As 10 principais técnicas de hacking Blockchain da Open Zeppelin

– Open Zeppelin, uma empresa de segurança cibernética que fornece ferramentas para desenvolver e proteger aplicativos descentralizados (dApps).

– A empresa revelou que a maior ameaça aos dApps não é a tecnologia blockchain, mas as más intenções de hackers em todo o mundo.

A invasão de blockchain se tornou um problema e ameaça o ecossistema de criptomoedas. Os hackers podem violar a segurança do blockchain para roubar criptomoedas e ativos digitais. É por isso que as empresas estão trabalhando em formas inovadoras de proteger seus sistemas contra ataques cibernéticos. O Open Zeppelin divulgou um relatório resumindo as dez principais técnicas de hacking de blockchain. 

Como os hackers representam ameaças à segurança do Blockchain?

51% de ataques

Esse ataque ocorre quando um hacker obtém o controle de pelo menos 51% ou mais do poder de computação em uma rede blockchain. Isso lhes dará o poder de controlar o algoritmo de consenso da rede e manipular transações. Isso resultará em gasto duplo, onde o hacker pode repetir a mesma transação. Por exemplo, a Binance é uma grande investidora na memecoin Dogecoin e na stablecoin Zilliqa, e pode facilmente manipular o mercado de criptomoedas. 

Riscos de contrato inteligentes

Contratos inteligentes são programas autoexecutáveis ​​construídos com base na tecnologia blockchain subjacente. Os hackers podem invadir o código de contratos inteligentes e manipulá-los para roubar informações, fundos ou ativos digitais. 

Ataques Sybil 

Esse ataque ocorre quando um hacker cria várias identidades ou nós falsos em uma rede blockchain. Isso permite que eles obtenham controle sobre a maior parte do poder de computação da rede. Eles podem manipular transações na rede para ajudar no financiamento do terrorismo ou outras atividades ilícitas. 

Ataques de malware

Os hackers podem implantar malware para obter acesso às chaves de criptografia ou informações privadas de um usuário, permitindo que eles roubem carteiras. Os hackers podem induzir os usuários a revelar suas chaves privadas, que podem ser usadas para obter acesso não autorizado a seus ativos digitais. 

Quais são as 10 principais técnicas de hacking de blockchain da Open Zeppelin?

Retrospectiva do problema de integração do TUSD composto

Compound é um protocolo financeiro descentralizado que ajuda os usuários a ganhar juros sobre seus ativos digitais, tomando emprestado e emprestando-os na blockchain Ethereum. TrueUSD é uma stablecoin atrelada ao USD. Um dos principais problemas de integração com a TUSD estava relacionado à transferibilidade de ativos. 

Para usar TUSD em um Compound, ele deveria ser transferível entre endereços Ethereum. No entanto, um bug foi encontrado no contrato inteligente da TUSD e algumas transferências foram bloqueadas ou atrasadas. Isso significava que os clientes não podiam retirar ou depositar TUSD do Compound. Levando assim a problemas de liquidez e os usuários perderam oportunidades de ganhar juros ou emprestar TUSD.

 6.2 L2 DAI permite roubar problemas em avaliações de código

No final de fevereiro de 2021, foi descoberto um problema na avaliação do código dos contratos inteligentes StarkNet DAI Bridge, que poderia permitir que qualquer invasor saqueasse fundos do sistema Layer 2 ou L2 DAI. Esse problema foi encontrado durante uma auditoria da Certora, uma organização de segurança blockchain.

O problema na avaliação do código envolveu uma função de depósito vulnerável do contrato, que um hacker poderia ter usado para depositar moedas DAI no sistema L2 da DAI; sem realmente enviar as moedas. Isso pode permitir que um hacker crie uma quantidade ilimitada de moedas DAI. Eles podem vendê-lo ao mercado para obter lucros enormes. O sistema StarkNet perdeu mais de $ 200 milhões em moedas bloqueadas no momento da descoberta. 

O problema foi resolvido pela equipe da StarkNet, que se uniu à Certora para implantar uma nova versão do contrato inteligente defeituoso. A nova versão foi então auditada pela empresa e considerada segura. 

Relatório de risco de US$ 350 milhões da Avalanche

Esse risco refere-se a um ataque cibernético ocorrido em novembro de 2021, que resultou na perda de cerca de US$ 350 milhões em tokens. Este ataque teve como alvo a Poly Network, uma plataforma DeFi que permite aos usuários trocar criptomoedas. O invasor explorou uma vulnerabilidade no código de contrato inteligente da plataforma, permitindo que o hacker controlasse as carteiras digitais da plataforma. 

Ao descobrir o ataque, a Poly Network implorou ao hacker que devolvesse os bens roubados, afirmando que o ataque havia afetado a plataforma e seus usuários. O invasor surpreendentemente concordou em devolver os bens roubados. Ele também afirmou que pretendia expor as vulnerabilidades em vez de lucrar com elas. Os ataques destacam a importância de auditorias de segurança e testes de contratos inteligentes para identificar vulnerabilidades antes que possam ser exploradas. 

Como roubar US$ 100 milhões de contratos inteligentes sem falhas?

Em 29 de junho de 2022, um nobre indivíduo protegeu a Moonbeam Network, revelando uma falha crítica no design de ativos digitais, que valiam US$ 100 milhões. Ele recebeu o valor máximo deste programa de recompensas por bugs da ImmuneF ($ 1 milhão) e um bônus (50 mil) de Moonwell. 

Moonriver e Moonbeam são plataformas compatíveis com EVM. Existem alguns contratos inteligentes pré-compilados entre eles. O desenvolvedor não levou em consideração a 'chamada de delegado' no EVM. Um hacker mal-intencionado pode passar seu contrato pré-compilado para representar seu chamador. O contrato inteligente não será capaz de determinar o chamador real. O invasor pode transferir os fundos disponíveis imediatamente do contrato. 

Como PWNING economizou 7K ETH e ganhou uma recompensa de bug de $ 6 milhões

PWNING é um entusiasta de hackers que recentemente ingressou na terra da criptografia. Alguns meses antes de 14 de junho de 2022, ele relatou um bug crítico no Aurora Engine. Pelo menos 7K Eth corriam o risco de serem roubados até que ele encontrasse a vulnerabilidade e ajudasse a equipe do Aurora a corrigir o problema. Ele também ganhou uma recompensa por bug de 6 milhões, a segunda maior da história. 

Funções fantasmas e operação sem operação de bilhões de dólares

Esses são dois conceitos relacionados ao desenvolvimento e engenharia de software. As funções fantasmas são blocos de código presentes em um sistema de software, mas nunca executados. Em 10 de janeiro, a equipe da Dedaub divulgou a vulnerabilidade do projeto Multi Chain, anteriormente AnySwap. A Multichain fez um anúncio público focado no impacto em seus clientes. Este anúncio foi seguido por ataques e uma guerra de flash bots, resultando em uma perda de 0.5% dos fundos.  

Read-only Reentrância- Uma vulnerabilidade responsável por um risco de US$ 100 milhões em fundos

Esse ataque é um contrato malicioso que poderá chamar a si mesmo repetidamente e drenar fundos do contrato visado. 

Os tokens como WETH poderiam ser insolventes?

O WETH é um contrato simples e fundamental no ecossistema Ethereum. Se ocorrer depegging, tanto ETH quanto WETH perderão valor.  

 Uma vulnerabilidade divulgada em Profanity

Profanity é uma ferramenta de endereçamento de vaidade da Ethereum. Agora, se o endereço da carteira de um usuário foi gerado por esta ferramenta, pode ser inseguro para eles usarem. O Profanity usou um vetor aleatório de 32 bits para gerar a chave privada de 256 bits, que é suspeita de ser insegura.

 Atacando no Ethereum L2

Foi relatado um problema crítico de segurança, que pode ser usado por qualquer invasor para replicar dinheiro na cadeia.  

Nancy J. Allen é uma entusiasta de criptomoedas e acredita que as criptomoedas inspiram as pessoas a serem seus próprios bancos e se afastarem dos sistemas tradicionais de câmbio monetário. Ela também está intrigada com a tecnologia blockchain e seu funcionamento.

Últimos posts de Nancy J. Allen (ver tudo)