- Open Zeppelin ដែលជាក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិតដែលផ្តល់ឧបករណ៍សម្រាប់បង្កើត និងធានាកម្មវិធីវិមជ្ឈការ (dApps)។
- ក្រុមហ៊ុនបានលាតត្រដាងថាការគំរាមកំហែងដ៏ធំបំផុតដែលបង្កឡើងចំពោះ dApps មិនមែនជាបច្ចេកវិទ្យា blockchain ទេ ប៉ុន្តែជាចេតនាអាក្រក់ពីពួក Hacker ទូទាំងពិភពលោក។
ការលួចចូល Blockchain បានក្លាយជាបញ្ហា និងគំរាមកំហែងដល់ប្រព័ន្ធអេកូឡូស៊ីគ្រីបតូ។ ពួក Hacker អាចរំលោភលើសុវត្ថិភាព blockchain ដើម្បីលួច cryptocurrency និងទ្រព្យសម្បត្តិឌីជីថល។ នេះជាមូលហេតុដែលក្រុមហ៊ុនកំពុងធ្វើការលើវិធីច្នៃប្រឌិតដើម្បីធានាប្រព័ន្ធរបស់ពួកគេពីការវាយប្រហារតាមអ៊ីនធឺណិត។ Open Zeppelin បានចេញផ្សាយរបាយការណ៍មួយដែលសង្ខេបអំពីបច្ចេកទេសលួចចូល blockchain កំពូលទាំងដប់។
តើពួក Hacker បង្កការគំរាមកំហែងដល់សន្តិសុខ Blockchain យ៉ាងដូចម្តេច?
ការវាយប្រហារ 51%
ការវាយប្រហារនេះកើតឡើងនៅពេលដែលពួក Hacker ទទួលបានការគ្រប់គ្រងយ៉ាងហោចណាស់ 51% ឬច្រើនជាងនេះនៃថាមពលកុំព្យូទ័រនៅលើបណ្តាញ blockchain ។ នេះនឹងផ្តល់ឱ្យពួកគេនូវថាមពលដើម្បីគ្រប់គ្រងក្បួនដោះស្រាយការយល់ស្របរបស់បណ្តាញ និងអាចរៀបចំប្រតិបត្តិការបាន។ នេះនឹងនាំឱ្យមានការចំណាយទ្វេដង ដែលពួក Hacker អាចធ្វើប្រតិបត្តិការដដែលៗ។ ឧទាហរណ៍ Binance គឺជាអ្នកវិនិយោគដ៏សំខាន់នៅក្នុង memecoin Dogecoin និង stabilitycoin Zilliqa ហើយអាចរៀបចំទីផ្សារគ្រីបតូបានយ៉ាងងាយស្រួល។
ហានិភ័យនៃកិច្ចសន្យាកិច្ចសន្យាឆ្លាត
កិច្ចសន្យាឆ្លាតវៃគឺជាកម្មវិធីប្រតិបត្តិដោយខ្លួនឯងដែលត្រូវបានបង្កើតឡើងនៅលើមូលដ្ឋាននៃបច្ចេកវិទ្យា blockchain ។ ពួក Hacker អាចលួចចូលទៅក្នុងកូដនៃកិច្ចសន្យាឆ្លាតវៃ និងរៀបចំពួកគេដើម្បីលួចព័ត៌មាន ឬមូលនិធិ ឬទ្រព្យសម្បត្តិឌីជីថល។
ការវាយប្រហារ Sybil
ការវាយប្រហារបែបនេះកើតឡើងនៅពេលដែលពួក Hacker បានបង្កើតអត្តសញ្ញាណក្លែងក្លាយ ឬថ្នាំងជាច្រើននៅលើបណ្តាញ blockchain ។ នេះអនុញ្ញាតឱ្យពួកគេទទួលបានការគ្រប់គ្រងលើផ្នែកសំខាន់នៃថាមពលកុំព្យូទ័ររបស់បណ្តាញ។ ពួកគេអាចរៀបចំប្រតិបត្តិការនៅលើបណ្តាញដើម្បីជួយក្នុងការផ្តល់ហិរញ្ញប្បទានភេរវកម្ម ឬសកម្មភាពខុសច្បាប់ផ្សេងទៀត។
ការវាយប្រហារមេរោគ
ពួក Hacker អាចដាក់ពង្រាយមេរោគដើម្បីទទួលបានការចូលប្រើសោអ៊ិនគ្រីបរបស់អ្នកប្រើ ឬព័ត៌មានឯកជន ដែលអនុញ្ញាតឱ្យពួកគេលួចពីកាបូប។ ពួក Hacker អាចបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យបង្ហាញកូនសោឯកជនរបស់ពួកគេ ដែលអាចត្រូវបានប្រើដើម្បីទទួលបានការចូលប្រើប្រាស់ដោយគ្មានការអនុញ្ញាតចំពោះទ្រព្យសម្បត្តិឌីជីថលរបស់ពួកគេ។
តើបច្ចេកទេស Hack Blockchain កំពូលទាំង 10 ដោយ Open Zeppelin គឺជាអ្វី?
បញ្ហាសមាហរណកម្ម TUSD បន្តបន្ទាប់បន្សំ
Compound គឺជាពិធីការហិរញ្ញវត្ថុវិមជ្ឈការដែលជួយអ្នកប្រើប្រាស់រកបានការប្រាក់លើទ្រព្យសកម្មឌីជីថលរបស់ពួកគេដោយការខ្ចី និងផ្តល់ប្រាក់កម្ចីពួកគេនៅលើ Ethereum blockchain ។ TrueUSD គឺជាកាក់ស្ថិរភាពដែលបានបញ្ចូលទៅនឹងដុល្លារអាមេរិក។ បញ្ហាសមាហរណកម្មសំខាន់មួយជាមួយ TUSD គឺទាក់ទងនឹងការផ្ទេរទ្រព្យសម្បត្តិ។
ដើម្បីប្រើ TUSD នៅលើ Compound វាត្រូវតែអាចផ្ទេរបានរវាងអាសយដ្ឋាន Ethereum។ ទោះជាយ៉ាងណាក៏ដោយ កំហុសមួយត្រូវបានរកឃើញនៅក្នុងកិច្ចសន្យាឆ្លាតវៃរបស់ TUSD ហើយការផ្ទេរមួយចំនួនត្រូវបានរារាំង ឬពន្យារពេល។ នេះមានន័យថាអតិថិជនមិនអាចដក ឬដាក់ប្រាក់ TUSD ពីបរិវេណបានទេ។ ដោយហេតុនេះនាំឱ្យមានបញ្ហាសាច់ប្រាក់ងាយស្រួល ហើយអ្នកប្រើប្រាស់បាត់បង់ឱកាសដើម្បីទទួលបានការប្រាក់ ឬខ្ចី TUSD។
6.2 L2 DAI អនុញ្ញាតឱ្យបញ្ហាលួចនៅក្នុងការវាយតម្លៃកូដ
នៅចុងខែកុម្ភៈ ឆ្នាំ 2021 បញ្ហាមួយត្រូវបានរកឃើញនៅក្នុងការវាយតម្លៃកូដនៃកិច្ចសន្យាឆ្លាតវៃ StarkNet DAI Bridge ដែលអាចឱ្យអ្នកវាយប្រហារណាមួយលួចយកមូលនិធិពីប្រព័ន្ធ Layer 2 ឬ L2 DAI ។ បញ្ហានេះត្រូវបានរកឃើញក្នុងអំឡុងពេលសវនកម្មដោយ Certora ដែលជាអង្គការសន្តិសុខ blockchain ។
បញ្ហានៅក្នុងការវាយតម្លៃកូដពាក់ព័ន្ធនឹងមុខងារដាក់ប្រាក់ដែលងាយរងគ្រោះនៃកិច្ចសន្យា ដែលពួក Hacker អាចប្រើដើម្បីដាក់កាក់ DAI ទៅក្នុងប្រព័ន្ធ L2 របស់ DAI ។ ដោយមិនផ្ញើកាក់ពិតប្រាកដ។ នេះអាចអនុញ្ញាតឱ្យពួក Hacker ជីកយកកាក់ DAI ដែលគ្មានដែនកំណត់។ ពួកគេអាចលក់វាទៅទីផ្សារដើម្បីទទួលបានប្រាក់ចំណេញយ៉ាងច្រើន។ ប្រព័ន្ធ StarkNet បានបាត់បង់កាក់ដែលមានតម្លៃជាង 200 លានដុល្លារដែលចាក់សោនៅក្នុងវានៅពេលរកឃើញ។
បញ្ហានេះត្រូវបានដោះស្រាយដោយក្រុម StarkNet ដែលសហការជាមួយ Certora ដើម្បីដាក់ពង្រាយកំណែថ្មីនៃកិច្ចសន្យាឆ្លាតវៃដែលមានបញ្ហា។ បន្ទាប់មកកំណែថ្មីត្រូវបានធ្វើសវនកម្មដោយក្រុមហ៊ុន ហើយចាត់ទុកថាមានសុវត្ថិភាព។
របាយការណ៍ហានិភ័យ $350 M របស់ Avalanche
ហានិភ័យនេះសំដៅទៅលើការវាយប្រហារតាមអ៊ីនធឺណិតដែលបានកើតឡើងក្នុងខែវិច្ឆិកា ឆ្នាំ 2021 ដែលបណ្តាលឱ្យបាត់បង់និមិត្តសញ្ញាតម្លៃប្រហែល 350 លានដុល្លារ។ ការវាយប្រហារនេះបានកំណត់គោលដៅ Poly Network ដែលជាវេទិកា DeFi ដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ផ្លាស់ប្តូររូបិយប័ណ្ណគ្រីបតូ។ អ្នកវាយប្រហារបានទាញយកភាពងាយរងគ្រោះនៅក្នុងកូដកិច្ចសន្យាឆ្លាតវៃរបស់វេទិកា ដែលអនុញ្ញាតឱ្យពួក Hacker គ្រប់គ្រងកាបូបឌីជីថលរបស់វេទិកា។
នៅពេលរកឃើញការវាយប្រហារនោះ Poly Network បានអង្វរដល់ពួក Hacker ឱ្យប្រគល់ទ្រព្យសម្បត្តិដែលបានលួចមកវិញ ដោយបញ្ជាក់ថា ការវាយប្រហារបានប៉ះពាល់ដល់វេទិកា និងអ្នកប្រើប្រាស់របស់វា។ អ្នកវាយប្រហារបានយល់ព្រមប្រគល់ទ្រព្យសម្បត្តិដែលបានលួចមកវិញដោយភ្ញាក់ផ្អើល។ គាត់ក៏បានអះអាងដែរថា គាត់មានបំណងលាតត្រដាងភាពងាយរងគ្រោះ ជាជាងរកប្រាក់ចំណេញពីពួកគេ។ ការវាយប្រហារបង្ហាញពីសារៈសំខាន់នៃសវនកម្មសុវត្ថិភាព និងការធ្វើតេស្តកិច្ចសន្យាឆ្លាតវៃ ដើម្បីកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះ មុនពេលពួកគេអាចត្រូវបានគេកេងប្រវ័ញ្ច។
តើធ្វើដូចម្តេចដើម្បីលួច $ 100 លានដុល្លារពីកិច្ចសន្យាឆ្លាតវៃឥតខ្ចោះ?
នៅថ្ងៃទី 29 ខែមិថុនា ឆ្នាំ 2022 បុគ្គលដ៏ថ្លៃថ្នូម្នាក់បានការពារបណ្តាញ Moonbeam ដោយបង្ហាញពីកំហុសឆ្គងដ៏សំខាន់ក្នុងការរចនាទ្រព្យសម្បត្តិឌីជីថល ដែលមានតម្លៃ 100 លានដុល្លារ។ គាត់ត្រូវបានផ្តល់រង្វាន់ដល់ចំនួនអតិបរមានៃកម្មវិធី bug bounty program ដោយ ImmuneF(1M) និងប្រាក់រង្វាន់ (50K) ពី Moonwell។
Moonriver និង Moonbeam គឺជាវេទិកាដែលអាចប្រើបានជាមួយ EVM ។ មានកិច្ចសន្យាឆ្លាតវៃមួយចំនួនដែលបានចងក្រងជាមុនរវាងពួកគេ។ អ្នកអភិវឌ្ឍន៍មិនបានទាញយកអត្ថប្រយោជន៍នៃ 'ការហៅជាតំណាង' នៅក្នុង EVM មកពិចារណាទេ។ ពួក Hacker ព្យាបាទអាចឆ្លងផុតកិច្ចសន្យាដែលបានចងក្រងជាមុនរបស់ខ្លួន ដើម្បីក្លែងបន្លំអ្នកហៅចូល។ កិច្ចសន្យាឆ្លាតវៃនឹងមិនអាចកំណត់អ្នកហៅពិតប្រាកដបានទេ។ អ្នកវាយប្រហារអាចផ្ទេរប្រាក់ដែលមានភ្លាមៗពីកិច្ចសន្យា។
តើ PWNING រក្សាទុក 7K ETH យ៉ាងដូចម្តេច ហើយឈ្នះរង្វាន់ 6 លានដុល្លារ
PWNING គឺជាអ្នកចូលចិត្តការលួចចូលគណនីដែលទើបតែបានចូលរួមក្នុងទឹកដីនៃគ្រីបតូ។ ពីរបីខែមុនថ្ងៃទី 14 ខែមិថុនា ឆ្នាំ 2022 គាត់បានរាយការណ៍អំពីបញ្ហាធ្ងន់ធ្ងរនៅក្នុងម៉ាស៊ីន Aurora ។ យ៉ាងហោចណាស់ 7K Eth មានហានិភ័យនៃការលួចរហូតដល់គាត់រកឃើញភាពងាយរងគ្រោះ និងជួយក្រុម Aurora ដោះស្រាយបញ្ហានេះ។ គាត់ក៏បានឈ្នះរង្វាន់ចំនួន 6 លាន ដែលជាចំនួនខ្ពស់បំផុតទីពីរក្នុងប្រវត្តិសាស្ត្រ។
មុខងារ Phantom និងរាប់ពាន់លានដុល្លាគ្មានជម្រើស
ទាំងនេះគឺជាគំនិតពីរទាក់ទងនឹងការអភិវឌ្ឍន៍កម្មវិធី និងវិស្វកម្ម។ មុខងារ Phantom គឺជាប្លុកនៃកូដដែលមាននៅក្នុងប្រព័ន្ធសូហ្វវែរ ប៉ុន្តែមិនដែលត្រូវបានប្រតិបត្តិឡើយ។ នៅថ្ងៃទី 10 ខែមករា ក្រុមការងារ Dedaub បានបង្ហាញភាពងាយរងគ្រោះចំពោះគម្រោង Multi Chain ដែលជាអតីត AnySwap ។ Multichain បានធ្វើសេចក្តីប្រកាសជាសាធារណៈដែលផ្តោតលើផលប៉ះពាល់លើអតិថិជនរបស់ខ្លួន។ ការប្រកាសនេះត្រូវបានបន្តដោយការវាយប្រហារ និងសង្គ្រាម flash bot ដែលបណ្តាលឱ្យបាត់បង់ 0.5% នៃមូលនិធិ។
Reentrancy បានតែអាន- ភាពងាយរងគ្រោះដែលទទួលខុសត្រូវចំពោះហានិភ័យចំនួន $100 លានដុល្លារនៅក្នុងមូលនិធិ
ការវាយប្រហារនេះគឺជាកិច្ចសន្យាព្យាបាទដែលនឹងអាចហៅខ្លួនឯងម្តងហើយម្តងទៀត និងបង្ហូរមូលនិធិពីកិច្ចសន្យាគោលដៅ។
តើនិមិត្តសញ្ញាដូចជា WETH អាចក្ស័យធនបានទេ?
WETH គឺជាកិច្ចសន្យាសាមញ្ញ និងជាមូលដ្ឋាននៅក្នុងប្រព័ន្ធអេកូ Ethereum ។ ប្រសិនបើ depegging កើតឡើង ទាំង ETH និង WETH នឹងបាត់បង់តម្លៃ។
ភាពងាយរងគ្រោះត្រូវបានបង្ហាញនៅក្នុងភាពប្រមាថ
ពាក្យប្រមាថគឺជាឧបករណ៍ដោះស្រាយឥតប្រយោជន៍របស់ Ethereum ។ ឥឡូវនេះ ប្រសិនបើអាសយដ្ឋានកាបូបរបស់អ្នកប្រើត្រូវបានបង្កើតដោយឧបករណ៍នេះ វាអាចមិនមានសុវត្ថិភាពសម្រាប់ពួកគេក្នុងការប្រើប្រាស់។ ពាក្យប្រមាថបានប្រើវ៉ិចទ័រ 32 ប៊ីតចៃដន្យដើម្បីបង្កើតសោឯកជន 256 ប៊ីត ដែលត្រូវបានគេសង្ស័យថាមិនមានសុវត្ថិភាព។
ការវាយប្រហារលើ Ethereum L2
បញ្ហាសុវត្ថិភាពដ៏សំខាន់មួយត្រូវបានរាយការណ៍ ដែលអាចត្រូវបានប្រើប្រាស់ដោយអ្នកវាយប្រហារណាមួយ ដើម្បីចម្លងលុយនៅលើសង្វាក់។
ប្រភព៖ https://www.thecoinrepublic.com/2023/03/17/the-top-10-blockchain-hacking-techniques-by-open-zeppelin/