Уроки атаки на Tinyman, найбільший DEX на Algorand

Час читання: 5 протокол

Криптозломи тривають у 2022 році, оскільки хакери атакують уразливості в різних мережах, додаючи мільйони вкрадених активів. Спільнота Algorand почала рік на сумній ноті після атаки на їхню децентралізовану біржу, яка призвела до втрати активів на суму близько 3 мільйонів доларів.

За повідомленнями, на Січень 1, 2022, неавторизовані користувачі атакували Крихітна людина, децентралізована фінансова платформа, побудована на Algorand. Подія була здійснена у вигляді чотирьох окремих атак, що дозволило хакерам викрасти $ 3 мільйонів з пулів у межах протоколу.

Звіт Tinyman показав, що чотири облікові записи були скомпрометовані, що вплинуло на близько 250 користувачів з активами в goBTC і goETH. Сорок три пули постраждали від 360 шкідливих дій, здійснених за 13 унікальними адресами.

Примітно, що зловмисники активували адреси своїх гаманців, що дозволило їм внести початковий фонд для атаки. Крім того, як повідомляється, ці особи зламали раніше невідомі вразливості в смарт-контракті Tinyman. Це дозволило їм отримати два однакові токени, якими вони потім обмінялися деякими активами та викарбуваними токенами пулу.

Повідомляється, що атаки спрямовані на неавторизованих користувачів, оскільки goBTC актив був більш цінним, ніж ALGO токен, на який вони обмінялися, щоб отримати більше коштів. Крім того, зловмисники також обмінювали пули стейблкойнами перед виведенням активів на інші гаманці та централізовані біржі.

Оскільки Tinyman є надійним протоколом без дозволу, він використовує незмінні контракти, що унеможливлює швидке усунення вразливостей і зупинку атаки. Однак у результаті вони могли лише порадити своїм користувачам не використовувати платформу, оскільки вони працювали над вирішенням проблеми.

Поки команда Tinyman продовжує досліджувати цей випадок, потрібно звернути увагу на кілька ключових питань. До них належать:

Важливість аудитів

Враховуючи збільшення кількості випадків шахрайства та атак, пов’язаних із криптовалютою, у DeFi та на ринку криптовалют загалом, потреба в системах перевірок і підзвітності не може бути достатньо підкреслена. 

Торік у листопаді, Еліптичних, глобальна компанія з управління крипто-ризиками, провела дослідження, яке показало, що над 10.5 млрд доларів активів було втрачено DeFi у 2021 році через зломи та інші атаки на мережі та протоколи. 

Крім того, враховано хаки, пов’язані з DeFi 76% усіх великих хакерів у 2021 році. Згідно зі звітом, недовірливий характер децентралізованих програм (DApps) у DeFi є одночасно благом і прокляттям. Недовірливість усуває будь-який контроль третіх сторін над коштами користувачів. Однак користувачі змушені вірити, що творці протоколів, про які йде мова, не допустили жодних помилок у кодуванні чи дизайні, які могли б дозволити атаку на систему.

Аудити дозволяють перевіреним організаціям перевіряти наявність вразливостей у кодах і структурному дизайні проекту, підвищуючи загальну безпеку. Необхідно постійно проводити перевірки, щоб не відставати від складних і нових методів, які хакери використовують для атак на системи. Хоча Tinyman, як повідомляється, пройшов аудит, нещодавня аудиторська перевірка могла допомогти виправити помилки чи вразливості та, можливо, запобігти втратам.

Необхідно прочитати: Велика четвірка працює над аудитом блокчейну

В ідеалі аудит розумних контрактів слід проводити до того, як контракти розгортаються. Ці аудити спрямовані на перевірку поширених помилок, таких як проблеми зі стеком, помилки повторного входу та інші можливі ускладнення. Процес аудиту також перевіряє відомі помилки хост-платформ і недоліки безпеки, дозволяючи розробникам протестувати смарт-контракт.

Крім того, перевірки допомагають проектам постійно вдосконалювати свої смарт-контракти, забезпечуючи їхню актуальність. Наприклад, після атаки Tinyman був змушений оновити свої смарт-контракти, щоб запобігти таким атакам у майбутньому.

Страхування DeFi

Примітно, що перш ніж укладати будь-які домовленості на ринку DeFi, користувачі повинні повністю розуміти ризики, пов’язані з ринком. Крім ризиків смарт-контрактів, користувачі також можуть зіткнутися з ризиками Oracle і ризиками управління. 

Тим не менш, проведення належних досліджень ринків і проектів на них дозволяє користувачам приймати обґрунтовані рішення. Одним із таких рішень є захист від непередбачених атак через DeFi Insurance.

Страхування DeFi – це процес страхування себе або придбання покриття від збитків, яких можуть зазнати події в галузі DeFi. Зростання кількості збитків у DeFi спричинило попит на страхові продукти DeFi, оскільки кількість нових проектів зростає з кожним днем. 

Зазвичай багато постраждалих бірж відшкодовують жертвам після атаки. Однак деякі зі зламаних проектів не можуть відшкодувати своїм користувачам.

Зауважте, що команда Tinyman виступила, щоб запевнити постраждалих користувачів, що їм буде відшкодовано збитки.

Сила в громадах

Примітно, що після того, як перша атака стала публічною, багато інших хакерів скористалися можливістю скопіювати злом. Вони використовували ті самі вразливості для виконання менших атак (від другої до четвертої) на біржі. Однак за допомогою спільноти Tinyman вдалося врятувати великий відсоток своїх активів.

У цій та подібних атаках спільноти сприяли швидшому поширенню новин, дозволяючи користувачам вживати необхідних заходів безпеки, щоб захистити свої активи. Крім того, спільноти певною мірою допомогли налагодити кращий зв’язок і співпрацю між розробниками та користувачами для розвитку всієї екосистеми.

Останніми днями крипто-спільноти допомогли підняти революції, які призвели до зростання проектів у галузі.

Підводячи підсумок

Хоча блокчейн зробив величезний прорив, особливо у сфері фінансів, ця технологія далека від досконалості. Однак власники проектів, розробники та користувачі можуть вжити відповідних заходів для забезпечення більшої безпеки в програмах на основі блокчейну.

Вживаючи заходів підзвітності за допомогою аудитів та інших відповідних заходів, проекти можуть усунути будь-які помилки або вразливості, які можуть бути використані проти програми. Крім того, вжиття інших запобіжних заходів, таких як страхування DeFi та підтримання тісної спільноти, є важливим для пом’якшення таких подій. 

Зверніться до QuillAudits

QuillAudits — це безпечна платформа аудиту смарт-контрактів, розроблена QuillHash
Технології.
Це аудиторська платформа, яка ретельно аналізує та перевіряє смарт-контракти для перевірки вразливостей безпеки шляхом ефективного ручного перегляду за допомогою інструментів статичного та динамічного аналізу, газоаналізаторів, а також симуляторів. Крім того, процес аудиту також включає розширене модульне тестування, а також структурний аналіз.
Ми проводимо як аудит смарт-контрактів, так і тести на проникнення, щоб знайти потенціал
вразливості безпеки, які можуть зашкодити цілісності платформи.

Якщо вам потрібна допомога в аудиті смарт-контрактів, не соромтеся звертатися до наших експертів тут!

Щоб бути в курсі нашої роботи, приєднуйтесь до нашої спільноти:-

Twitter | LinkedIn | Facebook | Telegram

Повідомлення Уроки атаки на Tinyman, найбільший DEX на Algorand вперше з'явився на Блог.quillhash.

Джерело: https://blog.quillhash.com/2022/01/lessons-from-the-attack-on-tinyman-largest-dex-on-algorand