Open Zeppelin 的十大區塊鏈黑客技術

– Open Zeppelin，一家網絡安全公司，提供用於開發和保護去中心化應用程序 (dApp) 的工具。

– 該公司透露，對 dApps 構成的最大威脅不是區塊鏈技術，而是來自全球黑客的惡意。

區塊鏈黑客攻擊已經成為一個問題，並威脅著加密貨幣生態系統。 黑客可以破壞區塊鏈安全以竊取加密貨幣和數字資產。 這就是為什麼公司正在研究創新的方法來保護他們的系統免受網絡攻擊。 Open Zeppelin 發布了一份報告，總結了十大區塊鏈黑客技術。 

黑客如何對區塊鏈安全構成威脅？

51% 攻擊

當黑客獲得對區塊鍊網絡上至少 51% 或更多計算能力的控制時，就會發生這種攻擊。 這將使他們有能力控製網絡的共識算法並能夠操縱交易。 這將導致雙重支出，黑客可以重複相同的交易。 例如，Binance 是 memecoin Dogecoin 和穩定幣 Zilliqa 的主要投資者，可以輕鬆操縱加密市場。 

智能合約風險

智能合約是建立在底層區塊鏈技術之上的自動執行程序。 黑客可以侵入智能合約的代碼並操縱它們來竊取信息或資金或數字資產。 

女巫攻擊 

當黑客在區塊鍊網絡上創建多個虛假身份或節點時，就會發生此類攻擊。 這使他們能夠控製網絡的大部分計算能力。 他們可以操縱網絡上的交易來幫助資助恐怖主義或其他非法活動。 

惡意軟件攻擊

黑客可以部署惡意軟件來訪問用戶的加密密鑰或私人信息，從而允許他們從錢包中竊取。 黑客可以誘騙用戶洩露他們的私鑰，這些私鑰可用於未經授權訪問他們的數字資產。 

Open Zeppelin 的十大區塊鏈黑客技術是什麼？

Compound TUSD 集成問題回顧

Compound 是一種去中心化金融協議，可幫助用戶通過在以太坊區塊鏈上借入和借出數字資產來賺取利息。 TrueUSD 是一種與美元掛鉤的穩定幣。 TUSD 的主要集成問題之一與資產可轉移性有關。 

要在 Compound 上使用 TUSD，它必須可以在以太坊地址之間轉移。 然而，在 TUSD 的智能合約中發現了一個錯誤，導致部分轉賬被阻止或延遲。 這意味著客戶無法從 Compound 中提取或存入 TUSD。 從而導致流動性問題，用戶失去賺取利息或借入 TUSD 的機會​​。

 6.2 L2 DAI 允許代碼評估中的竊取問題

2021 年 2 月底，在 StarkNet DAI Bridge 智能合約的代碼評估中發現了一個問題，該問題可能允許任何攻擊者從第 2 層或 LXNUMX DAI 系統中掠奪資金。 該問題是在區塊鏈安全組織 Certora 的審計中發現的。

代碼評估中的問題涉及合約的一個易受攻擊的存款功能，黑客可以利用該功能將 DAI 代幣存入 DAI 的 L2 系統； 沒有實際發送硬幣。 這可能允許黑客鑄造無限量的 DAI 代幣。 他們可以將其出售給市場以賺取巨額利潤。 在被發現時，StarkNet 系統已經丟失了價值超過 200 億美元的鎖在其中的代幣。 

StarkNet 團隊解決了這個問題，他們與 Certora 合作部署了有缺陷的智能合約的新版本。 新版本隨後由公司審核並被認為是安全的。 

Avalanche 的 350 億美元風險報告

這種風險是指 2021 年 350 月發生的網絡攻擊，導致價值約 XNUMX 億美元的代幣損失。 這次攻擊針對的是 Poly Network，這是一個允許用戶交換加密貨幣的 DeFi 平台。 攻擊者利用平台智能合約代碼中的漏洞，使黑客能夠控制平台的數字錢包。 

保利網絡發現此次攻擊後，懇求黑客​​歸還被盜資產，並表示此次攻擊已影響到平台及用戶。 攻擊者出人意料地同意歸還被盜資產。 他還聲稱他打算揭露漏洞而不是從中獲利。 這些攻擊強調了安全審計和智能合約測試的重要性，以在漏洞被利用之前識別漏洞。 

如何從完美的智能合約中竊取 100 億美元？

29 年 2022 月 100 日，一位高尚的人通過披露價值 1 億美元的數字資產設計中的嚴重缺陷來保護 Moonbeam Network。 他獲得了 ImmuneF（50 萬美元）的此漏洞賞金計劃的最高金額和 Moonwell 的獎金（XNUMX 萬美元）。 

Moonriver 和 Moonbeam 是 EVM 兼容平台。 它們之間有一些預編譯的智能合約。 開發人員沒有考慮 EVM 中“委託調用”的優勢。 惡意黑客可以通過其預編譯的合約來冒充其調用者。 智能合約將無法確定實際調用者。 攻擊者可以立即從合約中轉移可用資金。 

PWNING 如何節省 7K ETH 並贏得 6 萬美元的漏洞賞金

PWNING 是一名黑客愛好者，最近加入了加密領域。 14 年 2022 月 7 日之前的幾個月，他報告了 Aurora 引擎中的一個嚴重錯誤。 在他發現漏洞並幫助 Aurora 團隊修復問題之前，至少有 6K Eth 有被盜的風險。 他還獲得了歷史第二高的 XNUMX 萬漏洞賞金。 

幻影函數和十億美元的空操作

這是與軟件開發和工程相關的兩個概念。 虛擬函數是存在於軟件系統中但從未執行過的代碼塊。 10 月 0.5 日，Dedaub 團隊披露了多鏈項目（前身為 AnySwap）的漏洞。 Multichain 已發佈公告，重點關注其對客戶的影響。 此公告之後是攻擊和 flash bot 戰爭，導致 XNUMX% 的資金損失。  

只讀重入 - 一個漏洞導致 100 億美元的資金風險

這種攻擊是一種惡意合約，它將能夠反複調用自己並從目標合約中吸取資金。 

像 WETH 這樣的代幣會資不抵債嗎？

WETH 是以太坊生態系統中一個簡單而基礎的合約。 如果發生脫鉤，ETH 和 WETH 都會失去價值。  

 Profanity 中披露的漏洞

Profanity 是一種以太坊虛榮地址虛榮工具。 現在，如果用戶的錢包地址是由該工俱生成的，他們使用起來可能不安全。 Profanity使用隨機32位向量生成256位私鑰，疑似不安全。

 攻擊以太坊 L2

報告了一個嚴重的安全問題，任何攻擊者都可以利用該問題在鏈上複製資金。  

Nancy J. Allen 是一位加密愛好者，他相信加密貨幣會激發人們成為自己的銀行，並遠離傳統的貨幣兌換系統。 她還對區塊鏈技術及其功能很感興趣。

南希·J·艾倫的最新帖子 （查看全部）