ເທກນິກການແຮກ Blockchain 10 ອັນດັບສູງສຸດໂດຍ Open Zeppelin

– ເປີດ Zeppelin, ບໍລິສັດຄວາມປອດໄພທາງອິນເຕີເນັດທີ່ສະຫນອງເຄື່ອງມືສໍາລັບການພັດທະນາແລະຮັບປະກັນຄໍາຮ້ອງສະຫມັກທີ່ມີການກະຈາຍອໍານາດ (dApps).

- ບໍລິສັດໄດ້ເປີດເຜີຍວ່າໄພຂົ່ມຂູ່ທີ່ໃຫຍ່ທີ່ສຸດທີ່ເກີດຂື້ນກັບ dApps ບໍ່ແມ່ນເທກໂນໂລຍີ blockchain ແຕ່ຄວາມຕັ້ງໃຈທີ່ຊົ່ວຮ້າຍຈາກແຮກເກີທົ່ວໂລກ.

ການ hack Blockchain ໄດ້ກາຍເປັນບັນຫາແລະໄພຂົ່ມຂູ່ຕໍ່ລະບົບນິເວດ cryptocurrency. ແຮກເກີສາມາດລະເມີດຄວາມປອດໄພຂອງ blockchain ເພື່ອລັກ cryptocurrency ແລະຊັບສິນດິຈິຕອນ. ນີ້ແມ່ນເຫດຜົນທີ່ບໍລິສັດກໍາລັງເຮັດວຽກກ່ຽວກັບວິທີການສ້າງສັນໃຫມ່ເພື່ອຮັບປະກັນລະບົບຂອງພວກເຂົາຈາກການໂຈມຕີທາງອິນເຕີເນັດ. Open Zeppelin ໄດ້ປ່ອຍອອກມາເມື່ອບົດລາຍງານສະຫຼຸບສິບດ້ານເຕັກນິກການ hack blockchain. 

ແຮກເກີມີໄພຂົ່ມຂູ່ຕໍ່ຄວາມປອດໄພຂອງ Blockchain ແນວໃດ?

51% ການໂຈມຕີ

ການໂຈມຕີນີ້ເກີດຂຶ້ນເມື່ອແຮກເກີໄດ້ຮັບການຄວບຄຸມຢ່າງໜ້ອຍ 51% ຫຼືຫຼາຍກວ່ານັ້ນຂອງພະລັງງານຄອມພິວເຕີໃນເຄືອຂ່າຍ blockchain. ອັນນີ້ຈະເຮັດໃຫ້ພວກເຂົາມີອຳນາດໃນການຄວບຄຸມລະບົບການເປັນເອກະສັນກັນຂອງເຄືອຂ່າຍ ແລະ ສາມາດຈັດການທຸລະກຳໄດ້. ນີ້ຈະສົ່ງຜົນໃຫ້ມີການໃຊ້ຈ່າຍສອງເທົ່າ, ບ່ອນທີ່ແຮກເກີສາມາດເຮັດທຸລະກໍາດຽວກັນໄດ້. ຕົວຢ່າງ, Binance ເປັນນັກລົງທຶນທີ່ສໍາຄັນໃນ memecoin Dogecoin ແລະ stabilitycoin Zilliqa, ແລະສາມາດຈັດການຕະຫຼາດ crypto ໄດ້ຢ່າງງ່າຍດາຍ. 

ຄວາມສ່ຽງດ້ານສັນຍາສະຫມາດ

ສັນຍາສະຫມາດແມ່ນໂຄງການປະຕິບັດຕົນເອງທີ່ສ້າງຂຶ້ນໃນເຕັກໂນໂລຢີ blockchain ທີ່ຕິດພັນ. ແຮກເກີສາມາດ hack ເຂົ້າໄປໃນລະຫັດຂອງສັນຍາສະຫມາດແລະ manipulate ໃຫ້ເຂົາເຈົ້າລັກຂໍ້ມູນຫຼືກອງທຶນ, ຫຼືຊັບສິນດິຈິຕອນ. 

ການໂຈມຕີ Sybil 

ການໂຈມຕີດັ່ງກ່າວເກີດຂຶ້ນໃນເວລາທີ່ແຮກເກີໄດ້ສ້າງຕົວຕົນປອມຫຼາຍຫຼືຂໍ້ໃນເຄືອຂ່າຍ blockchain. ນີ້ອະນຸຍາດໃຫ້ພວກເຂົາໄດ້ຮັບການຄວບຄຸມໃນສ່ວນທີ່ສໍາຄັນຂອງພະລັງງານຄອມພິວເຕີຂອງເຄືອຂ່າຍ. ພວກເຂົາສາມາດຈັດການທຸລະກໍາໃນເຄືອຂ່າຍເພື່ອຊ່ວຍໃນການສະຫນອງທຶນຂອງຜູ້ກໍ່ການຮ້າຍຫຼືກິດຈະກໍາທີ່ຜິດກົດຫມາຍອື່ນໆ. 

ການໂຈມຕີ Malware

ແຮກເກີສາມາດນຳໃຊ້ malware ເພື່ອເຂົ້າເຖິງກະແຈການເຂົ້າລະຫັດຂອງຜູ້ໃຊ້ ຫຼືຂໍ້ມູນສ່ວນຕົວ, ອະນຸຍາດໃຫ້ພວກເຂົາລັກເອົາກະເປົາເງິນໄດ້. ແຮກເກີສາມາດຫຼອກລວງຜູ້ໃຊ້ໃຫ້ເປີດເຜີຍກະແຈສ່ວນຕົວຂອງເຂົາເຈົ້າ, ເຊິ່ງສາມາດໃຊ້ເພື່ອເຂົ້າເຖິງຊັບສິນດິຈິຕອນຂອງເຂົາເຈົ້າໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ. 

ເຕັກນິກການແຮັກ Blockchain ອັນດັບ 10 ໂດຍ Open Zeppelin ແມ່ນຫຍັງ?

ບັນຫາການລວມ TUSD ຮວມກັນຄືນຫຼັງ

Compound ແມ່ນໂປໂຕຄອນການເງິນທີ່ມີການແບ່ງຂັ້ນຄຸ້ມຄອງທີ່ຊ່ວຍໃຫ້ຜູ້ໃຊ້ໄດ້ຮັບຄວາມສົນໃຈໃນຊັບສິນດິຈິຕອນຂອງພວກເຂົາໂດຍການກູ້ຢືມແລະໃຫ້ກູ້ຢືມໃນ Ethereum blockchain. TrueUSD ແມ່ນເງິນທີ່ຄົງທີ່ທີ່ຕິດກັບ USD. ຫນຶ່ງໃນບັນຫາການເຊື່ອມໂຍງຕົ້ນຕໍກັບ TUSD ແມ່ນກ່ຽວຂ້ອງກັບການໂອນຊັບສິນ. 

ເພື່ອໃຊ້ TUSD ໃນສານປະສົມ, ມັນຕ້ອງສາມາດໂອນໄດ້ລະຫວ່າງທີ່ຢູ່ Ethereum. ຢ່າງໃດກໍຕາມ, ຂໍ້ຜິດພາດໄດ້ຖືກພົບເຫັນຢູ່ໃນສັນຍາສະຫມາດຂອງ TUSD, ແລະການໂອນຍ້າຍບາງຢ່າງຖືກບລັອກຫຼືຊັກຊ້າ. ນີ້ໝາຍຄວາມວ່າລູກຄ້າບໍ່ສາມາດຖອນ ຫຼືຝາກ TUSD ຈາກບໍລິສັດໄດ້. ດັ່ງນັ້ນຈຶ່ງເຮັດໃຫ້ເກີດບັນຫາສະພາບຄ່ອງ ແລະຜູ້ໃຊ້ສູນເສຍໂອກາດທີ່ຈະໄດ້ຮັບດອກເບ້ຍ ຫຼືກູ້ຢືມ TUSD.

 6.2 L2 DAI ອະນຸຍາດໃຫ້ບັນຫາການລັກຂະໂມຍໃນການປະເມີນລະຫັດ

ໃນຕອນທ້າຍຂອງເດືອນກຸມພາ 2021, ບັນຫາໄດ້ຖືກຄົ້ນພົບຢູ່ໃນການປະເມີນລະຫັດຂອງສັນຍາສະຫມາດ StarkNet DAI Bridge, ເຊິ່ງສາມາດເຮັດໃຫ້ຜູ້ໂຈມຕີສາມາດລັກເອົາເງິນຈາກລະບົບ Layer 2 ຫຼື L2 DAI. ບັນຫານີ້ໄດ້ຖືກພົບເຫັນໃນລະຫວ່າງການກວດສອບໂດຍ Certora, ອົງການຄວາມປອດໄພຂອງ blockchain.

ບັນຫາໃນການປະເມີນລະຫັດກ່ຽວຂ້ອງກັບການທໍາງານຂອງເງິນຝາກທີ່ມີຄວາມສ່ຽງຂອງສັນຍາ, ທີ່ແຮກເກີສາມາດໃຊ້ເພື່ອຝາກຫຼຽນ DAI ເຂົ້າໄປໃນລະບົບ L2 ຂອງ DAI; ໂດຍບໍ່ມີການສົ່ງເງິນຕົວຈິງ. ນີ້ສາມາດອະນຸຍາດໃຫ້ແຮກເກີສາມາດ mint ຈໍານວນບໍ່ຈໍາກັດຂອງຫຼຽນ DAI. ພວກເຂົາສາມາດຂາຍມັນອອກສູ່ຕະຫຼາດເພື່ອຫາກໍາໄລອັນໃຫຍ່ຫຼວງ. ລະບົບ StarkNet ໄດ້ສູນເສຍເງິນຫຼາຍກວ່າ $200 ລ້ານຫຼຽນທີ່ຖືກລັອກໄວ້ໃນມັນໃນເວລາຄົ້ນພົບ. 

ບັນຫາດັ່ງກ່າວໄດ້ຖືກແກ້ໄຂໂດຍທີມງານ StarkNet, ຜູ້ທີ່ຮ່ວມມືກັບ Certora ເພື່ອນໍາໃຊ້ສະບັບໃຫມ່ຂອງສັນຍາສະຫມາດທີ່ຜິດປົກກະຕິ. ສະບັບໃຫມ່ໄດ້ຖືກກວດສອບໂດຍບໍລິສັດແລະຖືວ່າປອດໄພ. 

ລາຍງານຄວາມສ່ຽງ $350 ລ້ານຂອງ Avalanche

ຄວາມສ່ຽງນີ້ຫມາຍເຖິງການໂຈມຕີທາງອິນເຕີເນັດທີ່ເກີດຂຶ້ນໃນເດືອນພະຈິກ 2021, ເຊິ່ງເຮັດໃຫ້ການສູນເສຍຂອງ tokens ເປັນມູນຄ່າປະມານ 350 ລ້ານໂດລາສະຫະລັດ. ການໂຈມຕີນີ້ໄດ້ແນເປົ້າໃສ່ Poly Network, ເປັນແພລະຕະຟອມ DeFi ທີ່ອະນຸຍາດໃຫ້ຜູ້ໃຊ້ສາມາດແລກປ່ຽນເງິນຕາ crypto. ຜູ້ໂຈມຕີໃຊ້ຊ່ອງໂຫວ່ໃນລະຫັດສັນຍາອັດສະລິຍະຂອງເວທີ, ອະນຸຍາດໃຫ້ແຮກເກີສາມາດຄວບຄຸມກະເປົາເງິນດິຈິຕອນຂອງເວທີ. 

ເມື່ອຄົ້ນພົບການໂຈມຕີ, Poly Network ໄດ້ອ້ອນວອນໃຫ້ແຮກເກີຄືນຊັບສິນທີ່ຖືກລັກ, ໂດຍກ່າວວ່າການໂຈມຕີໄດ້ສົ່ງຜົນກະທົບຕໍ່ເວທີແລະຜູ້ໃຊ້ຂອງມັນ. ຜູ້ໂຈມຕີຕົກຕະລຶງຕົກລົງທີ່ຈະສົ່ງຄືນຊັບສິນທີ່ຖືກລັກ. ລາວຍັງອ້າງວ່າລາວຕັ້ງໃຈເປີດເຜີຍຄວາມອ່ອນແອຫຼາຍກວ່າກໍາໄລຈາກພວກເຂົາ. ການໂຈມຕີໄດ້ຊີ້ໃຫ້ເຫັນເຖິງຄວາມສໍາຄັນຂອງການກວດສອບຄວາມປອດໄພແລະການທົດສອບສັນຍາສະຫມາດເພື່ອກໍານົດຈຸດອ່ອນກ່ອນທີ່ຈະສາມາດຖືກຂູດຮີດ. 

ວິທີການລັກເງິນ $ 100 ລ້ານຈາກສັນຍາສະຫມາດທີ່ບໍ່ມີຂໍ້ບົກພ່ອງ?

ໃນວັນທີ 29 ມິຖຸນາ 2022, ບຸກຄົນທີ່ສູງສົ່ງໄດ້ປົກປ້ອງ Moonbeam Network ໂດຍການເປີດເຜີຍຂໍ້ບົກພ່ອງອັນສໍາຄັນໃນການອອກແບບຊັບສິນດິຈິຕອນ, ເຊິ່ງມີມູນຄ່າ 100 ລ້ານໂດລາ. ລາວໄດ້ຮັບລາງວັນຈໍານວນສູງສຸດຂອງໂຄງການ bug bounty ນີ້ໂດຍ ImmuneF (1M) ແລະເງິນໂບນັດ (50K) ຈາກ Moonwell. 

Moonriver ແລະ Moonbeam ແມ່ນແພລະຕະຟອມທີ່ເຂົ້າກັນໄດ້ກັບ EVM. ມີບາງສັນຍາອັດສະລິຍະ precompiled ລະຫວ່າງເຂົາເຈົ້າ. ນັກພັດທະນາບໍ່ໄດ້ໃຊ້ປະໂຫຍດຈາກ 'ການໂທຫາຕົວແທນ' ໃນ EVM ພິຈາລະນາ. ແຮກເກີທີ່ເປັນອັນຕະລາຍສາມາດຜ່ານສັນຍາທີ່ລວບລວມໄວ້ກ່ອນເພື່ອປອມຕົວຜູ້ໂທຂອງຕົນ. ສັນຍາສະຫມາດຈະບໍ່ສາມາດກໍານົດຜູ້ໂທຕົວຈິງໄດ້. ຜູ້ໂຈມຕີສາມາດໂອນເງິນທີ່ມີຢູ່ທັນທີຈາກສັນຍາ. 

PWNING ຊ່ວຍປະຢັດ 7K ETH ໄດ້ແນວໃດ ແລະໄດ້ຮັບເງິນລາງວັນ $6 M

PWNING ເປັນຜູ້ທີ່ມີຄວາມກະຕືລືລົ້ນການແຮັກທີ່ບໍ່ດົນມານີ້ໄດ້ເຂົ້າຮ່ວມທີ່ດິນຂອງ crypto. ສອງສາມເດືອນກ່ອນວັນທີ 14 ມິຖຸນາ 2022, ລາວໄດ້ລາຍງານຂໍ້ບົກພ່ອງທີ່ສຳຄັນໃນເຄື່ອງຈັກ Aurora. ຢ່າງຫນ້ອຍ 7K Eth ມີຄວາມສ່ຽງຕໍ່ການຖືກລັກຈົນກ່ວາລາວພົບຊ່ອງໂຫວ່ແລະຊ່ວຍທີມງານ Aurora ແກ້ໄຂບັນຫາ. ລາວຍັງໄດ້ຮັບລາງວັນ bug 6 ລ້ານ, ເປັນອັນດັບສອງໃນປະຫວັດສາດ. 

ຟັງຊັນ Phantom ແລະພັນລ້ານໂດລ່າ no-op

ເຫຼົ່ານີ້ແມ່ນສອງແນວຄວາມຄິດທີ່ກ່ຽວຂ້ອງກັບການພັດທະນາຊອບແວແລະວິສະວະກໍາ. ຟັງຊັນ Phantom ແມ່ນບລັອກຂອງລະຫັດທີ່ມີຢູ່ໃນລະບົບຊອບແວແຕ່ບໍ່ເຄີຍຖືກປະຕິບັດ. ໃນວັນທີ 10 ມັງກອນ, ທີມງານ Dedaub ໄດ້ເປີດເຜີຍຄວາມສ່ຽງຕໍ່ໂຄງການ Multi Chain, ເຊິ່ງໃນອະດີດແມ່ນ AnySwap. Multichain ໄດ້ເຮັດການປະກາດສາທາລະນະທີ່ສຸມໃສ່ຜົນກະທົບຕໍ່ລູກຄ້າຂອງຕົນ. ການປະກາດນີ້ແມ່ນປະຕິບັດຕາມການໂຈມຕີແລະສົງຄາມ flash bot, ເຊິ່ງເຮັດໃຫ້ການສູນເສຍເງິນ 0.5%.  

Read-only Reentrancy- ຊ່ອງໂຫວ່ທີ່ຮັບຜິດຊອບຕໍ່ຄວາມສ່ຽງຂອງ $100M ໃນກອງທຶນ

ການໂຈມຕີນີ້ແມ່ນສັນຍາທີ່ເປັນອັນຕະລາຍທີ່ຈະສາມາດໂທຫາຕົວເອງຊ້ໍາຊ້ອນແລະລະບາຍເງິນຈາກສັນຍາເປົ້າຫມາຍ. 

ໂທເຄັນເຊັ່ນ WETH ສາມາດລົ້ມລະລາຍໄດ້ບໍ?

WETH ແມ່ນສັນຍາທີ່ງ່າຍດາຍແລະພື້ນຖານໃນລະບົບນິເວດ Ethereum. ຖ້າ depegging ເກີດຂຶ້ນ, ທັງ ETH ແລະ WETH ຈະສູນເສຍມູນຄ່າ.  

 ຊ່ອງໂຫວ່ທີ່ເປີດເຜີຍໃນພາສາຫຍາບຄາຍ

ພາສາຫຍາບຄາຍແມ່ນ Ethereum vanity ແກ້ໄຂເຄື່ອງມື vanity. ຕອນນີ້ຖ້າທີ່ຢູ່ wallet ຂອງຜູ້ໃຊ້ຖືກສ້າງຂື້ນໂດຍເຄື່ອງມືນີ້, ມັນອາດຈະບໍ່ປອດໄພສໍາລັບພວກເຂົາທີ່ຈະໃຊ້. ການໃຊ້ພາສາຫຍາບຄາຍໃຊ້ vector 32-bit ແບບສຸ່ມເພື່ອສ້າງລະຫັດສ່ວນຕົວ 256-bit, ເຊິ່ງສົງໃສວ່າບໍ່ປອດໄພ.

 ການໂຈມຕີໃນ Ethereum L2

ບັນຫາຄວາມປອດໄພທີ່ສໍາຄັນໄດ້ຖືກລາຍງານ, ເຊິ່ງສາມາດຖືກນໍາໃຊ້ໂດຍຜູ້ໂຈມຕີໃດໆເພື່ອເຮັດຊ້ໍາເງິນຢູ່ໃນລະບົບຕ່ອງໂສ້.  

Nancy J. Allen ເປັນຜູ້ກະຕືລືລົ້ນ crypto ແລະເຊື່ອວ່າ cryptocurrencies ດົນໃຈໃຫ້ປະຊາຊົນເປັນທະນາຄານຂອງຕົນເອງແລະກ້າວຫລີກໄປທາງຫນຶ່ງຈາກລະບົບການແລກປ່ຽນເງິນຕາແບບດັ້ງເດີມ. ນາງຍັງ intrigued ໂດຍເຕັກໂນໂລຊີ blockchain ແລະການເຮັດວຽກຂອງມັນ.

ຂໍ້ຄວາມຫຼ້າສຸດໂດຍ Nancy J. Allen (ເບິ່ງທັງ ໝົດ)