La DeFi è stata una componente dinamica del settore delle criptovalute con ca $80 miliardi di asset bloccato nei protocolli nel marzo 2021. Come si suol dire, però, i problemi si accumulano dove ci sono i soldi.
I progetti nella DeFi sono stati falsificazioni e truffe, e il fulcro di tali attività sono stati i contratti intelligenti mal costruiti. Ciò diventa evidente se si esaminano le truffe degli ultimi mesi.
Attacco alla rete Poly
Sviluppato per affrontare l'interoperabilità delle blockchain, Poly Network è cresciuto rapidamente e ha bloccato circa un miliardo di dollari in criptovalute. Tuttavia, le parti interessate sono rimaste scioccate quando più di $600 milioni di dollari di criptovaluta sono stati rubati in un unico attacco. Ciò ha lasciato le attività in gestione (AUM) del protocollo più che dimezzate.
Per il successo dell'hacking gli autori del reato si sono avvalsi di una vulnerabilità nello smart contract utilizzato nel protocollo per i trasferimenti di asset cross-chain. Gli hacker hanno sostituito l'indirizzo del proprio portafoglio con l'indirizzo normalmente utilizzato dal contratto intelligente. Il modus operandi è stato replicato sulle blockchain di Polygon, Ethereum e BSC per entrare in possesso di criptovalute, lasciando fuori dal freddo decine di migliaia di utenti del protocollo.
Il team di sicurezza di Poly Network è riuscito a scavare nell'e-mail, nell'IP e in altri dettagli degli hacker. Sotto pressione, hanno restituito una grossa fetta della roba rubata! Ma non tutti i protocolli sono così fortunati.
Attacco di PancakeBunny
Nel maggio 2021, il protocollo PancakeBunny ha subito un attacco quando gli hacker hanno fatto un bottino di risorse crittografiche del valore di $45 milioni. A questo scopo hanno utilizzato un prestito flash. Peggio ancora, gli hacker si sono scambiati BUNNY token per le monete Binance, facendo scendere il prezzo dei token BUNNY $6 da $146.
Quel che è peggio è che seguì un altro attacco in rapida successione. Nonostante l’attacco, gli sviluppatori di Bunny Finance non sono riusciti a impedire l’attacco a PolyBunny, il fork della blockchain Polygon dell’azienda. Gli aggressori hanno coniato $2.1 milioni di dollari in POLYBUNNY. Il prezzo dei token POLYBUNNY è sceso da $ 2 a $ 10.
Il prestito lampo prevede un contratto intelligente che consente a chiunque di prendere in prestito e rimborsare in un’unica transazione. Hanno manipolato il prezzo di BNB sfruttando una vulnerabilità nel pool di liquidità BNB-USDT di PancakeBunny, coniando con successo quasi sette milioni di BUNNY in un processo in sei fasi.
Attacco BurgerSwap
Il 28 maggio 2021, BurgerSwap sulla blockchain di BSC ha subito un attacco di prestito flash. Gli hacker hanno rubato $ 7.2M in 14 transazioni. Ancora una volta, il colpevole era un exploit di prestito lampo.
Ciò che hanno fatto gli aggressori è stato creare la propria moneta falsa (token BEP-20 non standard) e creare una nuova coppia di scambio con $BURGER. Utilizzando il routing $WBNB, gli hacker sono rientrati Scambio di hamburger attraverso monete false e riserve manipolate nel contratto della coppia, innescando il cambiamento del prezzo e facendo soldi.
Il ruolo del contratto
I progetti DeFi sono autogovernati da contratti intelligenti, quindi qualsiasi fallimento diventa una delle principali preoccupazioni per le parti interessate. Un contratto intelligente prevede una serie di codici software progettati per automatizzare l'esecuzione e il regolamento. È questo livello che rende l’automazione nei protocolli blockchain una realtà. I contratti intelligenti hanno eventi di inizio e fine definiti, in base a un evento che sta accadendo esternamente.
I più letti – Cosa non dimenticare quando si controllano i contratti intelligenti in DeFi
La firma multilaterale controlla l'accesso al contratto. L'accesso a origini dati esterne e interne attiva l'esecuzione dei termini. I contratti intelligenti possono accedere ai database distribuiti in cui sono archiviate le risorse. Contengono inoltre informazioni integrate sulla proprietà dei beni e sulle parti coinvolte.
Perché rendere i contratti intelligenti davvero intelligenti è così importante
I contratti intelligenti sono la mente e l’anima dei protocolli DeFi. I protocolli si comportano esattamente nel modo in cui sono programmati i contratti intelligenti che li alimentano. Un bug potrebbe comportare enormi perdite per il protocollo. Peggio ancora, potrebbe portare a un arresto irreversibile.
L’onere di realizzare contratti intelligenti impeccabili spetta agli sviluppatori. I difetti di progettazione del contratto portano a bug che potrebbero essere gravi, medi o moderati. Gli sviluppatori dovrebbero essere in grado di creare contratti sicuri e che funzionino come previsto. Non dovrebbero esserci backdoor di cui gli hacker possano trarre vantaggio. Una volta che il contratto è pieno di criptovaluta, elementi senza scrupoli potrebbero tentare di svuotare il contratto.
Il ruolo degli audit
Gli audit dei contratti intelligenti sono fondamentali per scoprire errori, lacune e vulnerabilità della sicurezza nel codice e suggerire miglioramenti. Sebbene le blockchain siano praticamente un ecosistema sicuro, uno smart contract scritto male crea una vulnerabilità. Non ci si può fidare completamente degli sviluppatori creando contratti impeccabili per due ragioni.
Innanzitutto, non è umanamente possibile per un singolo sviluppatore o un gruppo di sviluppatori garantire che tutti i parametri relativi alle vulnerabilità siano soddisfatti. In secondo luogo, gli sviluppatori potrebbero lasciare deliberatamente una backdoor per prosciugare il contratto al momento della loro scelta. Per eliminare entrambi questi ostacoli è necessario un audit approfondito.
Il controllo di sicurezza dei contratti intelligenti prevede un'analisi approfondita del codice che esegue l'applicazione con l'obiettivo di correggere problemi di progettazione, errori nel codice o vulnerabilità della sicurezza. È necessario concentrarsi su una società di audit della sicurezza di cui ti puoi fidare per l'audit. Il processo prevede in genere passaggi come l'accordo su una serie di specifiche, l'esecuzione di test, l'esecuzione di strumenti di esecuzione automatizzata, l'analisi manuale del codice e la creazione di report.
Concludendo
Hack come Poly Network, PancakeBunny e BurgerSwap sottolineano come audit critico dei contratti intelligenti è per il successo di un progetto blockchain. Audit aiutano a scoprire errori, problemi e vulnerabilità della sicurezza, aiutando a colmare le lacune prima che si verifichino danni.
Contatta QuillAudits
QuillAudit è una piattaforma sicura di audit dei contratti intelligenti progettata da QuillHash
Technologies.
È una piattaforma di auditing che analizza e verifica rigorosamente i contratti intelligenti per verificare le vulnerabilità della sicurezza attraverso Manuale recensione con statico ed dinamico strumenti di analisi, analizzatori di gas così come simulatori. Inoltre, il processo di audit include anche un'ampia unit test così come analisi strutturale.
Conduciamo entrambi smart contract audit ed penetrazione test per trovare il potenziale
vulnerabilità di sicurezza che potrebbero danneggiare la piattaforma interezza .
Se ne hai bisogno assistenza negli smart contract revisione, sentiti libero di contattarci ai nostri esperti qui!
Per essere aggiornati con il nostro lavoro, unisciti al nostro Comunita':-
- 2021
- accesso
- attività
- Vantaggio
- Tutti
- .
- Applicazioni
- in giro
- attività
- Attività
- revisione
- Automatizzata
- Automazione
- porta posteriore
- Miliardo
- binance
- blockchain
- bnb
- Bolt
- BSC
- Insetto
- bug
- il cambiamento
- CNBC
- codice
- Moneta
- Monete
- componente
- contratto
- contratti
- Cross-Catena
- crypto
- crypto-assets
- cryptocurrencies
- criptovaluta
- Industria delle criptovalute
- dati
- banche dati
- DeFi
- Design
- Costruttori
- sviluppatori
- DID
- dollari
- ecosistema
- Ethereum
- Evento
- eventi
- esecuzione
- Sfruttare
- Fallimento
- falso
- finanziare
- Impresa
- Cromatografia
- prestito flash
- exploit di prestito flash
- difetti
- forcella
- Gratis
- pieno
- function
- incidere
- hacker
- hack
- storia
- tenere
- Come
- HTTPS
- Enorme
- industria
- informazioni
- Interoperabilità
- coinvolto
- IP
- sicurezza
- IT
- join
- grandi
- portare
- Liquidità
- prestito
- maggiore
- Fare
- gestione
- Marzo
- medie
- milione
- soldi
- mese
- Rete
- Altro
- piattaforma
- pool
- pressione
- prezzo
- progetto
- progetti
- Realtà
- motivi
- rapporto
- recensioni
- running
- truffe
- problemi di
- set
- insediamento
- chiusura
- smart
- smart contract
- Smart Contract
- So
- Software
- Anima
- inizia a
- stola
- rubare
- il successo
- test
- tempo
- Tokens
- Trading
- delle transazioni
- Le transazioni
- Affidati ad
- typeform
- us
- USD
- utenti
- vulnerabilità
- vulnerabilità
- Portafoglio
- Lavora
- valore
- zero
