10 Teknik Peretasan Blockchain Teratas Oleh Open Zeppelin

– Open Zeppelin, perusahaan keamanan siber yang menyediakan alat untuk mengembangkan dan mengamankan aplikasi terdesentralisasi (dApps).

– Perusahaan mengungkapkan bahwa ancaman terbesar yang ditimbulkan pada dApps bukanlah teknologi blockchain tetapi niat jahat dari peretas di seluruh dunia.

Peretasan blockchain telah menjadi masalah dan mengancam ekosistem cryptocurrency. Peretas dapat menembus keamanan blockchain untuk mencuri cryptocurrency dan aset digital. Inilah sebabnya mengapa perusahaan sedang mengerjakan cara-cara inovatif untuk mengamankan sistem mereka dari serangan dunia maya. Open Zeppelin telah merilis laporan yang merangkum sepuluh teknik peretasan blockchain teratas. 

Bagaimana Peretas Mengancam Keamanan Blockchain?

51% Serangan

Serangan ini terjadi ketika seorang peretas menguasai setidaknya 51% atau lebih daya komputasi pada jaringan blockchain. Ini akan memberi mereka kekuatan untuk mengontrol algoritma konsensus jaringan dan dapat memanipulasi transaksi. Ini akan menghasilkan pengeluaran ganda, di mana peretas dapat mengulangi transaksi yang sama. Misalnya, Binance adalah investor utama di memecoin Dogecoin dan stablecoin Zilliqa, dan dapat dengan mudah memanipulasi pasar crypto. 

Risiko Kontrak Cerdas

Kontrak pintar adalah program yang dijalankan sendiri yang dibangun di atas teknologi blockchain yang mendasarinya. Peretas dapat meretas kode kontrak pintar dan memanipulasinya untuk mencuri informasi atau dana, atau aset digital. 

Serangan Sybil 

Serangan semacam itu terjadi ketika seorang peretas telah membuat banyak identitas atau node palsu di jaringan blockchain. Hal ini memungkinkan mereka untuk mendapatkan kendali atas sebagian besar daya komputasi jaringan. Mereka dapat memanipulasi transaksi di jaringan untuk membantu pendanaan teroris atau aktivitas terlarang lainnya. 

Serangan Malware

Peretas dapat menyebarkan malware untuk mendapatkan akses ke kunci enkripsi atau informasi pribadi pengguna, yang memungkinkan mereka mencuri dari dompet. Peretas dapat mengelabui pengguna agar mengungkapkan kunci pribadi mereka, yang dapat digunakan untuk mendapatkan akses tidak sah ke aset digital mereka. 

Apa 10 Teknik Peretasan Blockchain Teratas Oleh Open Zeppelin?

Retrospektif Masalah Integrasi TUSD Senyawa

Compound adalah protokol keuangan terdesentralisasi yang membantu pengguna memperoleh bunga atas aset digital mereka dengan meminjam dan meminjamkannya di blockchain Ethereum. TrueUSD adalah stablecoin yang dipatok ke USD. Salah satu masalah integrasi utama dengan TUSD terkait dengan transfer aset. 

Untuk menggunakan TUSD pada Compound, TUSD harus dapat ditransfer antar alamat Ethereum. Namun, bug ditemukan di kontrak pintar TUSD, dan beberapa transfer diblokir atau ditunda. Ini berarti pelanggan tidak dapat menarik atau menyetorkan TUSD dari Compound. Dengan demikian menyebabkan masalah likuiditas dan pengguna kehilangan kesempatan untuk mendapatkan bunga atau meminjam TUSD.

 6.2 L2 DAI memungkinkan masalah pencurian dalam penilaian kode

Pada akhir Februari 2021, sebuah masalah ditemukan dalam penilaian kode kontrak pintar StarkNet DAI Bridge, yang dapat memungkinkan penyerang mana pun untuk menjarah dana dari sistem DAI Lapisan 2 atau L2. Masalah ini ditemukan selama audit oleh Certora, sebuah organisasi keamanan blockchain.

Masalah dalam penilaian kode melibatkan fungsi penyimpanan kontrak yang rentan, yang dapat digunakan peretas untuk menyetor koin DAI ke dalam sistem L2 DAI; tanpa benar-benar mengirim koin. Hal ini memungkinkan peretas mencetak koin DAI dalam jumlah tak terbatas. Mereka bisa menjualnya ke pasar untuk mendapatkan keuntungan besar. Sistem StarkNet telah kehilangan lebih dari $200 juta koin yang terkunci di dalamnya pada saat ditemukan. 

Masalah ini diselesaikan oleh tim StarkNet, yang bekerja sama dengan Certora untuk menerapkan versi baru kontrak cerdas yang rusak. Versi baru kemudian diaudit oleh perusahaan dan dianggap aman. 

Laporan Risiko Avalanche $350 Juta

Risiko ini mengacu pada serangan dunia maya yang terjadi pada November 2021, yang mengakibatkan hilangnya token senilai sekitar $350 juta. Serangan ini menargetkan Poly Network, sebuah platform DeFi yang memungkinkan pengguna bertukar cryptocurrency. Penyerang mengeksploitasi kerentanan dalam kode kontrak pintar platform, memungkinkan peretas untuk mengontrol dompet digital platform. 

Setelah menemukan serangan tersebut, Poly Network memohon kepada peretas untuk mengembalikan aset yang dicuri, menyatakan bahwa serangan tersebut telah memengaruhi platform dan penggunanya. Penyerang secara mengejutkan setuju untuk mengembalikan aset yang dicuri. Dia juga mengklaim bahwa dia bermaksud untuk mengekspos kerentanan daripada mengambil keuntungan darinya. Serangan tersebut menyoroti pentingnya audit keamanan dan pengujian kontrak pintar untuk mengidentifikasi kerentanan sebelum dapat dieksploitasi. 

Bagaimana cara mencuri $100 juta dari smart contract tanpa cela?

Pada 29 Juni 2022, seorang bangsawan melindungi Moonbeam Network dengan mengungkap kelemahan kritis dalam desain aset digital, yang bernilai $100 juta. Dia dianugerahi jumlah maksimum dari program hadiah bug ini oleh ImmuneF($1M) dan bonus (50K) dari Moonwell. 

Moonriver dan Moonbeam adalah platform yang kompatibel dengan EVM. Ada beberapa kontrak pintar yang telah dikompilasi di antara mereka. Pengembang tidak memanfaatkan 'panggilan delegasi' di EVM sebagai pertimbangan. Peretas jahat dapat melewati kontrak yang telah dikompilasi untuk menyamar sebagai peneleponnya. Kontrak pintar tidak akan dapat menentukan penelepon yang sebenarnya. Penyerang dapat mentransfer dana yang tersedia segera dari kontrak. 

Bagaimana PWNING menghemat 7K ETH dan memenangkan hadiah bug $6 juta

PWNING adalah penggemar peretasan yang baru saja bergabung dengan dunia crypto. Beberapa bulan sebelum 14 Juni 2022, dia melaporkan bug kritis di Mesin Aurora. Setidaknya 7K Eth berisiko dicuri sampai dia menemukan kerentanan dan membantu tim Aurora memperbaiki masalah tersebut. Dia juga memenangkan hadiah bug sebesar 6 juta, tertinggi kedua dalam sejarah. 

Phantom Functions dan Miliaran Dolar tanpa operasi

Ini adalah dua konsep yang terkait dengan pengembangan dan rekayasa perangkat lunak. Fungsi phantom adalah blok kode yang ada dalam sistem perangkat lunak tetapi tidak pernah dieksekusi. Pada 10 Januari, tim Dedaub mengungkapkan kerentanan terhadap proyek Multi Chain, sebelumnya AnySwap. Multichain telah membuat pengumuman publik yang berfokus pada dampak pada kliennya. Pengumuman ini diikuti oleh serangan dan flash bot war yang mengakibatkan hilangnya dana sebesar 0.5%.  

Read-only Reentrancy- Kerentanan yang bertanggung jawab atas risiko dana sebesar $100 juta

Serangan ini merupakan kontrak jahat yang akan dapat memanggil dirinya berulang kali dan menguras dana dari kontrak yang ditargetkan. 

Bisakah token seperti WETH bangkrut?

WETH adalah kontrak sederhana dan mendasar dalam ekosistem Ethereum. Jika depegging dilakukan, baik ETH maupun WETH akan kehilangan nilainya.  

 Kerentanan diungkapkan dalam senonoh

Kata-kata kotor adalah kesombongan Ethereum menangani alat kesombongan. Sekarang jika alamat dompet pengguna dihasilkan oleh alat ini, mungkin tidak aman untuk digunakan. Kata-kata kotor menggunakan vektor 32-bit acak untuk menghasilkan kunci pribadi 256-bit, yang diduga tidak aman.

 Menyerang Ethereum L2

Masalah keamanan kritis dilaporkan, yang dapat digunakan oleh penyerang mana pun untuk mereplikasi uang di rantai.  

Nancy J. Allen adalah penggemar crypto dan percaya bahwa cryptocurrency menginspirasi orang untuk menjadi bank mereka sendiri dan menyingkir dari sistem pertukaran moneter tradisional. Dia juga tertarik dengan teknologi blockchain dan fungsinya.

Postingan terbaru oleh Nancy J. Allen (Lihat semua)