Open Zeppelin의 상위 10가지 블록체인 해킹 기술

– Open Zeppelin은 탈중앙화 애플리케이션(dApp)을 개발하고 보호하기 위한 도구를 제공하는 사이버 보안 회사입니다.

– 회사는 dApp에 가해지는 가장 큰 위협은 블록체인 기술이 아니라 전 세계 해커의 사악한 의도라고 밝혔습니다.

블록체인 해킹이 문제가 되어 암호화폐 생태계를 위협하고 있습니다. 해커는 블록체인 보안을 뚫고 암호화폐와 디지털 자산을 훔칠 수 있습니다. 이것이 기업들이 사이버 공격으로부터 시스템을 보호하기 위한 혁신적인 방법을 연구하는 이유입니다. Open Zeppelin은 상위 XNUMX개 블록체인 해킹 기술을 요약한 보고서를 발표했습니다. 

해커는 블록체인 보안에 어떻게 위협을 가합니까?

51 % 공격

이 공격은 해커가 블록체인 네트워크에서 컴퓨팅 성능의 최소 51% 이상을 제어할 때 발생합니다. 이것은 그들에게 네트워크의 합의 알고리즘을 제어하고 거래를 조작할 수 있는 힘을 줄 것입니다. 이로 인해 해커가 동일한 거래를 반복할 수 있는 이중 지출이 발생합니다. 예를 들어, Binance는 memecoin Dogecoin과 stablecoin Zilliqa의 주요 투자자이며 암호 화폐 시장을 쉽게 조작할 수 있습니다. 

스마트 계약 위험

스마트 계약은 기본 블록체인 기술을 기반으로 구축된 자체 실행 프로그램입니다. 해커는 스마트 계약의 코드를 해킹하고 조작하여 정보나 자금 또는 디지털 자산을 훔칠 수 있습니다. 

시빌 공격 

이러한 공격은 해커가 블록체인 네트워크에 여러 가짜 ID 또는 노드를 생성했을 때 발생합니다. 이를 통해 네트워크 컴퓨팅 성능의 대부분을 제어할 수 있습니다. 그들은 테러 자금 조달 또는 기타 불법 활동을 돕기 위해 네트워크에서 거래를 조작할 수 있습니다. 

멀웨어 공격

해커는 맬웨어를 배포하여 사용자의 암호화 키 또는 개인 정보에 액세스하여 지갑에서 훔칠 수 있습니다. 해커는 사용자를 속여 개인 키를 공개하도록 할 수 있으며, 이를 통해 디지털 자산에 대한 무단 액세스 권한을 얻을 수 있습니다. 

Open Zeppelin의 상위 10가지 블록체인 해킹 기술은 무엇입니까?

복합 TUSD 통합 문제 회고

컴파운드는 사용자가 이더리움 블록체인에서 디지털 자산을 빌리고 빌려줌으로써 디지털 자산에 대한 이자를 얻을 수 있도록 도와주는 탈중앙화 금융 프로토콜입니다. TrueUSD는 USD에 고정된 스테이블 코인입니다. TUSD와의 주요 통합 문제 중 하나는 자산 이전 가능성과 관련이 있었습니다. 

컴파운드에서 TUSD를 사용하려면 이더리움 주소 간에 전송할 수 있어야 했습니다. 그러나 TUSD의 스마트 계약에서 버그가 발견되어 일부 전송이 차단되거나 지연되었습니다. 이는 고객이 컴파운드에서 TUSD를 인출하거나 입금할 수 없음을 의미했습니다. 이로 인해 유동성 문제가 발생하고 사용자는 이자를 얻거나 TUSD를 빌릴 기회를 잃게 됩니다.

 6.2 L2 DAI는 코드 평가에서 도용 문제를 허용합니다.

2021년 2월 말, StarkNet DAI Bridge 스마트 계약의 코드 평가에서 공격자가 레이어 2 또는 LXNUMX DAI 시스템에서 자금을 약탈할 수 있는 문제가 발견되었습니다. 이 문제는 블록체인 보안 기관인 Certora의 감사 중에 발견되었습니다.

코드 평가의 문제는 해커가 DAI 코인을 DAI의 L2 시스템에 입금하는 데 사용할 수 있는 계약의 취약한 입금 기능과 관련이 있습니다. 실제로 동전을 보내지 않고. 이를 통해 해커는 DAI 코인을 무제한으로 주조할 수 있습니다. 그들은 그것을 시장에 팔아 막대한 이익을 얻을 수 있습니다. StarkNet 시스템은 발견 당시에 잠긴 200억 달러 이상의 코인을 잃었습니다. 

이 문제는 결함이 있는 스마트 계약의 새 버전을 배포하기 위해 Certora와 팀을 이룬 StarkNet 팀에 의해 해결되었습니다. 그런 다음 새 버전은 회사의 감사를 받았으며 안전한 것으로 간주되었습니다. 

Avalanche의 350억 XNUMX천만 달러 위험 보고서

이 위험은 2021년 350월에 발생한 사이버 공격으로 인해 약 XNUMX억 XNUMX천만 달러 상당의 토큰이 손실되었습니다. 이 공격은 사용자가 암호화폐를 교환할 수 있는 DeFi 플랫폼인 Poly Network를 대상으로 했습니다. 공격자는 플랫폼의 스마트 계약 코드의 취약점을 악용하여 해커가 플랫폼의 디지털 지갑을 제어할 수 있도록 했습니다. 

공격을 발견한 Poly Network는 공격이 플랫폼과 사용자에게 영향을 미쳤다고 말하면서 해커에게 훔친 자산을 반환해 줄 것을 간청했습니다. 공격자는 놀랍게도 훔친 자산을 반환하는 데 동의했습니다. 그는 또한 취약점을 통해 이익을 얻기보다는 취약점을 노출시키려는 의도가 있다고 주장했습니다. 이 공격은 취약점이 악용되기 전에 취약점을 식별하기 위한 보안 감사 및 스마트 계약 테스트의 중요성을 강조합니다. 

완벽한 스마트 계약에서 100억 달러를 훔치는 방법은 무엇입니까?

29년 2022월 100일, 한 고귀한 개인이 1억 달러 상당의 디지털 자산 설계의 치명적인 결함을 폭로하여 Moonbeam Network를 보호했습니다. 그는 ImmuneF로부터 이 버그 바운티 프로그램의 최대 금액($50M)과 Moonwell로부터 보너스(XNUMXK)를 받았습니다. 

Moonriver와 Moonbeam은 EVM 호환 플랫폼입니다. 그들 사이에는 미리 컴파일된 스마트 계약이 있습니다. 개발자는 EVM에서 '대리인 호출'의 이점을 고려하지 않았습니다. 악의적인 해커는 미리 컴파일된 계약을 전달하여 호출자를 가장할 수 있습니다. 스마트 계약은 실제 호출자를 결정할 수 없습니다. 공격자는 계약에서 즉시 사용 가능한 자금을 전송할 수 있습니다. 

PWNING은 어떻게 7천 ETH를 절약하고 $6백만 버그 바운티를 얻었습니까?

PWNING은 최근 암호 화폐의 땅에 합류한 해킹 애호가입니다. 14년 2022월 7일 몇 달 전에 그는 Aurora 엔진의 치명적인 버그를 보고했습니다. 그가 취약점을 발견하고 Aurora 팀이 문제를 해결하도록 도울 때까지 최소 6K Eth가 도난당할 위험이 있었습니다. 역대 두 번째로 높은 XNUMX만 버그 바운티도 거머쥐었다. 

Phantom Functions 및 Billion Dollar no-op

이들은 소프트웨어 개발 및 엔지니어링과 관련된 두 가지 개념입니다. 팬텀 기능은 소프트웨어 시스템에 존재하지만 결코 실행되지 않는 코드 블록입니다. 10월 0.5일, Dedaub 팀은 Multi Chain 프로젝트(이전 AnySwap)의 취약점을 공개했습니다. 멀티체인은 고객에게 미치는 영향에 초점을 맞춘 공개 발표를 했습니다. 이 발표 이후 공격과 플래시 봇 전쟁이 이어져 자금의 XNUMX% 손실이 발생했습니다.  

읽기 전용 재진입 - 자금 $100M의 위험을 초래하는 취약점

이 공격은 자신을 반복적으로 호출하여 대상 계약에서 자금을 빼낼 수 있는 악의적인 계약입니다. 

WETH와 같은 토큰이 파산할 수 있습니까?

WETH는 이더리움 생태계의 간단하고 근본적인 계약입니다. 디페깅이 발생하면 ETH와 WETH 모두 가치를 잃게 됩니다.  

 욕설에서 공개된 취약점

욕설은 허영심 도구를 다루는 이더리움 허영심입니다. 이제 사용자의 지갑 주소가 이 도구에 의해 생성된 경우 사용하기에 안전하지 않을 수 있습니다. 욕설은 임의의 32비트 벡터를 사용하여 안전하지 않은 것으로 의심되는 256비트 개인 키를 생성했습니다.

 Ethereum L2 공격

모든 공격자가 체인에서 돈을 복제하는 데 사용할 수 있는 중요한 보안 문제가 보고되었습니다.  

Nancy J. Allen은 암호 애호가이며 암호 화폐는 사람들이 자신의 은행에 영감을 주고 기존의 화폐 교환 시스템에서 벗어나도록 고무한다고 믿습니다. 그녀는 또한 블록체인 기술과 그 기능에 흥미를 느낍니다.

Nancy J. Allen의 최신 게시물 (모두보기)