช้งาน
- สินทรัพย์
- สินทรัพย์
- การตรวจสอบบัญชี
- กำลัง
- blockchain
- blockchain ตาม
- เป็นโรคจิต
- การก่อสร้าง
- การซื้อ
- กรณี
- การตรวจสอบ
- การเข้ารหัส
- ร่วมกัน
- การสื่อสาร
- ชุมชน
- ชุมชน
- บริษัท
- ต่อ
- อย่างต่อเนื่อง
- สัญญา
- สัญญา
- ได้
- ผู้สร้าง
- การเข้ารหัสลับ
- cryptocurrency
- ตลาด cryptocurrency
- DApps
- วัน
- ซึ่งกระจายอำนาจ
- แอปพลิเคชันที่กระจายอำนาจ
- แลกเปลี่ยนกระจายอำนาจ
- Defi
- ความต้องการ
- ออกแบบ
- นักพัฒนา
- Dex
- DID
- ต่าง
- แสดง
- ระบบนิเวศ
- โดยเฉพาะอย่างยิ่ง
- เหตุการณ์
- เหตุการณ์
- ตลาดแลกเปลี่ยน
- แลกเปลี่ยน
- ใบหน้า
- เงินทุน
- ทางการเงิน
- ชื่อจริง
- แก้ไขปัญหา
- ข้อบกพร่อง
- การหลอกลวง
- ฟรี
- กองทุน
- เงิน
- อนาคต
- GAS
- ได้รับ
- เหตุการณ์ที่
- การกำกับดูแล
- การเจริญเติบโต
- การเจริญเติบโต
- สับ
- แฮกเกอร์
- แฮ็ก
- ช่วย
- HTTPS
- สำคัญ
- เพิ่มขึ้น
- อุตสาหกรรม
- ประกัน
- สอบสวน
- IT
- ร่วม
- การเก็บรักษา
- คีย์
- ใหญ่
- นำ
- สำคัญ
- การทำ
- การจัดการ
- ตลาด
- ตลาด
- ล้าน
- ล้าน
- ธรรมชาติ
- เครือข่าย
- ข่าว
- ตัวเลข
- โอกาส
- คำพยากรณ์
- อื่นๆ
- เจ้าของ
- เปอร์เซ็นต์
- เวที
- สระ
- สระว่ายน้ำ
- ปัญหา
- กระบวนการ
- ผลิตภัณฑ์
- โครงการ
- โครงการ
- การป้องกัน
- โปรโตคอล
- สาธารณะ
- คำถาม
- ยก
- รายงาน
- รายงาน
- การวิจัย
- ทบทวน
- ความเสี่ยง
- ปลอดภัย
- กล่าวว่า
- ความปลอดภัย
- เมล็ดพันธุ์
- คล้ายคลึงกัน
- สมาร์ท
- สัญญาสมาร์ท
- สัญญาสมาร์ท
- กระจาย
- Stablecoins
- ที่ถูกขโมย
- ระบบ
- ระบบ
- เทคโนโลยี
- ทดสอบ
- การทดสอบ
- ของบุคคลที่สาม
- ตลอด
- เวลา
- โทเค็น
- ราชสกุล
- เครื่องมือ
- มหึมา
- วางใจ
- เป็นเอกลักษณ์
- บันทึก
- ผู้ใช้
- ช่องโหว่
- กระเป๋าสตางค์
- กระเป๋าสตางค์
- ภายใน
- งาน
- ทำงาน
- คุ้มค่า
- ปี