Le 10 migliori tecniche di hacking Blockchain di Open Zeppelin

– Open Zeppelin, una società di sicurezza informatica che fornisce strumenti per lo sviluppo e la protezione di applicazioni decentralizzate (dApp).

- La società ha rivelato che la più grande minaccia posta alle dApp non è la tecnologia blockchain ma l'intento malvagio degli hacker di tutto il mondo.

L'hacking della blockchain è diventato un problema e minaccia l'ecosistema delle criptovalute. Gli hacker possono violare la sicurezza blockchain per rubare criptovaluta e risorse digitali. Questo è il motivo per cui le aziende stanno lavorando a modi innovativi per proteggere i propri sistemi dagli attacchi informatici. Open Zeppelin ha pubblicato un rapporto che riassume le dieci principali tecniche di hacking blockchain. 

In che modo gli hacker rappresentano una minaccia per la sicurezza della blockchain?

51% di attacchi

Questo attacco si verifica quando un hacker ottiene il controllo di almeno il 51% o più della potenza di calcolo su una rete blockchain. Ciò darà loro il potere di controllare l'algoritmo di consenso della rete e di essere in grado di manipolare le transazioni. Ciò si tradurrà in una doppia spesa, in cui l'hacker può ripetere la stessa transazione. Ad esempio, Binance è uno dei principali investitori in memecoin Dogecoin e stablecoin Zilliqa e può facilmente manipolare il mercato delle criptovalute. 

Rischi legati ai contratti intelligenti

I contratti intelligenti sono programmi autoeseguibili basati sulla tecnologia blockchain sottostante. Gli hacker possono hackerare il codice dei contratti intelligenti e manipolarli per rubare informazioni o fondi o risorse digitali. 

Sibilla Attacchi 

Un tale attacco si verifica quando un hacker ha creato più identità false o nodi su una rete blockchain. Ciò consente loro di ottenere il controllo su una parte importante della potenza di calcolo della rete. Possono manipolare le transazioni sulla rete per aiutare nel finanziamento del terrorismo o altre attività illecite. 

Attacchi malware

Gli hacker possono distribuire malware per ottenere l'accesso alle chiavi di crittografia o alle informazioni private di un utente, consentendo loro di rubare dai portafogli. Gli hacker possono indurre gli utenti a rivelare le loro chiavi private, che possono essere utilizzate per ottenere l'accesso non autorizzato alle loro risorse digitali. 

Quali sono le 10 migliori tecniche di hacking Blockchain di Open Zeppelin?

Retrospettiva del problema di integrazione del TUSD composto

Compound è un protocollo finanziario decentralizzato che aiuta gli utenti a guadagnare interessi sulle proprie risorse digitali prendendole in prestito e prestandole sulla blockchain di Ethereum. TrueUSD è una stablecoin ancorata all'USD. Uno dei principali problemi di integrazione con TUSD era legato alla trasferibilità degli asset. 

Per utilizzare TUSD su un Compound, doveva essere trasferibile tra indirizzi Ethereum. Tuttavia, è stato rilevato un bug nel contratto intelligente di TUSD e alcuni trasferimenti sono stati bloccati o ritardati. Ciò significava che i clienti non potevano prelevare o depositare TUSD dal Compound. Ciò ha portato a problemi di liquidità e gli utenti hanno perso opportunità di guadagnare interessi o prendere in prestito TUSD.

 6.2 L2 DAI consente di rubare problemi nelle valutazioni del codice

Alla fine di febbraio 2021, è stato scoperto un problema nella valutazione del codice degli smart contract StarkNet DAI Bridge, che avrebbe potuto consentire a qualsiasi utente malintenzionato di saccheggiare fondi dal sistema DAI Layer 2 o L2. Questo problema è stato riscontrato durante un audit di Certora, un'organizzazione di sicurezza blockchain.

Il problema nella valutazione del codice riguardava una funzione di deposito vulnerabile del contratto, che un hacker avrebbe potuto utilizzare per depositare monete DAI nel sistema L2 di DAI; senza effettivamente inviare le monete. Ciò potrebbe consentire a un hacker di coniare una quantità illimitata di monete DAI. Possono venderlo al mercato per guadagnare enormi profitti. Il sistema StarkNet ha perso oltre $ 200 milioni di monete bloccate al suo interno al momento della scoperta. 

Il problema è stato risolto dal team di StarkNet, che ha collaborato con Certora per implementare una nuova versione dello smart contract difettoso. La nuova versione è stata quindi verificata dalla società e ritenuta sicura. 

Rapporto sui rischi da 350 milioni di dollari di Avalanche

Questo rischio si riferisce a un attacco informatico avvenuto nel novembre 2021, che ha comportato la perdita di token per un valore di circa 350 milioni di dollari. Questo attacco ha preso di mira Poly Network, una piattaforma DeFi che consente agli utenti di scambiare criptovalute. L'attaccante ha sfruttato una vulnerabilità nel codice del contratto intelligente della piattaforma, consentendo all'hacker di controllare i portafogli digitali della piattaforma. 

Dopo aver scoperto l'attacco, Poly Network ha supplicato l'hacker di restituire i beni rubati, affermando che l'attacco aveva colpito la piattaforma e i suoi utenti. L'aggressore ha sorprendentemente accettato di restituire i beni rubati. Ha anche affermato che intendeva esporre le vulnerabilità piuttosto che trarne profitto. Gli attacchi evidenziano l'importanza dei controlli di sicurezza e dei test dei contratti intelligenti per identificare le vulnerabilità prima che possano essere sfruttate. 

Come rubare $ 100 milioni da contratti intelligenti impeccabili?

Il 29 giugno 2022, un nobile individuo ha protetto Moonbeam Network rivelando un difetto critico nella progettazione delle risorse digitali, che valevano 100 milioni di dollari. Ha ricevuto l'importo massimo di questo programma bug bounty da ImmuneF ($ 1 milione) e un bonus (50) da Moonwell. 

Moonriver e Moonbeam sono piattaforme compatibili con EVM. Ci sono alcuni contratti intelligenti precompilati tra di loro. Lo sviluppatore non ha preso in considerazione il vantaggio della "chiamata delegata" in EVM. Un hacker malintenzionato può passare il suo contratto precompilato per impersonare il chiamante. Lo smart contract non sarà in grado di determinare il chiamante effettivo. L'attaccante può trasferire immediatamente i fondi disponibili dal contratto. 

In che modo PWNING ha risparmiato 7K ETH e vinto una bug bounty da $ 6 milioni?

PWNING è un appassionato di hacking che si è recentemente unito alla terra delle criptovalute. Pochi mesi prima del 14 giugno 2022, ha segnalato un bug critico nell'Aurora Engine. Almeno 7K Eth rischiavano di essere rubati fino a quando non ha trovato la vulnerabilità e ha aiutato il team Aurora a risolvere il problema. Ha anche vinto una bug bounty di 6 milioni, la seconda più alta della storia. 

Funzioni fantasma e no-op da un miliardo di dollari

Questi sono due concetti relativi allo sviluppo e all'ingegneria del software. Le funzioni fantasma sono blocchi di codice presenti in un sistema software ma mai eseguiti. Il 10 gennaio, il team Dedaub ha rivelato la vulnerabilità al progetto Multi Chain, precedentemente AnySwap. Multichain ha fatto un annuncio pubblico incentrato sull'impatto sui suoi clienti. Questo annuncio è stato seguito da attacchi e da una flash bot war, che ha comportato una perdita dello 0.5% dei fondi.  

Reentrancy di sola lettura: una vulnerabilità responsabile di un rischio di $ 100 milioni di fondi

Questo attacco è un contratto dannoso che sarà in grado di richiamarsi ripetutamente e drenare fondi dal contratto preso di mira. 

I token come WETH potrebbero essere insolventi?

Il WETH è un contratto semplice e fondamentale nell'ecosistema Ethereum. Se si verifica il depegging, sia ETH che WETH perderanno valore.  

 Una vulnerabilità rivelata in Profanity

La volgarità è uno strumento di vanità di Ethereum che affronta la vanità. Ora, se l'indirizzo del portafoglio di un utente è stato generato da questo strumento, potrebbe non essere sicuro da utilizzare. Profanity ha utilizzato un vettore casuale a 32 bit per generare la chiave privata a 256 bit, che si sospetta non sia sicura.

 Attacco a Ethereum L2

È stato segnalato un problema di sicurezza critico, che potrebbe essere utilizzato da qualsiasi utente malintenzionato per replicare il denaro sulla catena.  

Nancy J. Allen è un'appassionata di criptovalute e crede che le criptovalute ispirino le persone a essere le proprie banche e ad allontanarsi dai tradizionali sistemi di scambio monetario. È anche affascinata dalla tecnologia blockchain e dal suo funzionamento.

Ultimi messaggi di Nancy J. Allen (vedi tutto)