Bir Crypto veya Blockchain projesinin başına gelen sözde "HACK" olayının yasal olup olmadığı veya bunun sadece bir RUG'yi gizlemek için bir mekanizma olup olmadığı nasıl belirlenir?

Açıkçası, MtGox veya QuadrigaCX veya kurucuların borsalarının dijital varlıklarının çoğunu tutan özel anahtarlarını kaybettiklerini iddia ettikleri veya daha sonra ölü bulunduklarını iddia ettikleri benzer vakalardan sonra, kripto alanındaki insanlar bir şey duyduklarında giderek daha fazla şüpheleniyorlar. bir projeyi hackleyin ve akla gelen ilk düşünce, kurucuların temelde fonu boşaltıp onunla kaçtığıdır, buna genellikle RUG denir.

Bu muhtemelen birçok projede böyle olmuştur, ancak hepsinde olması gerekmez, bu nedenle bugün, durumun doğası gereği gerçek bir hack olduğuna inandığımız bir vakaya bakıyoruz.

Genel olarak akıllı sözleşme veya blockchain ile ilgili projelerde güvenliğin ve denetimlerin önemini daha iyi anlamaya yardımcı olacağından, analiz edilmesi ilginç bir durum olduğunu düşünüyoruz.

BSC'de (Binance Blockchain) başlatılan bir token olan RING Financial projesinin başına gelen dramayı objektif bir şekilde analiz edeceğiz.

Hack'e gelmeden önce projeyi ve ondan önceki durumunu kısaca özetleyeceğiz:

Hack'ten önce RING Financial

RING Financial, DeFi'yi DeFi ve kripto topluluğu için daha erişilebilir hale getirmeyi amaçlayan bir DeFi projesiydi. Düğüm Sahipleri tarafından yönetilecek ve aynı anda 300'den fazla protokole likidite tahsis edecek bir düğüm sağlayan protokol oluşturmak isteyen iddialı bir proje. Amaç, tüm protokollere tek bir RING Düğümü ve RING Dapp aracılığıyla erişim sağlamaktı.

Bu protokoller ekip tarafından doğrulandı ve ardından topluluk bunları nereye tahsis edeceklerini oylayacaktı. RING'i oldukça çekici kılan bir DAO'dakiyle aynı oylama konsepti.

RING Financial ayrıca tek bir Düğüm Sahibi için araştırma sürecini ve dağıtım sürecini oldukça basitleştirdi. Diğer tüm Dapp'lere erişmek için bir Dapp, böylece kendi erişimleri ve kendi düğümleri olan 300 farklı arayüz yerine yalnızca bir arayüze ihtiyacınız olur.

Son olarak, RING Financial'ın amacı, projenin ana satış noktalarından biri olan bireysel sahipler için işlem ücretlerini düşüren hacimle birlikte, farklı protokollerde dağıtım ücretlerini azaltmaktı. Topluluk için işleri kolaylaştırmak ve Defi'den haberdar olmayanlar için daha da yaygın hale getirmek için yetenekli ve hırslı bir proje.

Bununla birlikte, yetenek ve hırs her zaman yeterli değildir ve yeni ve olgunlaşmamış pazarlarda nadir görülen bir bulgu olan uzmanlık ve bilgiye ihtiyacınız vardır ve bu nedenle RING Financial vaadini tam olarak yerine getirememiştir.

Peki, RING Financial'a gerçekte ne oldu? Ve neden hacklendi? Blok zinciri sayesinde, bunu araştırmak ve güvenlik açıklarının nerede ve neden olduğunu görmek için gereken tüm adli kanıtlara sahibiz. RING Financial bir aldatmaca değildi.

RING Financial HACK, 5 Aralık 2021'de 2:01 - 2:06 UTC arasında gerçekleşti.

Evet, her şey kelimenin tam anlamıyla sadece 5 dakika içinde oldu! Bu detaylar için blockchain tarayıcı sayesinde bu arada HACK ile ilgili işlemlerin linklerini ve daha detaylı araştırmak isteyenler için sözleşmenin adresini hemen aşağıda sunuyoruz.

Saldırganın istismar ettiği kusuru açıklayan özet şu şekildedir:

RING Financial'ın akıllı sözleşmesinin, biri token ve onunla ilgili tüm veriler için, diğeri ise düğümlerin ve ödüllerin muhasebesi ile ilgili her şey için olmak üzere birkaç bölümden oluştuğunu anlamalısınız. Jetonun bir kısmı, yalnızca sözleşmenin yöneticisinin bunun önemli verilerini değiştirebileceği bir güvenliğe sahipti, size bazı kodlar göstermek için, işte "onlyOwner" özniteliği ile korunan sözleşmenin bir işlevinin başlığı. işlevin yalnızca yönetici tarafından yürütülebileceğini şart koşan:

olmayan bir fonksiyon sadeceSahip özniteliği (veya işlevin erişimini korumak için eşdeğer öznitelik) neredeyse herkes tarafından yürütülebilir.

Şimdi, tahmin et ne oldu? Nodes and Rewards kısmındaki fonksiyonlarda bu özellik yoktu, aşağıdaki fonksiyon adlarına bakarak da görebileceğiniz gibi ( sadeceSahip öznitelik eksik):

Ve tahmin edebileceğiniz gibi, bir bilgisayar korsanı RING'de üstel sayıda ödül almak için bu açığı kullandı ve dolandırdı ve ardından onları likidite havuzuna attı ve birkaç dakika içinde neredeyse şiddetli bir şekilde boşalttı. Böylece dolandırıcılıklarını sürdürdü.

Şimdi muhtemelen kendinize iki soru soruyorsunuz:

Geliştiriciler nasıl böyle bir boşluk bırakabilir?

Solidity geliştiricileriyle (Ethereum'da akıllı sözleşmeleri kodlamak için kullanılan dil) konuştuktan sonra, bu, iki akıllı sözleşme arasındaki rol kalıtımı ile ilgili bir hatadır, kalıtım bir programlama dili kavramıdır ve başınızı ağrıtmamak için, basit bir ifadeyle kalacak: Temel olarak, sözleşmeyi kodlayan kişinin, Node bölümünün işlevlerinin, Token bölümünün işlevlerinin güvenlik rollerini devraldığını düşünmesi çok muhtemeldir, ancak bu maalesef Solidity'de böyle değildir ve bağlantıları ne olursa olsun, her sözleşmenin her bir işlevinin rollerini yeniden tanımlamak gerekir. Dolayısıyla, bu noktadaki sonucumuz, geliştiricinin bir uzman olmadığı ve muhtemelen sözleşmeyi tekrar okumaya zaman ayırmaDAN, muhtemelen aceleyle yayınladığıdır.

Bu kusuru kasten bırakanın geliştiricinin kendisi olmadığını ve bunun bir aldatmaca olmadığını nereden biliyorsunuz?

Çok iyi bir itiraz ve nasıl olduğundan emin olmadığınızda bir dolandırıcılık varsaymak kolaydır. akıllı sözleşmeler 19 Kasım 2021'de BSCSCAN.COM'da (Binance Blockchain'in en popüler tarayıcısı) akıllı sözleşmenin tüm kodunu herkese açık olarak yayınladığı ve doğruladığı için geliştiricinin masum olduğunu varsaymak aslında çok kolay. yani, RING Financial HACK gerçekleşmeden iki haftadan fazla bir süre önce. Ve daha önce açıklandığı gibi, kusur sözleşmede BLACK ON WHITE ile yazılmıştı ve deneyimli herhangi bir geliştirici bunu fark edip tepki gösterirdi, ancak ne yazık ki ilk geliştirici hiç merhamet göstermedi. Bu nedenle, geliştiricinin bu kusurun farkında olmadığı açıktır çünkü herhangi bir zamanda RING Financial projesini kimsenin öldürmesine izin verme riskini almazdı.

RING Financial HACK'in devamına geri dönmek için, geliştirici hatasını fark etti ve saldırganın havuzu tamamen boşaltmaması için herhangi bir ödül dağıtımını durdurmak için sözleşmeyi dondurdu. Ardından, bu kez "onlyOwner" güvenlik özniteliğiyle bir Düğüm sözleşmesini yeniden konuşlandırdı. Bu yeni Düğüm sözleşmesi, yeni ödül dağıtımını doğru bir şekilde idare edebildi, ancak bunun çok geç olması dışında, çünkü HACK'in bir sonucu olarak projeye ve ekibe olan tüm güven kaybedilmişti ve satış baskısı token'ı öldürüp sonlandırdı. proje.

Sonuç olarak, bu hikayeyi seçtik çünkü akıllı sözleşmeler ve kripto projeleri hakkında iki önemli şeyi gösteriyor: Bir sözleşmeyi asla aceleyle kodlamayın ve her zaman denetim firmalarıyla iletişime geçin çünkü hack bir kez gerçekleştiğinde gemiyi kurtarmak için çok geç kalınmış olur ve RING Financial projesi buna iyi bir örnektir, ayrıca iletişimlerine göre bu ikinci Düğüm sözleşmesi için denetim firmalarıyla iletişime geçtiler ve güvenliğinden emin olana kadar bunu BSCSCAN'da herkese açık olarak yayınlamadılar. Ancak daha önce de belirtildiği gibi, RING Financial için çok geçti ve hasar geri döndürülemezdi.

İşte tarayıcının tüm bağlantıları ve sözleşme adresleri:

Hack istismarı için cüzdan yürütme işlemi: 0xfe58c9e2ecb95757be6f4bca33162cfa346cc34f

 Ring smart-contract address: 0x521ef54063148e5f15f18b9631426175cee23de2

Ring reward pool address: 0xa46cc87eca075c5ae387b86867aa3ee4cb397372

 işlem hack istismarı:

 TRX 1

    link: https://bscscan.com/tx/0x596d38494ea5ae640b2a556a7029692928f15713d22b5948477c4eb4a92cf68e

TRX 2

    link: https://bscscan.com/tx/0xfc890c855709bb6aeb5177ee31e08751561344402a88af13e7dfd02b9a2f6003

TRX 3

    link: https://bscscan.com/tx/0x35c2f1ed9c5ce13a714af6c0dcbbce8fe720f7d6212232b6dd3657d8799a10f1

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
• Kaynak: https://www.fintechnews.org/how-to-judge-if-a-so-called-hack-that-happened-to-a-crypto-or-blockchain-project-is-legit-or-if-its-just-a-mechanism-to-hide-a-rug/