Les 10 meilleures techniques de piratage de la blockchain par Open Zeppelin

– Open Zeppelin, une société de cybersécurité qui fournit des outils pour développer et sécuriser des applications décentralisées (dApps).

- La société a révélé que la plus grande menace posée aux dApps n'est pas la technologie de la blockchain, mais l'intention malveillante des pirates du monde entier.

Le piratage de la blockchain est devenu un problème et menace l'écosystème de la crypto-monnaie. Les pirates peuvent violer la sécurité de la blockchain pour voler des crypto-monnaies et des actifs numériques. C'est pourquoi les entreprises travaillent sur des moyens innovants pour sécuriser leurs systèmes contre les cyberattaques. Open Zeppelin a publié un rapport résumant les dix principales techniques de piratage de la blockchain. 

Comment les pirates menacent-ils la sécurité de la blockchain ?

51% d'attaques

Cette attaque se produit lorsqu'un pirate prend le contrôle d'au moins 51 % ou plus de la puissance de calcul d'un réseau blockchain. Cela leur donnera le pouvoir de contrôler l'algorithme de consensus du réseau et de manipuler les transactions. Cela entraînera une double dépense, où le pirate peut répéter la même transaction. Par exemple, Binance est un investisseur majeur dans le memecoin Dogecoin et le stablecoin Zilliqa, et peut facilement manipuler le marché de la cryptographie. 

Risques de contrat intelligent

Les contrats intelligents sont des programmes auto-exécutables qui reposent sur la technologie sous-jacente de la blockchain. Les pirates peuvent pirater le code des contrats intelligents et les manipuler pour voler des informations ou des fonds, ou des actifs numériques. 

Attaques Sybil 

Une telle attaque se produit lorsqu'un pirate a créé plusieurs fausses identités ou nœuds sur un réseau blockchain. Cela leur permet de prendre le contrôle d'une grande partie de la puissance de calcul du réseau. Ils peuvent manipuler les transactions sur le réseau pour contribuer au financement du terrorisme ou à d'autres activités illicites. 

Attaques de logiciels malveillants

Les pirates peuvent déployer des logiciels malveillants pour accéder aux clés de cryptage ou aux informations privées d'un utilisateur, leur permettant de voler des portefeuilles. Les pirates peuvent inciter les utilisateurs à révéler leurs clés privées, qui peuvent être utilisées pour obtenir un accès non autorisé à leurs actifs numériques. 

Quelles sont les 10 meilleures techniques de piratage de la blockchain par Open Zeppelin ?

Rétrospective des problèmes d'intégration du TUSD composé

Compound est un protocole de financement décentralisé qui aide les utilisateurs à gagner des intérêts sur leurs actifs numériques en les empruntant et en les prêtant sur la blockchain Ethereum. TrueUSD est un stablecoin indexé sur l'USD. L'un des principaux problèmes d'intégration avec TUSD était lié à la transférabilité des actifs. 

Pour utiliser TUSD sur un composé, il devait être transférable entre les adresses Ethereum. Cependant, un bogue a été trouvé dans le contrat intelligent de TUSD et certains transferts ont été bloqués ou retardés. Cela signifiait que les clients ne pouvaient pas retirer ou déposer des TUSD du composé. Conduisant ainsi à des problèmes de liquidité et les utilisateurs ont perdu des opportunités de gagner des intérêts ou d'emprunter des TUSD.

 6.2 L2 DAI permet de voler des problèmes dans les évaluations de code

Fin février 2021, un problème a été découvert dans l'évaluation du code des contrats intelligents StarkNet DAI Bridge, qui aurait pu permettre à tout attaquant de piller des fonds du système DAI de couche 2 ou L2. Ce problème a été découvert lors d'un audit par Certora, une organisation de sécurité blockchain.

Le problème dans l'évaluation du code impliquait une fonction de dépôt vulnérable du contrat, qu'un pirate informatique aurait pu utiliser pour déposer des pièces DAI dans le système L2 de DAI ; sans réellement envoyer les pièces. Cela pourrait permettre à un pirate de frapper un nombre illimité de pièces DAI. Ils peuvent le vendre sur le marché pour réaliser d'énormes profits. Le système StarkNet a perdu plus de 200 millions de dollars de pièces enfermées au moment de sa découverte. 

Le problème a été résolu par l'équipe StarkNet, qui s'est associée à Certora pour déployer une nouvelle version du contrat intelligent défectueux. La nouvelle version a ensuite été auditée par l'entreprise et jugée sûre. 

Rapport de risque de 350 millions de dollars d'Avalanche

Ce risque fait référence à une cyberattaque survenue en novembre 2021, qui a entraîné la perte d'environ 350 millions de dollars de jetons. Cette attaque visait le Poly Network, une plateforme DeFi qui permet aux utilisateurs d'échanger des crypto-monnaies. L'attaquant a exploité une vulnérabilité dans le code de contrat intelligent de la plateforme, permettant au pirate de contrôler les portefeuilles numériques de la plateforme. 

En découvrant l'attaque, Poly Network a supplié le pirate de restituer les actifs volés, déclarant que l'attaque avait affecté la plate-forme et ses utilisateurs. L'agresseur a étonnamment accepté de restituer les biens volés. Il a également affirmé qu'il avait l'intention d'exposer les vulnérabilités plutôt que d'en tirer profit. Les attaques soulignent l'importance des audits de sécurité et des tests de contrats intelligents pour identifier les vulnérabilités avant qu'elles ne puissent être exploitées. 

Comment voler 100 millions de dollars à des contrats intelligents sans faille ?

Le 29 juin 2022, un noble individu a protégé Moonbeam Network en révélant une faille critique dans la conception d'actifs numériques, d'une valeur de 100 millions de dollars. Il a reçu le montant maximum de ce programme de primes de bogues par ImmuneF (1 million de dollars) et un bonus (50 XNUMX) de Moonwell. 

Moonriver et Moonbeam sont des plates-formes compatibles EVM. Il existe des contrats intelligents précompilés entre eux. Le développeur n'a pas pris en compte l'avantage de «l'appel délégué» dans EVM. Un pirate malveillant peut passer son contrat précompilé pour usurper l'identité de son appelant. Le contrat intelligent ne sera pas en mesure de déterminer l'appelant réel. L'attaquant peut transférer immédiatement les fonds disponibles du contrat. 

Comment PWNING a-t-il économisé 7K ETH et gagné une prime de bogue de 6 millions de dollars

PWNING est un passionné de piratage qui a récemment rejoint le pays de la crypto. Quelques mois avant le 14 juin 2022, il a signalé un bogue critique dans le moteur Aurora. Au moins 7K Eth risquaient d'être volés jusqu'à ce qu'il trouve la vulnérabilité et aide l'équipe Aurora à résoudre le problème. Il a également remporté une prime de bogue de 6 millions, la deuxième plus élevée de l'histoire. 

Fonctions fantômes et milliards de dollars sans opération

Ce sont deux concepts liés au développement de logiciels et à l'ingénierie. Les fonctions fantômes sont des blocs de code présents dans un système logiciel mais jamais exécutés. Le 10 janvier, l'équipe Dedaub a révélé une vulnérabilité au projet Multi Chain, anciennement AnySwap. Multichain a fait une annonce publique axée sur l'impact sur ses clients. Cette annonce a été suivie d'attaques et d'une guerre de flash bot, entraînant une perte de 0.5% des fonds.  

Réentrance en lecture seule - Une vulnérabilité responsable d'un risque de 100 millions de dollars de fonds

Cette attaque est un contrat malveillant qui pourra s'appeler à plusieurs reprises et drainer des fonds du contrat ciblé. 

Des jetons comme WETH pourraient-ils être insolvables ?

Le WETH est un contrat simple et fondamental dans l'écosystème Ethereum. Si un désancrage a lieu, ETH et WETH perdront de la valeur.  

 Une vulnérabilité révélée dans Profanity

Profanity est un outil de vanité d'adressage de vanité Ethereum. Maintenant, si l'adresse du portefeuille d'un utilisateur a été générée par cet outil, il pourrait être dangereux pour lui de l'utiliser. Profanity a utilisé un vecteur aléatoire de 32 bits pour générer la clé privée de 256 bits, qui est soupçonnée d'être dangereuse.

 Attaque sur Ethereum L2

Un problème de sécurité critique a été signalé, qui pourrait être utilisé par n'importe quel attaquant pour répliquer de l'argent sur la chaîne.  

Nancy J. Allen est une passionnée de crypto et pense que les crypto-monnaies incitent les gens à être leurs propres banques et à s'éloigner des systèmes d'échange monétaire traditionnels. Elle est également intriguée par la technologie blockchain et son fonctionnement.

Derniers messages de Nancy J. Allen (voir tout)