3 Hacks ที่น่าอับอายในประวัติศาสตร์ DeFi และวิธีที่พวกเขาเกี่ยวข้องกับการตรวจสอบ

DeFi เป็นองค์ประกอบแบบไดนามิกของอุตสาหกรรมสกุลเงินดิจิตอลโดยมีค่าประมาณ $80 พันล้านในทรัพย์สิน ล็อคในโปรโตคอล ในเดือนมีนาคม พ.ศ. 2021 ตามคำกล่าวที่ว่า ปัญหาสะสมอยู่ที่เงิน

โครงการใน DeFi เป็นการปลอมแปลงและหลอกลวง และช่องโหว่ในกิจกรรมดังกล่าวได้รับการสร้างสัญญาอัจฉริยะที่ไม่ดี สิ่งนี้จะชัดเจนหากคุณตรวจสอบการหลอกลวงในช่วงหลายเดือนที่ผ่านมา

การโจมตีเครือข่ายโพลี

พัฒนาขึ้นเพื่อจัดการกับการทำงานร่วมกันของบล็อคเชน Poly Network เติบโตอย่างรวดเร็ว และล็อคทรัพย์สิน crypto มูลค่าประมาณหนึ่งพันล้านเหรียญสหรัฐ อย่างไรก็ตาม ผู้มีส่วนได้ส่วนเสียต่างตกตะลึงเมื่อมากกว่า $600 cryptocurrency ล้าน USD ถูกขโมยในการโจมตีครั้งเดียว สิ่งนี้ทำให้สินทรัพย์ภายใต้การจัดการของโปรโตคอล (AUM) ลดลงมากกว่าครึ่งหนึ่ง

สำหรับความสำเร็จของการแฮ็ก ผู้กระทำผิดเป็นเจ้าของด้วยช่องโหว่ในสัญญาอัจฉริยะที่ใช้ในโปรโตคอลสำหรับการโอนสินทรัพย์ข้ามสายโซ่ แฮกเกอร์เปลี่ยนที่อยู่กระเป๋าเงินของตนเองเป็นที่อยู่ที่ปกติใช้โดยสัญญาอัจฉริยะ วิธีการถูกจำลองแบบข้ามบล็อก Polygon, Ethereum และ BSC เพื่อรับ cryptocurrencies ทำให้ผู้ใช้โปรโตคอลหลายหมื่นคนต้องเผชิญหน้ากัน

ทีมรักษาความปลอดภัยที่ Poly Network สามารถเจาะลึกอีเมล IP และรายละเอียดอื่นๆ ของแฮกเกอร์ได้ ภายใต้แรงกดดัน พวกเขาคืนของที่ถูกขโมยไปชิ้นใหญ่! แต่โปรโตคอลทั้งหมดไม่ได้โชคดีขนาดนั้น

แพนเค้กกระต่ายโจมตี

ในเดือนพฤษภาคม 2021 โปรโตคอล PancakeBunny เผชิญกับการโจมตีเมื่อแฮกเกอร์สร้างทรัพย์สิน crypto ที่คุ้มค่า $45 ล้าน. พวกเขาใช้การแสวงหาประโยชน์จากเงินกู้แบบแฟลชเพื่อจุดประสงค์ ที่แย่ไปกว่านั้น แฮกเกอร์แลกเปลี่ยนกัน กระต่าย โทเค็นสำหรับเหรียญ Binance ทำให้ราคาของ BUNNY โทเค็นถังถึง $6 ราคาเริ่มต้นที่ $146.

ที่แย่ไปกว่านั้น การโจมตีอีกครั้งตามมาอย่างรวดเร็ว แม้จะมีการโจมตี นักพัฒนาที่ Bunny Finance ล้มเหลวในการป้องกันการโจมตี PolyBunny ซึ่งเป็นส้อมบล็อกเชนรูปหลายเหลี่ยมของบริษัท ผู้โจมตีสร้างเสร็จ $2.1 POLYBUNNY มูลค่ากว่าล้าน ราคาโทเค็น POLYBUNNY ลดลงเหลือ $2 จาก $10.

สินเชื่อแฟลชเกี่ยวข้องกับสัญญาอัจฉริยะที่ช่วยให้ทุกคนสามารถยืมและชำระคืนในธุรกรรมเดียว พวกเขาจัดการราคาของ BNB โดยใช้ช่องโหว่ในกลุ่มสภาพคล่องของ BNB-USDT ของ PancakeBunny ซึ่งประสบความสำเร็จในการสร้าง BUNNY เกือบ XNUMX ล้านตัวในกระบวนการหกขั้นตอน

BurgerSwap โจมตี

เมื่อวันที่ 28 พฤษภาคม พ.ศ. 2021 BurgerSwap บนบล็อกเชน BSC ประสบกับการโจมตีแบบแฟลชเงินกู้ แฮกเกอร์ขโมย $ 7.2M ใน 14 ธุรกรรม อีกครั้ง ผู้กระทำผิดคือการใช้เงินกู้แบบแฟลช

สิ่งที่ผู้โจมตีทำคือสร้างเหรียญปลอมของตนเอง (โทเค็น BEP-20 ที่ไม่ได้มาตรฐาน) และสร้างคู่ซื้อขายใหม่ด้วย $BURGER การใช้การกำหนดเส้นทาง $WBNB แฮกเกอร์กลับเข้ามาใหม่ เปลี่ยนเบอร์เกอร์ ผ่านเหรียญปลอมและทุนสำรองที่ถูกบิดเบือนในสัญญาของทั้งคู่ ทำให้ราคาเปลี่ยนแปลงและทำเงินได้

หน้าที่ของสัญญา

โครงการ DeFi นั้นควบคุมตนเองโดยสัญญาอัจฉริยะ ดังนั้นความล้มเหลวใดๆ จะกลายเป็นข้อกังวลหลักสำหรับผู้มีส่วนได้ส่วนเสีย สัญญาอัจฉริยะเกี่ยวข้องกับอาร์เรย์ของรหัสซอฟต์แวร์ที่ออกแบบมาเพื่อดำเนินการและชำระบัญชีโดยอัตโนมัติ เป็นเลเยอร์นี้ที่ทำให้การทำงานอัตโนมัติในโปรโตคอลบล็อคเชนเป็นจริง สัญญาอัจฉริยะมีเหตุการณ์เริ่มต้นและสิ้นสุดที่กำหนดไว้ตามเหตุการณ์ที่เกิดขึ้นภายนอก

อ่านมากที่สุด – สิ่งที่ไม่ควรลืมเมื่อตรวจสอบสัญญาอัจฉริยะใน DeFi

ลายเซ็นหลายฝ่ายควบคุมการเข้าถึงสัญญา การเข้าถึงแหล่งข้อมูลภายนอกและภายในทำให้เกิดการดำเนินการตามข้อกำหนด สัญญาอัจฉริยะสามารถเข้าถึงฐานข้อมูลแบบกระจายที่จัดเก็บสินทรัพย์ได้ พวกเขายังมีข้อมูลที่ฝังอยู่ในความเป็นเจ้าของทรัพย์สินและฝ่ายที่เกี่ยวข้อง

เหตุใดการสร้างสัญญาอัจฉริยะอย่างชาญฉลาดจึงสำคัญมาก

สัญญาอัจฉริยะคือหัวใจและจิตวิญญาณของโปรโตคอล DeFi โปรโตคอลทำงานเหมือนกับการตั้งโปรแกรมสัญญาอัจฉริยะ ข้อผิดพลาดอาจส่งผลให้เกิดการสูญเสียอย่างมากต่อโปรโตคอล ที่แย่กว่านั้น อาจนำไปสู่การปิดระบบที่ไม่สามารถย้อนกลับได้

ความรับผิดชอบในการสร้างสัญญาอัจฉริยะที่ไร้ที่ติอยู่ในนักพัฒนา ข้อบกพร่องในการออกแบบสัญญานำไปสู่จุดบกพร่องที่อาจรุนแรง ปานกลาง หรือปานกลาง นักพัฒนาควรสามารถสร้างสัญญาที่ปลอดภัยและทำงานได้ตามที่คาดไว้ ไม่ควรมีแบ็คดอร์ที่แฮกเกอร์สามารถใช้ประโยชน์ได้ เมื่อสัญญาเต็มไปด้วยสกุลเงินดิจิทัล องค์ประกอบที่ไร้ยางอายอาจพยายามทำให้สัญญาหมดลง

บทบาทของการตรวจสอบ

การตรวจสอบสัญญาอัจฉริยะมีความจำเป็นในการค้นพบข้อผิดพลาด ช่องโหว่ และช่องโหว่ด้านความปลอดภัยในโค้ดและแนะนำการปรับปรุง แม้ว่าบล็อกเชนจะเป็นระบบนิเวศที่ปลอดภัย แต่สัญญาอัจฉริยะที่เขียนได้ไม่ดีก็ทำให้เกิดช่องโหว่ นักพัฒนาไม่สามารถเชื่อถือได้อย่างเต็มที่สำหรับ สร้างสัญญาที่ไร้ที่ติ ด้วยเหตุผลสองประการ

ประการแรก เป็นไปไม่ได้สำหรับนักพัฒนาเพียงคนเดียวหรือทีมของพวกเขาที่จะตรวจสอบให้แน่ใจว่าได้ปฏิบัติตามพารามิเตอร์ทั้งหมดที่เกี่ยวข้องกับช่องโหว่ ประการที่สอง นักพัฒนาซอฟต์แวร์อาจจงใจทิ้งแบ็คดอร์เพื่อระบายสัญญาในเวลาที่พวกเขาเลือก เพื่อลบล้างอุปสรรคทั้งสองนี้ จำเป็นต้องมีการตรวจสอบอย่างละเอียด

การตรวจสอบความปลอดภัยของสัญญาอัจฉริยะเกี่ยวข้องกับการวิเคราะห์โค้ดที่ใช้งานแอปพลิเคชันอย่างละเอียดโดยมีวัตถุประสงค์เพื่อแก้ไขปัญหาการออกแบบ ข้อผิดพลาดในโค้ด หรือช่องโหว่ด้านความปลอดภัย คุณต้องเป็นศูนย์ในบริษัทตรวจสอบความปลอดภัยที่คุณสามารถไว้วางใจได้กับการตรวจสอบ โดยทั่วไปกระบวนการจะเกี่ยวข้องกับขั้นตอนต่างๆ เช่น การยอมรับชุดข้อกำหนด การดำเนินการทดสอบ การเรียกใช้เครื่องมือการดำเนินการอัตโนมัติ การวิเคราะห์โค้ดด้วยตนเอง และการสร้างรายงาน

ตัดขึ้น

การแฮ็ก เช่น Poly Network, PancakeBunny และ BurgerSwap ขีดเส้นใต้วิธีการ การตรวจสอบสัญญาอัจฉริยะที่สำคัญ คือความสำเร็จของโครงการบล็อคเชน การตรวจสอบ ช่วยค้นหาข้อผิดพลาด ปัญหา และช่องโหว่ด้านความปลอดภัย ช่วยอุดช่องโหว่ก่อนที่จะเกิดความเสียหาย

ติดต่อ QuillAudits

QuillAudits เป็นแพลตฟอร์มการตรวจสอบสัญญาอัจฉริยะที่ปลอดภัยซึ่งออกแบบโดย ขนนกแฮช
เทคโนโลยี
เป็นแพลตฟอร์มการตรวจสอบที่วิเคราะห์และตรวจสอบสัญญาอัจฉริยะอย่างเข้มงวดเพื่อตรวจสอบช่องโหว่ด้านความปลอดภัยผ่านประสิทธิภาพ คู่มือ ทบทวนกับ คงที่ และ  พลวัต เครื่องมือวิเคราะห์ เครื่องวิเคราะห์ก๊าซ และ เครื่องจำลอง นอกจากนี้ กระบวนการตรวจสอบยังครอบคลุมถึงความกว้างขวาง การทดสอบหน่วย และ การวิเคราะห์โครงสร้าง
เราดำเนินการทั้งสัญญาอัจฉริยะ การตรวจสอบ และ  การเจาะ การทดสอบเพื่อค้นหาศักยภาพ
ช่องโหว่ด้านความปลอดภัยที่อาจเป็นอันตรายต่อแพลตฟอร์ม ความสมบูรณ์.

หากคุณต้องการใด ๆ ความช่วยเหลือ ในสัญญาอัจฉริยะ การตรวจสอบบัญชีรู้สึกอิสระที่จะ เอื้อมมือออก ถึงผู้เชี่ยวชาญของเรา ที่นี่!

เป็น ปัจจุบัน กับงานของเรา เข้าร่วมของเรา สังคม:-

Twitter | LinkedIn | Facebook | Telegram 

ที่มา: https://blog.quillhash.com/2021/09/24/3-infamous-hacks-in-defi-history-and-how-they-relate-to-audits/