Die 10 besten Blockchain-Hacking-Techniken von Open Zeppelin

– Open Zeppelin, ein Cybersicherheitsunternehmen, das Tools für die Entwicklung und Sicherung dezentraler Anwendungen (dApps) bereitstellt.

– Das Unternehmen enthüllte, dass die größte Bedrohung für dApps nicht die Blockchain-Technologie ist, sondern die böse Absicht von Hackern weltweit.

Blockchain-Hacking ist zu einem Problem geworden und bedroht das Kryptowährungs-Ökosystem. Hacker können die Blockchain-Sicherheit verletzen, um Kryptowährung und digitale Assets zu stehlen. Deshalb arbeiten Unternehmen an innovativen Möglichkeiten, ihre Systeme vor Cyberangriffen zu schützen. Open Zeppelin hat einen Bericht veröffentlicht, der die zehn besten Blockchain-Hacking-Techniken zusammenfasst. 

Wie bedrohen Hacker die Blockchain-Sicherheit?

51% Angriffe

Dieser Angriff tritt auf, wenn ein Hacker die Kontrolle über mindestens 51 % oder mehr der Rechenleistung eines Blockchain-Netzwerks erlangt. Dies gibt ihnen die Möglichkeit, den Konsensalgorithmus des Netzwerks zu kontrollieren und Transaktionen zu manipulieren. Dies führt zu doppelten Ausgaben, bei denen der Hacker dieselbe Transaktion wiederholen kann. Beispielsweise ist Binance ein wichtiger Investor in Memecoin Dogecoin und Stablecoin Zilliqa und kann den Kryptomarkt leicht manipulieren. 

Intelligente Vertragsrisiken

Smart Contracts sind selbstausführende Programme, die auf der zugrunde liegenden Blockchain-Technologie aufbauen. Hacker können sich in den Code von Smart Contracts hacken und sie manipulieren, um Informationen oder Gelder oder digitale Vermögenswerte zu stehlen. 

Sybil-Angriffe 

Ein solcher Angriff tritt auf, wenn ein Hacker mehrere gefälschte Identitäten oder Knoten in einem Blockchain-Netzwerk erstellt hat. Dadurch können sie einen Großteil der Rechenleistung des Netzwerks kontrollieren. Sie können Transaktionen im Netzwerk manipulieren, um bei der Terrorismusfinanzierung oder anderen illegalen Aktivitäten zu helfen. 

Malware-Angriffe

Hacker können Malware einsetzen, um Zugriff auf die Verschlüsselungsschlüssel oder privaten Informationen eines Benutzers zu erhalten, wodurch sie aus Brieftaschen stehlen können. Hacker können Benutzer dazu verleiten, ihre privaten Schlüssel preiszugeben, die verwendet werden können, um unbefugten Zugriff auf ihre digitalen Assets zu erhalten. 

Was sind die 10 besten Blockchain-Hacking-Techniken von Open Zeppelin?

Zusammengesetztes TUSD-Integrationsproblem Retrospektive

Compound ist ein dezentralisiertes Finanzprotokoll, das Benutzern hilft, Zinsen für ihre digitalen Assets zu verdienen, indem sie sie auf der Ethereum-Blockchain ausleihen und verleihen. TrueUSD ist ein Stablecoin, der an den USD gekoppelt ist. Eines der Hauptprobleme bei der Integration mit TUSD betraf die Übertragbarkeit von Vermögenswerten. 

Um TUSD auf einem Compound zu verwenden, musste es zwischen Ethereum-Adressen übertragbar sein. Im Smart Contract von TUSD wurde jedoch ein Fehler gefunden, und einige Überweisungen wurden blockiert oder verzögert. Dies bedeutete, dass die Kunden TUSD nicht vom Compound abheben oder einzahlen konnten. Dies führte zu Liquiditätsproblemen und Benutzer verpassten Möglichkeiten, Zinsen zu verdienen oder TUSD zu leihen.

 6.2 L2 DAI ermöglicht das Stehlen von Problemen bei Codebewertungen

Ende Februar 2021 wurde ein Problem in der Codebewertung der Smart Contracts der StarkNet DAI Bridge entdeckt, das es jedem Angreifer hätte ermöglichen können, Gelder aus dem Layer-2- oder L2-DAI-System zu plündern. Dieses Problem wurde während eines Audits von Certora, einer Blockchain-Sicherheitsorganisation, festgestellt.

Das Problem bei der Codebewertung betraf eine anfällige Einzahlungsfunktion des Vertrags, die ein Hacker hätte verwenden können, um DAI-Münzen in das L2-System von DAI einzuzahlen; ohne die Münzen tatsächlich zu senden. Dies könnte es einem Hacker ermöglichen, eine unbegrenzte Menge an DAI-Münzen zu prägen. Sie können es auf dem Markt verkaufen, um riesige Gewinne zu erzielen. Das StarkNet-System hat zum Zeitpunkt der Entdeckung Münzen im Wert von über 200 Millionen Dollar verloren. 

Das Problem wurde vom StarkNet-Team gelöst, das sich mit Certora zusammengetan hat, um eine neue Version des defekten Smart Contract bereitzustellen. Die neue Version wurde dann vom Unternehmen geprüft und als sicher eingestuft. 

Der 350-Millionen-Dollar-Risikobericht von Avalanche

Dieses Risiko bezieht sich auf einen Cyberangriff im November 2021, der zum Verlust von Token im Wert von rund 350 Millionen US-Dollar führte. Dieser Angriff zielte auf das Poly Network ab, eine DeFi-Plattform, die es Benutzern ermöglicht, Kryptowährungen auszutauschen. Der Angreifer nutzte eine Schwachstelle im Smart-Contract-Code der Plattform aus, wodurch der Hacker die digitalen Wallets der Plattform kontrollieren konnte. 

Als Poly Network den Angriff entdeckte, bat es den Hacker, die gestohlenen Vermögenswerte zurückzugeben, und erklärte, dass der Angriff die Plattform und ihre Benutzer beeinträchtigt habe. Der Angreifer erklärte sich überraschend bereit, die gestohlenen Vermögenswerte zurückzugeben. Er behauptete auch, dass er beabsichtigte, die Schwachstellen aufzudecken, anstatt von ihnen zu profitieren. Die Angriffe unterstreichen die Bedeutung von Sicherheitsaudits und Tests von Smart Contracts, um Schwachstellen zu identifizieren, bevor sie ausgenutzt werden können. 

Wie kann man 100 Millionen Dollar aus fehlerlosen Smart Contracts stehlen?

Am 29. Juni 2022 schützte eine edle Einzelperson Moonbeam Network, indem sie einen kritischen Fehler im Design von digitalen Assets im Wert von 100 Millionen US-Dollar offenlegte. Er erhielt den Höchstbetrag dieses Bug-Bounty-Programms von ImmuneF (1 Mio. USD) und einen Bonus (50) von Moonwell. 

Moonriver und Moonbeam sind EVM-kompatible Plattformen. Es gibt einige vorkompilierte Smart Contracts zwischen ihnen. Der Entwickler hat den Vorteil des „Delegiertenrufs“ in EVM nicht berücksichtigt. Ein böswilliger Hacker kann seinen vorkompilierten Vertrag weitergeben, um sich als Anrufer auszugeben. Der Smart Contract kann den tatsächlichen Anrufer nicht ermitteln. Der Angreifer kann das verfügbare Guthaben sofort aus dem Vertrag überweisen. 

Wie hat PWNING 7 ETH gespart und eine Bug-Prämie von 6 Millionen Dollar gewonnen?

PWNING ist ein Hacking-Enthusiast, der sich kürzlich dem Land der Kryptographie angeschlossen hat. Einige Monate vor dem 14. Juni 2022 meldete er einen kritischen Fehler in der Aurora Engine. Mindestens 7 Eth liefen Gefahr, gestohlen zu werden, bis er die Schwachstelle fand und dem Aurora-Team half, das Problem zu beheben. Er gewann auch eine Bug-Prämie von 6 Millionen, die zweithöchste in der Geschichte. 

Phantomfunktionen und Milliarden-Dollar-No-Op

Dies sind zwei Konzepte, die sich auf die Softwareentwicklung und das Engineering beziehen. Phantomfunktionen sind Codeblöcke, die in einem Softwaresystem vorhanden sind, aber nie ausgeführt werden. Am 10. Januar offenbarte das Dedaub-Team eine Schwachstelle für das Multi Chain-Projekt, ehemals AnySwap. Multichain hat eine öffentliche Ankündigung gemacht, die sich auf die Auswirkungen auf seine Kunden konzentriert. Dieser Ankündigung folgten Angriffe und ein Flash-Bot-Krieg, was zu einem Verlust von 0.5 % der Mittel führte.  

Read-only Reentrancy – Eine Schwachstelle, die für ein Risiko von 100 Millionen US-Dollar an Geldern verantwortlich ist

Bei diesem Angriff handelt es sich um einen böswilligen Vertrag, der sich selbst wiederholt aufrufen und Gelder aus dem Zielvertrag abziehen kann. 

Könnten Token wie WETH insolvent sein?

Der WETH ist ein einfacher und grundlegender Vertrag im Ethereum-Ökosystem. Wenn ein Depegging stattfindet, verlieren sowohl ETH als auch WETH an Wert.  

 Eine in Profanity offenbarte Schwachstelle

Profanity ist ein Ethereum-Tool zur Adressierung von Vanity. Wenn nun die Wallet-Adresse eines Benutzers von diesem Tool generiert wurde, ist die Verwendung für ihn möglicherweise unsicher. Profanity verwendete einen zufälligen 32-Bit-Vektor, um den 256-Bit-Privatschlüssel zu generieren, der im Verdacht steht, unsicher zu sein.

 Angriff auf Ethereum L2

Es wurde ein kritisches Sicherheitsproblem gemeldet, das von jedem Angreifer verwendet werden könnte, um Geld auf der Kette zu replizieren.  

Nancy J. Allen ist eine Krypto-Enthusiastin und glaubt, dass Kryptowährungen die Menschen dazu inspirieren, ihre eigene Bank zu sein und sich von traditionellen Geldumtauschsystemen zu lösen. Sie ist auch fasziniert von der Blockchain-Technologie und ihrer Funktionsweise.

Neueste Beiträge von Nancy J. Allen (alles sehen)