Rõ ràng, sau những gì đã xảy ra với MtGox hoặc QuadrigaCX hoặc các trường hợp tương tự khi những người sáng lập tuyên bố họ bị mất khóa riêng chứa phần lớn tài sản kỹ thuật số trên các sàn giao dịch của họ trong khi biến mất hoặc được tìm thấy đã chết sau đó, mọi người trong lĩnh vực tiền điện tử ngày càng nghi ngờ khi họ nghe về một hack vào một dự án, và ý nghĩ đầu tiên xuất hiện trong đầu là những người sáng lập về cơ bản đã rút hết quỹ và bỏ trốn cùng với nó, đó là thứ thường được gọi là RUG.
Điều này có thể đã xảy ra trong nhiều dự án, nhưng không nhất thiết phải xảy ra với tất cả các dự án đó, vì vậy hôm nay chúng tôi đang xem xét một trường hợp mà chúng tôi tin là một vụ hack thực sự do bản chất của tình huống.
Chúng tôi nghĩ rằng đây là một trường hợp thú vị để phân tích vì nó sẽ giúp hiểu rõ hơn về tầm quan trọng của bảo mật và kiểm toán trong hợp đồng thông minh hoặc các dự án liên quan đến chuỗi khối nói chung.
Chúng tôi sẽ phân tích một cách khách quan kịch tính đã xảy ra với dự án RING Financial, một mã thông báo được khởi chạy trên BSC (Binance Blockchain).
Trước khi đến phần hack, trước tiên chúng tôi sẽ tóm tắt dự án và tình hình của nó trước đó:
RING Financial trước khi bị hack
RING Financial là một dự án DeFi với mục đích làm cho DeFi dễ tiếp cận hơn với cộng đồng DeFi và tiền điện tử. Một dự án đầy tham vọng muốn tạo ra một giao thức mang lại nút sẽ được quản lý bởi Chủ sở hữu nút và phân bổ thanh khoản cho hơn 300 giao thức cùng một lúc. Mục đích là để có quyền truy cập vào tất cả các giao thức thông qua một Nút RING và thông qua RING Dapp.
Các giao thức này đã được nhóm xác minh và sau đó cộng đồng sẽ bỏ phiếu cho chúng về nơi phân bổ. Khái niệm bỏ phiếu tương tự như bạn sẽ có trong DAO khiến RING trở nên khá hấp dẫn.
RING Financial cũng đã đơn giản hóa khá nhiều quy trình nghiên cứu và quy trình triển khai cho một Chủ sở hữu nút duy nhất. Một Dapp truy cập tất cả các Dapp khác, do đó bạn chỉ cần một giao diện thay vì 300 giao diện khác nhau với các quyền truy cập và nút riêng.
Cuối cùng, mục tiêu của RING Financial là giảm phí triển khai trên các giao thức khác nhau, với khối lượng giao dịch sẽ giảm phí giao dịch cho những người nắm giữ cá nhân, đây là một trong những điểm bán hàng chính của dự án. Một dự án với sự tinh tế và tham vọng giúp mọi thứ trở nên dễ dàng hơn cho cộng đồng và thậm chí còn phổ biến hơn đối với những người chưa biết về Defi.
Tuy nhiên, sự tinh tế và tham vọng không phải lúc nào cũng đủ và bạn cần có chuyên môn và kiến thức, điều hiếm thấy ở những thị trường mới và chưa trưởng thành và đó là lý do tại sao RING Financial không thể thực hiện hoàn toàn lời hứa của mình.
Vậy điều gì đã thực sự xảy ra với RING Financial? Và tại sao nó bị hack? Nhờ có chuỗi khối, chúng tôi có tất cả bằng chứng pháp lý cần thiết để nghiên cứu sâu vấn đề này và xem các lỗ hổng ở đâu và tại sao RING Financial không phải là lừa đảo.
Vụ hack tài chính RING xảy ra vào ngày 5 tháng 2021 năm 2 trong khoảng thời gian từ 01:2 chiều đến 06:XNUMX chiều UTC.
Vâng, mọi thứ chỉ diễn ra trong đúng 5 phút! Nhân tiện, cảm ơn máy quét chuỗi khối để biết những chi tiết này, chúng tôi cung cấp cho bạn ngay bên dưới các liên kết của các giao dịch liên quan đến HACK cũng như địa chỉ của hợp đồng cho những ai muốn tìm kiếm chi tiết hơn.
Dưới đây là tóm tắt giải thích lỗ hổng mà kẻ tấn công đã khai thác:
Bạn phải hiểu rằng hợp đồng thông minh của RING Financial bao gồm nhiều phần, một phần dành cho mã thông báo và tất cả dữ liệu liên quan đến nó và phần còn lại dành cho mọi thứ liên quan đến việc hạch toán các nút và phần thưởng. Một phần của mã thông báo có bảo mật để chỉ quản trị viên của hợp đồng mới có thể sửa đổi dữ liệu quan trọng của mã này, để hiển thị cho bạn một số mã, đây là tiêu đề của một chức năng của hợp đồng được bảo vệ thông qua thuộc tính “chỉChủ sở hữu' trong đó quy định rằng chức năng chỉ có thể được thực thi bởi quản trị viên:
Một hàm không có chỉ chủ sở hữu thuộc tính (hoặc thuộc tính tương đương để bảo vệ quyền truy cập của chức năng) có thể được thực thi bởi bất kỳ ai.
Bây giờ, đoán những gì? Các chức năng trên phần Nút và Phần thưởng không có thuộc tính này, bạn có thể thấy bằng cách xem tên chức năng bên dưới (phần chỉ chủ sở hữu thuộc tính bị thiếu):
Và như bạn có thể tưởng tượng, một hacker đã khai thác và lừa đảo lỗ hổng này để nhận phần thưởng theo cấp số nhân trong RING, sau đó đổ chúng vào nhóm thanh khoản và gần như làm cạn sạch nó một cách thô bạo trong vài phút. Vì vậy, anh ta đã thực hiện những trò gian lận của mình.
Bây giờ có lẽ bạn đang tự hỏi mình hai câu hỏi:
Làm thế nào các nhà phát triển có thể để lại một lỗ hổng như vậy?
Sau khi trao đổi với các nhà phát triển Solidity (ngôn ngữ được sử dụng để viết mã hợp đồng thông minh trên Ethereum), đây là lỗi liên quan đến việc kế thừa vai trò giữa hai hợp đồng thông minh, kế thừa là một khái niệm về ngôn ngữ lập trình và để không làm bạn đau đầu, chúng tôi sẽ nói một cách đơn giản: Về cơ bản, rất có thể người viết mã hợp đồng đã nghĩ rằng các chức năng của phần Nút kế thừa vai trò bảo mật của các chức năng của phần Mã thông báo, nhưng thật không may, điều này không đúng trong Solidity và cần xác định lại vai trò của từng chức năng của từng hợp đồng, bất kể mối liên hệ của chúng. Vì vậy, kết luận của chúng tôi về điểm này là nhà phát triển không phải là một chuyên gia và anh ta có thể đã xuất bản hợp đồng mà KHÔNG dành thời gian để đọc lại, có thể là do vội vàng.
Làm thế nào để bạn biết rằng chính nhà phát triển không cố ý để lại lỗ hổng này và đó không phải là một trò lừa đảo?
Phản đối rất tốt và rất dễ bị cho là lừa đảo khi bạn không chắc chắn về cách thức hợp đồng thông minh hoạt động nhưng thực tế rất dễ cho rằng nhà phát triển vô tội, bởi vì anh ấy đã xuất bản và xác minh công khai toàn bộ mã của hợp đồng thông minh trên BSCSCAN.COM (máy quét phổ biến nhất của Chuỗi khối Binance), vào ngày 19 tháng 2021 năm XNUMX, rằng có nghĩa là, hơn hai tuần trước khi RING Financial HACK xảy ra. Và như đã giải thích trước đây, lỗ hổng được viết bằng chữ ĐEN TRÊN TRẮNG trong hợp đồng và bất kỳ nhà phát triển có kinh nghiệm nào cũng sẽ nhận thấy và phản ứng, nhưng thật không may, người đầu tiên không hề thương xót chút nào. Do đó, rõ ràng là nhà phát triển đã không nhận thức được lỗ hổng này vì anh ta sẽ không mạo hiểm để bất kỳ ai giết chết dự án RING Financial bất cứ lúc nào.
Để quay lại phần tiếp theo của RING Financial HACK, nhà phát triển đã nhận ra sai lầm của mình và chỉ cần đóng băng hợp đồng để ngăn chặn mọi hoạt động phân phối phần thưởng để kẻ tấn công không làm trống hoàn toàn nhóm. Sau đó, anh ấy triển khai lại hợp đồng Node, lần này với thuộc tính bảo mật “chỉOwner”. Hợp đồng Node mới này có thể xử lý việc phân phối phần thưởng mới một cách chính xác, ngoại trừ việc đã quá muộn, vì hậu quả của HACK, tất cả niềm tin vào dự án và nhóm đã bị mất, đồng thời áp lực bán đã giết chết và chấm dứt mã thông báo và dự án.
Để kết luận, chúng tôi chọn câu chuyện này vì nó cho thấy hai điều quan trọng về hợp đồng thông minh và dự án tiền điện tử, đừng bao giờ mã hóa hợp đồng một cách vội vàng và luôn liên hệ với các công ty kiểm toán, bởi vì một khi vụ hack xảy ra thì đã quá muộn để cứu con thuyền, và RING Dự án tài chính là một ví dụ điển hình, hơn nữa, theo thông tin liên lạc của họ, họ đã liên hệ với các công ty kiểm toán cho hợp đồng Node thứ hai này và không đăng công khai trên BSCSCAN cho đến khi họ chắc chắn về tính bảo mật của nó. Nhưng như đã nói trước đó, đã quá muộn đối với RING Financial và thiệt hại là không thể khắc phục được.
Đây là tất cả các liên kết của máy quét và địa chỉ hợp đồng:
ví thực hiện giao dịch để khai thác hack: 0xfe58c9e2ecb95757be6f4bca33162cfa346cc34f
Ring smart-contract address: 0x521ef54063148e5f15f18b9631426175cee23de2
Ring reward pool address: 0xa46cc87eca075c5ae387b86867aa3ee4cb397372
khai thác hack giao dịch:
TRX 1
link: https://bscscan.com/tx/0x596d38494ea5ae640b2a556a7029692928f15713d22b5948477c4eb4a92cf68e
TRX 2
link: https://bscscan.com/tx/0xfc890c855709bb6aeb5177ee31e08751561344402a88af13e7dfd02b9a2f6003
TRX 3
link: https://bscscan.com/tx/0x35c2f1ed9c5ce13a714af6c0dcbbce8fe720f7d6212232b6dd3657d8799a10f1
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://www.fintechnews.org/how-to-judge-if-a-so-called-hack-that-happened-to-a-crypto-or-blockchain-project-is-legit-or-if-its-just-a-mechanism-to-hide-a-rug/
- :là
- 2021
- a
- Có khả năng
- Giới thiệu
- truy cập
- có thể truy cập
- Theo
- Kế toán
- thực sự
- địa chỉ
- địa chỉ
- Sau
- Tất cả
- luôn luôn
- tham lam
- đầy tham vọng
- phân tích
- và
- Một
- bất kỳ ai
- LÀ
- AS
- Tài sản
- At
- hấp dẫn
- kiểm toán
- công ty kiểm toán
- kiểm toán
- Về cơ bản
- BE
- bởi vì
- trước
- Tin
- phía dưới
- Hơn
- giữa
- nhị phân
- Đen
- blockchain
- Liên quan đến chuỗi khối
- thuyền
- BSC
- by
- gọi là
- CAN
- trường hợp
- trường hợp
- Nguyên nhân
- nhất định
- tuyên bố
- mã
- COM
- Đến
- đến
- thông thường
- Giao tiếp
- cộng đồng
- hoàn toàn
- sáng tác
- khái niệm
- kết luận
- phần kết luận
- liên lạc
- tiếp tục
- hợp đồng
- có thể
- tạo
- Crypto
- cộng đồng crypto
- dự án tiền điện tử
- DAO
- dapp
- DApps
- dữ liệu
- chết
- Tháng mười hai
- Defi
- triển khai
- triển khai
- chi tiết
- chi tiết
- Nhà phát triển
- phát triển
- ĐÃ LÀM
- khác nhau
- kỹ thuật số
- Tài sản kỹ thuật số
- biến mất
- phân phối
- Kịch
- mỗi
- dễ dàng hơn
- đủ
- Toàn bộ
- hoàn toàn
- Tương đương
- lôi
- ethereum
- Ngay cả
- tất cả mọi thứ
- bằng chứng
- ví dụ
- Trừ
- Trao đổi
- thi hành
- kinh nghiệm
- chuyên gia
- chuyên môn
- Giải thích
- giải thích
- Khai thác
- khai thác
- số mũ
- Lệ Phí
- vài
- tài chính
- Tìm kiếm
- hãng
- Tên
- lỗ hổng
- Trong
- Pháp y
- tìm thấy
- người sáng lập
- chức năng
- chức năng
- quỹ
- Tổng Quát
- được
- tốt
- tấn
- hack
- của hacker
- xử lý
- đã xảy ra
- xảy ra
- Có
- Nghe
- giúp đỡ
- tại đây
- Ẩn giấu
- chủ
- người
- tổ chức
- Độ đáng tin của
- Hướng dẫn
- HTTPS
- IBM
- tầm quan trọng
- quan trọng
- in
- lên
- hệ thống riêng biệt,
- thừa kế
- thay vì
- thú vị
- Giao thức
- IT
- ITS
- jpg
- thẩm phán
- phím
- Giết chết
- Biết
- kiến thức
- Ngôn ngữ
- Trễ, muộn
- phát động
- Rời bỏ
- Legit
- Có khả năng
- LINK
- liên kết
- Thanh khoản
- hồ bơi thanh khoản
- tìm kiếm
- Rất nhiều
- thực hiện
- Chủ yếu
- Mainstream
- Đa số
- làm cho
- Làm
- nhiều
- thị trường
- max-width
- cơ chế
- tâm
- Phút
- mất tích
- sửa đổi
- chi tiết
- Hơn thế nữa
- hầu hết
- Phổ biến nhất
- mtgox
- tên
- Thiên nhiên
- nhất thiết
- cần thiết
- Cần
- Mới
- nút
- các nút
- Khái niệm
- Tháng mười một
- con số
- Rõ ràng
- of
- on
- ONE
- gọi món
- Nền tảng khác
- riêng
- một phần
- các bộ phận
- người
- người
- đã chọn
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Điểm
- điểm
- hồ bơi
- Phổ biến
- Bài đăng
- áp lực
- riêng
- Khóa riêng
- có lẽ
- quá trình
- Lập trình
- dự án
- dự án
- lời hứa
- bảo vệ
- bảo vệ
- giao thức
- giao thức
- cho
- công khai
- công bố
- mục đích
- QuadrigaCX
- Câu hỏi
- HIẾM HOI
- Đọc
- thực
- nhận ra
- giảm
- liên quan
- nghiên cứu
- kết quả
- trở lại
- Khen thưởng
- Thưởng
- Nhẫn
- Nguy cơ
- Vai trò
- vai trò
- chạy
- Nói
- tương tự
- Lưu
- Lừa đảo
- lừa đảo
- Tìm kiếm
- Thứ hai
- an ninh
- Bán
- một số
- hiển thị
- Chương trình
- tương tự
- Đơn giản
- đơn giản hóa
- đơn giản
- duy nhất
- tình hình
- hợp đồng thông minh
- So
- sự vững chắc
- một số
- ở lại
- Dừng
- Câu chuyện
- như vậy
- tóm tắt
- TÓM TẮT
- đáng ngờ
- dùng
- nói
- nhóm
- Cảm ơn
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- vì thế
- Kia là
- điều
- nghĩ
- Thông qua
- thời gian
- đến
- bây giờ
- mã thông báo
- quá
- giao dịch
- Phí giao dịch
- Giao dịch
- NIỀM TIN
- hiểu
- UTC
- xác minh
- thông qua
- khối lượng
- Bỏ phiếu
- Bỏ phiếu
- Lỗ hổng
- muốn
- Đường..
- tuần
- TỐT
- Điều gì
- cái nào
- trong khi
- trắng
- CHÚNG TÔI LÀ
- sẽ
- với
- không có
- từ
- Công việc
- sẽ
- viết
- năng suất
- Bạn
- mình
- zephyrnet
