เทคนิคการแฮ็ค Blockchain 10 อันดับแรกโดย Open Zeppelin

– Open Zeppelin บริษัทด้านความปลอดภัยทางไซเบอร์ที่ให้บริการเครื่องมือสำหรับการพัฒนาและรักษาความปลอดภัยแอปพลิเคชันแบบกระจายอำนาจ (dApps)

– บริษัทเปิดเผยว่าภัยคุกคามที่ใหญ่ที่สุดที่เกิดกับ dApps ไม่ใช่เทคโนโลยีบล็อกเชน แต่เป็นเจตนาชั่วร้ายจากแฮกเกอร์ทั่วโลก

การแฮ็ค Blockchain กลายเป็นปัญหาและคุกคามระบบนิเวศของสกุลเงินดิจิตอล แฮ็กเกอร์สามารถเจาะระบบรักษาความปลอดภัยของบล็อกเชนเพื่อขโมยสกุลเงินดิจิทัลและสินทรัพย์ดิจิทัลได้ นี่คือเหตุผลที่บริษัทต่างๆ กำลังหาวิธีใหม่ๆ ในการรักษาความปลอดภัยระบบของตนจากการโจมตีทางไซเบอร์ Open Zeppelin ได้เผยแพร่รายงานสรุปเทคนิคการแฮ็กบล็อกเชนสิบอันดับแรก 

แฮ็กเกอร์ก่อให้เกิดภัยคุกคามต่อความปลอดภัยของ Blockchain ได้อย่างไร

การโจมตี 51%

การโจมตีนี้เกิดขึ้นเมื่อแฮ็กเกอร์ควบคุมพลังการประมวลผลอย่างน้อย 51% หรือมากกว่าบนเครือข่ายบล็อกเชน สิ่งนี้จะทำให้พวกเขามีอำนาจในการควบคุมอัลกอริทึมที่สอดคล้องกันของเครือข่ายและสามารถจัดการธุรกรรมได้ ซึ่งจะส่งผลให้เกิดการใช้จ่ายซ้ำซ้อน โดยแฮ็กเกอร์สามารถทำธุรกรรมเดิมซ้ำได้ ตัวอย่างเช่น Binance เป็นนักลงทุนรายใหญ่ใน Dogecoin Dogecoin และ Stablecoin Zilliqa รายใหญ่ และสามารถจัดการกับตลาด crypto ได้อย่างง่ายดาย 

ความเสี่ยงจากสัญญาอัจฉริยะ

สัญญาอัจฉริยะเป็นโปรแกรมที่ดำเนินการได้เองซึ่งสร้างขึ้นจากเทคโนโลยีบล็อกเชนพื้นฐาน แฮ็กเกอร์สามารถเจาะรหัสของสัญญาอัจฉริยะและจัดการเพื่อขโมยข้อมูลหรือเงินทุนหรือสินทรัพย์ดิจิทัล 

การโจมตีซีบิล 

การโจมตีดังกล่าวเกิดขึ้นเมื่อแฮ็กเกอร์สร้างตัวตนปลอมหรือโหนดหลายรายการบนเครือข่ายบล็อกเชน สิ่งนี้ทำให้พวกเขาสามารถควบคุมพลังการประมวลผลส่วนใหญ่ของเครือข่ายได้ พวกเขาสามารถจัดการการทำธุรกรรมบนเครือข่ายเพื่อช่วยในการจัดหาเงินทุนของผู้ก่อการร้ายหรือกิจกรรมที่ผิดกฎหมายอื่นๆ 

การโจมตีด้วยมัลแวร์

แฮ็กเกอร์สามารถใช้มัลแวร์เพื่อเข้าถึงคีย์การเข้ารหัสของผู้ใช้หรือข้อมูลส่วนตัว ทำให้พวกเขาสามารถขโมยจากกระเป๋าเงินได้ แฮ็กเกอร์สามารถหลอกลวงผู้ใช้ให้เปิดเผยคีย์ส่วนตัว ซึ่งสามารถใช้เพื่อเข้าถึงสินทรัพย์ดิจิทัลของตนโดยไม่ได้รับอนุญาต 

เทคนิคการแฮ็ค Blockchain 10 อันดับแรกโดย Open Zeppelin คืออะไร

ปัญหาการรวม TUSD ย้อนหลัง

Compound เป็นโปรโตคอลทางการเงินแบบกระจายศูนย์ที่ช่วยให้ผู้ใช้ได้รับดอกเบี้ยจากสินทรัพย์ดิจิทัลโดยการยืมและให้ยืมบน Ethereum blockchain TrueUSD เป็น Stablecoin ที่ตรึงกับ USD ปัญหาหลักประการหนึ่งของการผสานรวมกับ TUSD เกี่ยวข้องกับความสามารถในการโอนสินทรัพย์ 

หากต้องการใช้ TUSD บน Compound จะต้องสามารถถ่ายโอนระหว่างที่อยู่ Ethereum ได้ อย่างไรก็ตาม พบข้อผิดพลาดในสัญญาอัจฉริยะของ TUSD และการโอนบางอย่างถูกบล็อกหรือล่าช้า ซึ่งหมายความว่าลูกค้าไม่สามารถถอนหรือฝาก TUSD จากสารประกอบได้ จึงนำไปสู่ปัญหาสภาพคล่องและผู้ใช้เสียโอกาสในการได้รับดอกเบี้ยหรือยืม TUSD

 6.2 L2 DAI อนุญาตให้ขโมยปัญหาในการประเมินรหัส

ณ สิ้นเดือนกุมภาพันธ์ 2021 พบปัญหาในการประเมินโค้ดของสัญญาอัจฉริยะ StarkNet DAI Bridge ซึ่งอาจทำให้ผู้โจมตีสามารถปล้นเงินจากระบบ Layer 2 หรือ L2 DAI ได้ พบปัญหานี้ระหว่างการตรวจสอบโดย Certora ซึ่งเป็นองค์กรด้านความปลอดภัยของบล็อกเชน

ปัญหาในการประเมินโค้ดเกี่ยวข้องกับฟังก์ชันการฝากเงินที่มีช่องโหว่ของสัญญา ซึ่งแฮ็กเกอร์อาจใช้เพื่อฝากเหรียญ DAI เข้าในระบบ L2 ของ DAI โดยไม่ได้ส่งเหรียญให้จริง ซึ่งอาจทำให้แฮ็กเกอร์สร้างเหรียญ DAI ได้ไม่จำกัดจำนวน พวกเขาสามารถขายออกสู่ตลาดเพื่อรับผลกำไรมหาศาล ระบบ StarkNet ได้สูญเสียเหรียญมูลค่ากว่า 200 ล้านดอลลาร์ที่ถูกล็อคไว้ ณ เวลาที่ค้นพบ 

ปัญหานี้ได้รับการแก้ไขโดยทีมงาน StarkNet ซึ่งร่วมมือกับ Certora เพื่อปรับใช้เวอร์ชันใหม่ของสัญญาอัจฉริยะที่มีข้อบกพร่อง เวอร์ชันใหม่ได้รับการตรวจสอบโดยบริษัทแล้วและถือว่าปลอดภัย 

รายงานความเสี่ยง $350 ล้านของ Avalanche

ความเสี่ยงนี้หมายถึงการโจมตีทางไซเบอร์ที่เกิดขึ้นในเดือนพฤศจิกายน 2021 ซึ่งส่งผลให้สูญเสียโทเค็นมูลค่าประมาณ 350 ล้านดอลลาร์ การโจมตีนี้มีเป้าหมายที่ Poly Network ซึ่งเป็นแพลตฟอร์ม DeFi ที่ช่วยให้ผู้ใช้สามารถแลกเปลี่ยนสกุลเงินดิจิทัลได้ ผู้โจมตีใช้ช่องโหว่ในรหัสสัญญาอัจฉริยะของแพลตฟอร์ม ทำให้แฮ็กเกอร์สามารถควบคุมกระเป๋าเงินดิจิทัลของแพลตฟอร์มได้ 

เมื่อพบการโจมตี Poly Network ได้ขอร้องให้แฮ็กเกอร์ส่งคืนทรัพย์สินที่ถูกขโมย โดยระบุว่าการโจมตีส่งผลกระทบต่อแพลตฟอร์มและผู้ใช้ ผู้โจมตีตกลงที่จะคืนทรัพย์สินที่ถูกขโมยไปอย่างน่าประหลาดใจ นอกจากนี้เขายังอ้างว่าเขาตั้งใจที่จะเปิดเผยช่องโหว่มากกว่าแสวงหาผลกำไรจากช่องโหว่เหล่านั้น การโจมตีเน้นย้ำถึงความสำคัญของการตรวจสอบความปลอดภัยและการทดสอบสัญญาอัจฉริยะเพื่อระบุช่องโหว่ก่อนที่จะถูกโจมตี 

จะขโมยเงิน 100 ล้านดอลลาร์จากสัญญาอัจฉริยะได้อย่างไร้ที่ติ

เมื่อวันที่ 29 มิถุนายน พ.ศ. 2022 บุคคลผู้สูงศักดิ์ได้ปกป้อง Moonbeam Network โดยเปิดเผยข้อบกพร่องที่สำคัญในการออกแบบสินทรัพย์ดิจิทัลซึ่งมีมูลค่า 100 ล้านดอลลาร์ เขาได้รับรางวัลจำนวนสูงสุดของโปรแกรมรางวัลข้อบกพร่องนี้โดย ImmuneF ($ 1M) และโบนัส (50K) จาก Moonwell 

Moonriver และ Moonbeam เป็นแพลตฟอร์มที่รองรับ EVM มีสัญญาอัจฉริยะที่คอมไพล์ไว้ล่วงหน้าระหว่างพวกเขา นักพัฒนาไม่ได้ใช้ประโยชน์จาก 'การโทรผู้รับมอบสิทธิ์' ใน EVM ในการพิจารณา แฮ็กเกอร์ที่เป็นอันตรายสามารถส่งสัญญาที่คอมไพล์แล้วเพื่อปลอมตัวเป็นผู้โทร สัญญาอัจฉริยะจะไม่สามารถระบุผู้โทรที่แท้จริงได้ ผู้โจมตีสามารถโอนเงินที่มีอยู่ได้ทันทีจากสัญญา 

PWNING ช่วย 7K ETH และรับรางวัลข้อผิดพลาด $6 M ได้อย่างไร

PWNING เป็นผู้คลั่งไคล้การแฮ็คที่เพิ่งเข้าร่วมดินแดนแห่งการเข้ารหัสลับ ไม่กี่เดือนก่อนวันที่ 14 มิถุนายน 2022 เขารายงานข้อผิดพลาดร้ายแรงใน Aurora Engine อย่างน้อย 7K Eth มีความเสี่ยงที่จะถูกขโมยจนกว่าเขาจะพบช่องโหว่และช่วยทีม Aurora แก้ไขปัญหา นอกจากนี้เขายังได้รับรางวัลข้อผิดพลาดถึง 6 ล้าน ซึ่งสูงเป็นอันดับสองในประวัติศาสตร์ 

Phantom Functions และเงินพันล้านดอลลาร์

นี่คือสองแนวคิดที่เกี่ยวข้องกับการพัฒนาซอฟต์แวร์และวิศวกรรม ฟังก์ชั่น Phantom เป็นบล็อกของรหัสที่มีอยู่ในระบบซอฟต์แวร์ แต่ไม่เคยดำเนินการ เมื่อวันที่ 10 มกราคม ทีมงาน Dedaub ได้เปิดเผยช่องโหว่ของโครงการ Multi Chain ซึ่งเดิมคือ AnySwap Multichain ได้ประกาศต่อสาธารณะโดยมุ่งเน้นไปที่ผลกระทบต่อลูกค้า การประกาศนี้ตามมาด้วยการโจมตีและสงครามบอทแฟลช ทำให้สูญเสียเงิน 0.5%  

Read-only Reentrancy- ช่องโหว่ที่รับผิดชอบต่อความเสี่ยง $100M ในกองทุน

การโจมตีนี้เป็นสัญญาที่เป็นอันตรายซึ่งจะสามารถเรียกตัวเองซ้ำๆ และระบายเงินทุนออกจากสัญญาที่เป็นเป้าหมาย 

โทเค็นอย่าง WETH อาจล้มละลายได้หรือไม่?

WETH เป็นสัญญาที่เรียบง่ายและเป็นพื้นฐานในระบบนิเวศ Ethereum หากมีการถอดรหัสเกิดขึ้น ทั้ง ETH และ WETH จะสูญเสียมูลค่า  

 ช่องโหว่ที่เปิดเผยใน Profanity

คำหยาบคายเป็นเครื่องมือที่ไร้เดียงสาของ Ethereum ที่กล่าวถึงความไร้เดียงสา ตอนนี้หากเครื่องมือนี้สร้างที่อยู่กระเป๋าสตางค์ของผู้ใช้ อาจไม่ปลอดภัยสำหรับผู้ใช้ ความหยาบคายใช้เวกเตอร์ 32 บิตแบบสุ่มเพื่อสร้างคีย์ส่วนตัว 256 บิต ซึ่งสงสัยว่าจะไม่ปลอดภัย

 โจมตี Ethereum L2

มีรายงานปัญหาด้านความปลอดภัยที่สำคัญ ซึ่งผู้โจมตีสามารถใช้เพื่อจำลองเงินในเครือข่ายได้  

Nancy J. Allen เป็นคนที่กระตือรือร้นในการเข้ารหัสและเชื่อว่า cryptocurrencies เป็นแรงบันดาลใจให้ผู้คนเป็นธนาคารของตัวเองและก้าวออกจากระบบแลกเปลี่ยนเงินตราแบบดั้งเดิม เธอยังรู้สึกทึ่งกับเทคโนโลยีบล็อคเชนและการทำงานของมัน

กระทู้ล่าสุด โดย Nancy J. Allen (ดูทั้งหมด)