Open Zeppelin 的十大区块链黑客技术

– Open Zeppelin，一家网络安全公司，提供用于开发和保护去中心化应用程序 (dApp) 的工具。

– 该公司透露，对 dApps 构成的最大威胁不是区块链技术，而是来自全球黑客的恶意。

区块链黑客攻击已经成为一个问题，并威胁着加密货币生态系统。 黑客可以破坏区块链安全以窃取加密货币和数字资产。 这就是为什么公司正在研究创新的方法来保护他们的系统免受网络攻击。 Open Zeppelin 发布了一份报告，总结了十大区块链黑客技术。 

黑客如何对区块链安全构成威胁？

51％攻击

当黑客获得对区块链网络上至少 51% 或更多计算能力的控制时，就会发生这种攻击。 这将使他们有能力控制网络的共识算法并能够操纵交易。 这将导致双重支出，黑客可以重复相同的交易。 例如，Binance 是 memecoin Dogecoin 和稳定币 Zilliqa 的主要投资者，可以轻松操纵加密市场。 

智能合约风险

智能合约是建立在底层区块链技术之上的自动执行程序。 黑客可以侵入智能合约的代码并操纵它们来窃取信息或资金或数字资产。 

西比尔攻击 

当黑客在区块链网络上创建多个虚假身份或节点时，就会发生此类攻击。 这使他们能够控制网络的大部分计算能力。 他们可以操纵网络上的交易来帮助资助恐怖主义或其他非法活动。 

恶意软件攻击

黑客可以部署恶意软件来访问用户的加密密钥或私人信息，从而允许他们从钱包中窃取。 黑客可以诱骗用户泄露他们的私钥，这些私钥可用于未经授权访问他们的数字资产。 

Open Zeppelin 的十大区块链黑客技术是什么？

Compound TUSD 集成问题回顾

Compound 是一种去中心化金融协议，可帮助用户通过在以太坊区块链上借入和借出数字资产来赚取利息。 TrueUSD 是一种与美元挂钩的稳定币。 TUSD 的主要集成问题之一与资产可转移性有关。 

要在 Compound 上使用 TUSD，它必须可以在以太坊地址之间转移。 然而，在 TUSD 的智能合约中发现了一个错误，导致部分转账被阻止或延迟。 这意味着客户无法从 Compound 中提取或存入 TUSD。 从而导致流动性问题，用户失去赚取利息或借入 TUSD 的机会。

 6.2 L2 DAI 允许代码评估中的窃取问题

2021 年 2 月底，在 StarkNet DAI Bridge 智能合约的代码评估中发现了一个问题，该问题可能允许任何攻击者从第 2 层或 LXNUMX DAI 系统中掠夺资金。 该问题是在区块链安全组织 Certora 的审计中发现的。

代码评估中的问题涉及合约的一个易受攻击的存款功能，黑客可以利用该功能将 DAI 代币存入 DAI 的 L2 系统； 没有实际发送硬币。 这可能允许黑客铸造无限量的 DAI 代币。 他们可以将其出售给市场以赚取巨额利润。 在被发现时，StarkNet 系统已经丢失了价值超过 200 亿美元的锁在其中的代币。 

StarkNet 团队解决了这个问题，他们与 Certora 合作部署了有缺陷的智能合约的新版本。 新版本随后由公司审核并被认为是安全的。 

Avalanche 的 350 亿美元风险报告

这种风险是指 2021 年 350 月发生的网络攻击，导致价值约 XNUMX 亿美元的代币损失。 这次攻击针对的是 Poly Network，这是一个允许用户交换加密货币的 DeFi 平台。 攻击者利用平台智能合约代码中的漏洞，使黑客能够控制平台的数字钱包。 

保利网络发现此次攻击后，恳求黑客归还被盗资产，并表示此次攻击已对平台及用户造成影响。 攻击者出人意料地同意归还被盗资产。 他还声称他打算揭露漏洞而不是从中获利。 这些攻击强调了安全审计和智能合约测试的重要性，以在漏洞被利用之前识别漏洞。 

如何从完美的智能合约中窃取 100 亿美元？

29 年 2022 月 100 日，一位高尚的人通过披露价值 1 亿美元的数字资产设计中的严重缺陷来保护 Moonbeam Network。 他获得了 ImmuneF（50 万美元）的此漏洞赏金计划的最高金额和 Moonwell 的奖金（XNUMX 万美元）。 

Moonriver 和 Moonbeam 是 EVM 兼容平台。 它们之间有一些预编译的智能合约。 开发人员没有考虑 EVM 中“委托调用”的优势。 恶意黑客可以通过其预编译的合约来冒充其调用者。 智能合约将无法确定实际调用者。 攻击者可以立即从合约中转移可用资金。 

PWNING 如何节省 7K ETH 并赢得 6 万美元的漏洞赏金

PWNING 是一名黑客爱好者，最近加入了加密领域。 14 年 2022 月 7 日之前的几个月，他报告了 Aurora 引擎中的一个严重错误。 在他发现漏洞并帮助 Aurora 团队修复问题之前，至少有 6K Eth 有被盗的风险。 他还获得了历史第二高的 XNUMX 万漏洞赏金。 

幻影函数和十亿美元的空操作

这是与软件开发和工程相关的两个概念。 虚拟函数是存在于软件系统中但从未执行过的代码块。 10 月 0.5 日，Dedaub 团队披露了多链项目（前身为 AnySwap）的漏洞。 Multichain 已发布公告，重点关注其对客户的影响。 此公告之后是攻击和 flash bot 战争，导致 XNUMX% 的资金损失。  

只读重入 - 一个漏洞导致 100 亿美元的资金风险

这种攻击是一种恶意合约，它将能够反复调用自己并从目标合约中吸取资金。 

像 WETH 这样的代币会资不抵债吗？

WETH 是以太坊生态系统中一个简单而基础的合约。 如果发生脱钩，ETH 和 WETH 都会失去价值。  

 Profanity 中披露的漏洞

Profanity 是一种以太坊虚荣地址虚荣工具。 现在，如果用户的钱包地址是由该工具生成的，他们使用起来可能不安全。 Profanity使用随机32位向量生成256位私钥，疑似不安全。

 攻击以太坊 L2

报告了一个严重的安全问题，任何攻击者都可以利用该问题在链上复制资金。  

Nancy J. Allen 是一位加密爱好者，他相信加密货币会激发人们成为自己的银行，并远离传统的货币兑换系统。 她还对区块链技术及其功能很感兴趣。

南希·J·艾伦的最新帖子 （查看全部）