Open Zeppelin द्वारा शीर्ष 10 ब्लॉकचेन हैकिंग तकनीकें

- Open Zeppelin, एक साइबर सुरक्षा कंपनी जो विकेंद्रीकृत अनुप्रयोगों (डीएपी) को विकसित करने और सुरक्षित करने के लिए उपकरण प्रदान करती है।

- कंपनी ने खुलासा किया कि dApps के लिए सबसे बड़ा खतरा ब्लॉकचेन तकनीक नहीं है, बल्कि दुनिया भर के हैकर्स के बुरे इरादे हैं।

ब्लॉकचैन हैकिंग एक समस्या बन गई है और क्रिप्टोक्यूरेंसी पारिस्थितिकी तंत्र को खतरा है। क्रिप्टोक्यूरेंसी और डिजिटल संपत्ति चुराने के लिए हैकर्स ब्लॉकचेन सुरक्षा को भंग कर सकते हैं। यही कारण है कि कंपनियां अपने सिस्टम को साइबर हमलों से सुरक्षित करने के लिए नए-नए तरीकों पर काम कर रही हैं। ओपन ज़ेपेलिन ने शीर्ष दस ब्लॉकचेन हैकिंग तकनीकों का सारांश देते हुए एक रिपोर्ट जारी की है। 

ब्लॉकचेन सुरक्षा के लिए हैकर्स कैसे खतरा पैदा करते हैं?

51% हमले

यह हमला तब होता है जब एक हैकर ब्लॉकचेन नेटवर्क पर कम से कम 51% या अधिक कंप्यूटिंग शक्ति का नियंत्रण हासिल कर लेता है। इससे उन्हें नेटवर्क की सर्वसम्मति एल्गोरिदम को नियंत्रित करने और लेनदेन में हेरफेर करने में सक्षम होने की शक्ति मिलेगी। इससे दोहरा खर्च होगा, जहां हैकर उसी लेनदेन को दोहरा सकता है। उदाहरण के लिए, Binance memecoin Dogecoin और स्थिर मुद्रा Zilliqa में एक प्रमुख निवेशक है, और आसानी से क्रिप्टो बाजार में हेरफेर कर सकता है। 

स्मार्ट कॉन्ट्रैक्ट जोखिम

स्मार्ट कॉन्ट्रैक्ट्स स्व-निष्पादित प्रोग्राम हैं जो अंतर्निहित ब्लॉकचेन तकनीक पर बनाए गए हैं। हैकर्स स्मार्ट कॉन्ट्रैक्ट्स के कोड को हैक कर सकते हैं और जानकारी या फंड या डिजिटल संपत्ति चुराने के लिए उनमें हेरफेर कर सकते हैं। 

सिबिल अटैक्स 

ऐसा हमला तब होता है जब एक हैकर ने ब्लॉकचेन नेटवर्क पर कई नकली पहचान या नोड बनाए हों। यह उन्हें नेटवर्क की कंप्यूटिंग शक्ति के एक बड़े हिस्से पर नियंत्रण हासिल करने की अनुमति देता है। वे आतंकवादी वित्तपोषण या अन्य अवैध गतिविधियों में मदद करने के लिए नेटवर्क पर लेन-देन में हेरफेर कर सकते हैं। 

मालवेयर अटैक

हैकर उपयोगकर्ता की एन्क्रिप्शन कुंजी या निजी जानकारी तक पहुंच प्राप्त करने के लिए मैलवेयर तैनात कर सकते हैं, जिससे वे वॉलेट से चोरी कर सकते हैं। हैकर्स उपयोगकर्ताओं को उनकी निजी कुंजी प्रकट करने के लिए बरगला सकते हैं, जिसका उपयोग उनकी डिजिटल संपत्ति तक अनधिकृत पहुंच प्राप्त करने के लिए किया जा सकता है। 

Open Zeppelin द्वारा शीर्ष 10 ब्लॉकचेन हैकिंग तकनीकें क्या हैं?

कंपाउंड TUSD इंटीग्रेशन इश्यू रेट्रोस्पेक्टिव

कंपाउंड एक विकेन्द्रीकृत वित्त प्रोटोकॉल है जो उपयोगकर्ताओं को एथेरियम ब्लॉकचेन पर उधार लेने और उधार देने से उनकी डिजिटल संपत्ति पर ब्याज अर्जित करने में मदद करता है। TrueUSD एक स्थिर मुद्रा है जो USD से जुड़ी है। TUSD के साथ मुख्य एकीकरण मुद्दों में से एक परिसंपत्ति हस्तांतरणीयता से संबंधित था। 

एक कंपाउंड पर TUSD का उपयोग करने के लिए, इसे एथेरियम पतों के बीच हस्तांतरणीय होना चाहिए। हालाँकि, TUSD के स्मार्ट अनुबंध में एक बग पाया गया था, और कुछ स्थानान्तरण अवरुद्ध या विलंबित थे। इसका मतलब था कि ग्राहक कंपाउंड से TUSD को निकाल या जमा नहीं कर सकते थे। जिससे तरलता की समस्या हो गई और उपयोगकर्ताओं ने ब्याज अर्जित करने या TUSD उधार लेने के अवसर खो दिए।

 6.2 L2 DAI कोड आकलन में चोरी के मुद्दों की अनुमति देता है

फरवरी 2021 के अंत में, StarkNet DAI ब्रिज स्मार्ट कॉन्ट्रैक्ट्स के कोड मूल्यांकन में एक समस्या का पता चला, जो किसी भी हमलावर को लेयर 2 या L2 DAI सिस्टम से धन लूटने की अनुमति दे सकता था। ब्लॉकचेन सुरक्षा संगठन सर्टोरा द्वारा ऑडिट के दौरान यह समस्या पाई गई।

कोड मूल्यांकन में समस्या में अनुबंध का एक कमजोर जमा कार्य शामिल था, जिसे एक हैकर DAI के L2 सिस्टम में DAI के सिक्कों को जमा करने के लिए इस्तेमाल कर सकता था; वास्तव में सिक्के भेजे बिना। यह एक हैकर को असीमित मात्रा में DAI सिक्कों का खनन करने की अनुमति दे सकता है। वे भारी मुनाफा कमाने के लिए इसे बाजार में बेच सकते हैं। खोज के समय StarkNet प्रणाली में बंद $200 M मूल्य के सिक्के खो चुके हैं। 

समस्या को स्टार्कनेट टीम द्वारा हल किया गया था, जिसने दोषपूर्ण स्मार्ट अनुबंध के एक नए संस्करण को तैनात करने के लिए सर्टोरा के साथ मिलकर काम किया था। नए संस्करण का तब कंपनी द्वारा ऑडिट किया गया था और इसे सुरक्षित माना गया था। 

हिमस्खलन की $350 मिलियन जोखिम रिपोर्ट

यह जोखिम नवंबर 2021 में हुए एक साइबर हमले को संदर्भित करता है, जिसके परिणामस्वरूप लगभग $350 मिलियन मूल्य के टोकन का नुकसान हुआ। इस हमले ने पॉली नेटवर्क को निशाना बनाया, एक डेफी प्लेटफॉर्म जो उपयोगकर्ताओं को क्रिप्टोकरेंसी का आदान-प्रदान करने की अनुमति देता है। हमलावर ने प्लेटफ़ॉर्म के स्मार्ट कॉन्ट्रैक्ट कोड में भेद्यता का फायदा उठाया, जिससे हैकर को प्लेटफ़ॉर्म के डिजिटल वॉलेट को नियंत्रित करने की अनुमति मिली। 

हमले का पता चलने पर, पॉली नेटवर्क ने हैकर से चोरी की संपत्ति वापस करने का अनुरोध किया, जिसमें कहा गया कि हमले ने प्लेटफॉर्म और उसके उपयोगकर्ताओं को प्रभावित किया है। हमलावर आश्चर्यजनक रूप से चोरी की संपत्ति वापस करने के लिए तैयार हो गया। उन्होंने यह भी दावा किया कि उनका इरादा उनसे लाभ के बजाय कमजोरियों को उजागर करना था। हमले कमजोरियों की पहचान करने से पहले उनका शोषण करने के लिए सुरक्षा ऑडिट और स्मार्ट अनुबंधों के परीक्षण के महत्व पर प्रकाश डालते हैं। 

दोषरहित स्मार्ट अनुबंधों से $100 मिलियन की चोरी कैसे करें?

29 जून 2022 को, एक महान व्यक्ति ने डिजिटल संपत्ति के डिजाइन में एक महत्वपूर्ण दोष का खुलासा करके मूनबीम नेटवर्क की रक्षा की, जिसकी कीमत $100 मिलियन थी। उन्हें इस बग बाउंटी प्रोग्राम की अधिकतम राशि इम्यूनएफ ($1M) और मूनवेल से एक बोनस (50K) से सम्मानित किया गया। 

मूनरिवर और मूनबीम ईवीएम-संगत प्लेटफॉर्म हैं। उनके बीच कुछ पूर्व-संकलित स्मार्ट अनुबंध हैं। डिवेलपर ने ईवीएम में 'डेलीगेट कॉल' का फायदा नहीं उठाया। एक दुर्भावनापूर्ण हैकर अपने कॉलर को प्रतिरूपित करने के लिए अपने पूर्वसंकलित अनुबंध को पारित कर सकता है। स्मार्ट अनुबंध वास्तविक कॉल करने वाले का निर्धारण करने में असमर्थ होगा। हमलावर उपलब्ध धन को अनुबंध से तुरंत स्थानांतरित कर सकता है। 

PWNING ने 7K ETH को कैसे बचाया और $6 M बग बाउंटी जीता

PWNING एक हैकिंग उत्साही है जो हाल ही में क्रिप्टो की भूमि में शामिल हुआ है। 14 जून, 2022 से कुछ महीने पहले, उन्होंने ऑरोरा इंजन में एक गंभीर बग की सूचना दी। कम से कम 7K Eth के चोरी होने का खतरा था जब तक कि उसने भेद्यता नहीं पाई और अरोरा टीम को समस्या को ठीक करने में मदद की। उन्होंने 6 मिलियन का बग बाउंटी भी जीता, जो इतिहास में दूसरा सबसे बड़ा है। 

फैंटम फंक्शंस और बिलियन डॉलर नो-ऑप

ये सॉफ्टवेयर डेवलपमेंट और इंजीनियरिंग से जुड़ी दो अवधारणाएं हैं। प्रेत कार्य एक सॉफ्टवेयर सिस्टम में मौजूद कोड के ब्लॉक होते हैं लेकिन कभी भी निष्पादित नहीं होते हैं। 10 जनवरी को, डेडॉब टीम ने मल्टी चेन प्रोजेक्ट, पूर्व में AnySwap के लिए भेद्यता का खुलासा किया। मल्टीचैन ने एक सार्वजनिक घोषणा की है जो अपने ग्राहकों पर पड़ने वाले प्रभाव पर केंद्रित है। इस घोषणा के बाद हमलों और एक फ्लैश बॉट युद्ध हुआ, जिसके परिणामस्वरूप 0.5% धन का नुकसान हुआ।  

रीड-ओनली रीएंट्रेंसी- फंड में $100M के जोखिम के लिए जिम्मेदार भेद्यता

यह हमला एक दुर्भावनापूर्ण अनुबंध है जो खुद को बार-बार कॉल करने और लक्षित अनुबंध से धन निकालने में सक्षम होगा। 

क्या WETH जैसे टोकन दिवालिया हो सकते हैं?

WETH एथेरियम पारिस्थितिकी तंत्र में एक सरल और मौलिक अनुबंध है। यदि डीपिंग होती है, तो ETH और WETH दोनों का मूल्य कम हो जाएगा।  

 अपवित्रता में प्रकट भेद्यता

गाली-गलौज एक एथेरियम वैनिटी एड्रेसिंग वैनिटी टूल है। अब यदि उपयोगकर्ता का वॉलेट पता इस उपकरण द्वारा जनरेट किया गया है, तो इसका उपयोग करना उनके लिए असुरक्षित हो सकता है। गाली-गलौज ने 32-बिट निजी कुंजी उत्पन्न करने के लिए यादृच्छिक 256-बिट वेक्टर का उपयोग किया, जिसके असुरक्षित होने का संदेह है।

 इथेरियम L2 पर हमला

एक महत्वपूर्ण सुरक्षा समस्या की सूचना मिली थी, जिसका उपयोग किसी भी हमलावर द्वारा चेन पर पैसे की नकल करने के लिए किया जा सकता था।  

नैन्सी जे। एलन एक क्रिप्टो उत्साही हैं और उनका मानना ​​​​है कि क्रिप्टोकरेंसी लोगों को अपने स्वयं के बैंक बनने और पारंपरिक मौद्रिक विनिमय प्रणालियों से अलग होने के लिए प्रेरित करती है। वह ब्लॉकचेन तकनीक और उसके कामकाज से भी प्रभावित है।

नैन्सी जे एलन द्वारा नवीनतम पोस्ट (सभी देखें)