បច្ចេកទេស Hack Blockchain កំពូលទាំង 10 ដោយ Open Zeppelin

- Open Zeppelin ដែលជាក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិតដែលផ្តល់ឧបករណ៍សម្រាប់បង្កើត និងធានាកម្មវិធីវិមជ្ឈការ (dApps)។

- ក្រុមហ៊ុនបានលាតត្រដាងថាការគំរាមកំហែងដ៏ធំបំផុតដែលបង្កឡើងចំពោះ dApps មិនមែនជាបច្ចេកវិទ្យា blockchain ទេ ប៉ុន្តែជាចេតនាអាក្រក់ពីពួក Hacker ទូទាំងពិភពលោក។

ការលួចចូល Blockchain បានក្លាយជាបញ្ហា និងគំរាមកំហែងដល់ប្រព័ន្ធអេកូឡូស៊ីគ្រីបតូ។ ពួក Hacker អាចរំលោភលើសុវត្ថិភាព blockchain ដើម្បីលួច cryptocurrency និងទ្រព្យសម្បត្តិឌីជីថល។ នេះ​ជា​មូលហេតុ​ដែល​ក្រុមហ៊ុន​កំពុង​ធ្វើ​ការ​លើ​វិធី​ច្នៃប្រឌិត​ដើម្បី​ធានា​ប្រព័ន្ធ​របស់​ពួកគេ​ពី​ការ​វាយប្រហារ​តាម​អ៊ីនធឺណិត។ Open Zeppelin បានចេញផ្សាយរបាយការណ៍មួយដែលសង្ខេបអំពីបច្ចេកទេសលួចចូល blockchain កំពូលទាំងដប់។ 

តើពួក Hacker បង្កការគំរាមកំហែងដល់សន្តិសុខ Blockchain យ៉ាងដូចម្តេច?

ការវាយប្រហារ 51%

ការវាយប្រហារនេះកើតឡើងនៅពេលដែលពួក Hacker ទទួលបានការគ្រប់គ្រងយ៉ាងហោចណាស់ 51% ឬច្រើនជាងនេះនៃថាមពលកុំព្យូទ័រនៅលើបណ្តាញ blockchain ។ នេះនឹងផ្តល់ឱ្យពួកគេនូវថាមពលដើម្បីគ្រប់គ្រងក្បួនដោះស្រាយការយល់ស្របរបស់បណ្តាញ និងអាចរៀបចំប្រតិបត្តិការបាន។ នេះនឹងនាំឱ្យមានការចំណាយទ្វេដង ដែលពួក Hacker អាចធ្វើប្រតិបត្តិការដដែលៗ។ ឧទាហរណ៍ Binance គឺជាអ្នកវិនិយោគដ៏សំខាន់នៅក្នុង memecoin Dogecoin និង stabilitycoin Zilliqa ហើយអាចរៀបចំទីផ្សារគ្រីបតូបានយ៉ាងងាយស្រួល។ 

ហានិភ័យនៃកិច្ចសន្យាកិច្ចសន្យាឆ្លាត

កិច្ចសន្យាឆ្លាតវៃគឺជាកម្មវិធីប្រតិបត្តិដោយខ្លួនឯងដែលត្រូវបានបង្កើតឡើងនៅលើមូលដ្ឋាននៃបច្ចេកវិទ្យា blockchain ។ ពួក Hacker អាចលួចចូលទៅក្នុងកូដនៃកិច្ចសន្យាឆ្លាតវៃ និងរៀបចំពួកគេដើម្បីលួចព័ត៌មាន ឬមូលនិធិ ឬទ្រព្យសម្បត្តិឌីជីថល។ 

ការវាយប្រហារ Sybil 

ការវាយប្រហារបែបនេះកើតឡើងនៅពេលដែលពួក Hacker បានបង្កើតអត្តសញ្ញាណក្លែងក្លាយ ឬថ្នាំងជាច្រើននៅលើបណ្តាញ blockchain ។ នេះអនុញ្ញាតឱ្យពួកគេទទួលបានការគ្រប់គ្រងលើផ្នែកសំខាន់នៃថាមពលកុំព្យូទ័ររបស់បណ្តាញ។ ពួកគេអាចរៀបចំប្រតិបត្តិការនៅលើបណ្តាញដើម្បីជួយក្នុងការផ្តល់ហិរញ្ញប្បទានភេរវកម្ម ឬសកម្មភាពខុសច្បាប់ផ្សេងទៀត។ 

ការវាយប្រហារមេរោគ

ពួក Hacker អាច​ដាក់​ពង្រាយ​មេរោគ​ដើម្បី​ទទួល​បាន​ការ​ចូល​ប្រើ​សោ​អ៊ិនគ្រីប​របស់​អ្នក​ប្រើ ឬ​ព័ត៌មាន​ឯកជន ដែល​អនុញ្ញាត​ឱ្យ​ពួកគេ​លួច​ពី​កាបូប។ ពួក Hacker អាចបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យបង្ហាញកូនសោឯកជនរបស់ពួកគេ ដែលអាចត្រូវបានប្រើដើម្បីទទួលបានការចូលប្រើប្រាស់ដោយគ្មានការអនុញ្ញាតចំពោះទ្រព្យសម្បត្តិឌីជីថលរបស់ពួកគេ។ 

តើបច្ចេកទេស Hack Blockchain កំពូលទាំង 10 ដោយ Open Zeppelin គឺជាអ្វី?

បញ្ហាសមាហរណកម្ម TUSD បន្តបន្ទាប់បន្សំ

Compound គឺជាពិធីការហិរញ្ញវត្ថុវិមជ្ឈការដែលជួយអ្នកប្រើប្រាស់រកបានការប្រាក់លើទ្រព្យសកម្មឌីជីថលរបស់ពួកគេដោយការខ្ចី និងផ្តល់ប្រាក់កម្ចីពួកគេនៅលើ Ethereum blockchain ។ TrueUSD គឺ​ជា​កាក់​ស្ថិរភាព​ដែល​បាន​បញ្ចូល​ទៅ​នឹង​ដុល្លារ​អាមេរិក។ បញ្ហាសមាហរណកម្មសំខាន់មួយជាមួយ TUSD គឺទាក់ទងនឹងការផ្ទេរទ្រព្យសម្បត្តិ។ 

ដើម្បីប្រើ TUSD នៅលើ Compound វាត្រូវតែអាចផ្ទេរបានរវាងអាសយដ្ឋាន Ethereum។ ទោះជាយ៉ាងណាក៏ដោយ កំហុសមួយត្រូវបានរកឃើញនៅក្នុងកិច្ចសន្យាឆ្លាតវៃរបស់ TUSD ហើយការផ្ទេរមួយចំនួនត្រូវបានរារាំង ឬពន្យារពេល។ នេះមានន័យថាអតិថិជនមិនអាចដក ឬដាក់ប្រាក់ TUSD ពីបរិវេណបានទេ។ ដោយហេតុនេះនាំឱ្យមានបញ្ហាសាច់ប្រាក់ងាយស្រួល ហើយអ្នកប្រើប្រាស់បាត់បង់ឱកាសដើម្បីទទួលបានការប្រាក់ ឬខ្ចី TUSD។

 6.2 L2 DAI អនុញ្ញាតឱ្យបញ្ហាលួចនៅក្នុងការវាយតម្លៃកូដ

នៅចុងខែកុម្ភៈ ឆ្នាំ 2021 បញ្ហាមួយត្រូវបានរកឃើញនៅក្នុងការវាយតម្លៃកូដនៃកិច្ចសន្យាឆ្លាតវៃ StarkNet DAI Bridge ដែលអាចឱ្យអ្នកវាយប្រហារណាមួយលួចយកមូលនិធិពីប្រព័ន្ធ Layer 2 ឬ L2 DAI ។ បញ្ហានេះត្រូវបានរកឃើញក្នុងអំឡុងពេលសវនកម្មដោយ Certora ដែលជាអង្គការសន្តិសុខ blockchain ។

បញ្ហានៅក្នុងការវាយតម្លៃកូដពាក់ព័ន្ធនឹងមុខងារដាក់ប្រាក់ដែលងាយរងគ្រោះនៃកិច្ចសន្យា ដែលពួក Hacker អាចប្រើដើម្បីដាក់កាក់ DAI ទៅក្នុងប្រព័ន្ធ L2 របស់ DAI ។ ដោយមិនផ្ញើកាក់ពិតប្រាកដ។ នេះអាចអនុញ្ញាតឱ្យពួក Hacker ជីកយកកាក់ DAI ដែលគ្មានដែនកំណត់។ ពួកគេអាចលក់វាទៅទីផ្សារដើម្បីទទួលបានប្រាក់ចំណេញយ៉ាងច្រើន។ ប្រព័ន្ធ StarkNet បានបាត់បង់កាក់ដែលមានតម្លៃជាង 200 លានដុល្លារដែលចាក់សោនៅក្នុងវានៅពេលរកឃើញ។ 

បញ្ហានេះត្រូវបានដោះស្រាយដោយក្រុម StarkNet ដែលសហការជាមួយ Certora ដើម្បីដាក់ពង្រាយកំណែថ្មីនៃកិច្ចសន្យាឆ្លាតវៃដែលមានបញ្ហា។ បន្ទាប់មកកំណែថ្មីត្រូវបានធ្វើសវនកម្មដោយក្រុមហ៊ុន ហើយចាត់ទុកថាមានសុវត្ថិភាព។ 

របាយការណ៍ហានិភ័យ $350 M របស់ Avalanche

ហានិភ័យនេះសំដៅទៅលើការវាយប្រហារតាមអ៊ីនធឺណិតដែលបានកើតឡើងក្នុងខែវិច្ឆិកា ឆ្នាំ 2021 ដែលបណ្តាលឱ្យបាត់បង់និមិត្តសញ្ញាតម្លៃប្រហែល 350 លានដុល្លារ។ ការវាយប្រហារនេះបានកំណត់គោលដៅ Poly Network ដែលជាវេទិកា DeFi ដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ផ្លាស់ប្តូររូបិយប័ណ្ណគ្រីបតូ។ អ្នកវាយប្រហារបានទាញយកភាពងាយរងគ្រោះនៅក្នុងកូដកិច្ចសន្យាឆ្លាតវៃរបស់វេទិកា ដែលអនុញ្ញាតឱ្យពួក Hacker គ្រប់គ្រងកាបូបឌីជីថលរបស់វេទិកា។ 

នៅពេលរកឃើញការវាយប្រហារនោះ Poly Network បានអង្វរដល់ពួក Hacker ឱ្យប្រគល់ទ្រព្យសម្បត្តិដែលបានលួចមកវិញ ដោយបញ្ជាក់ថា ការវាយប្រហារបានប៉ះពាល់ដល់វេទិកា និងអ្នកប្រើប្រាស់របស់វា។ អ្នក​វាយ​ប្រហារ​បាន​យល់​ព្រម​ប្រគល់​ទ្រព្យ​សម្បត្តិ​ដែល​បាន​លួច​មក​វិញ​ដោយ​ភ្ញាក់​ផ្អើល។ គាត់ក៏បានអះអាងដែរថា គាត់មានបំណងលាតត្រដាងភាពងាយរងគ្រោះ ជាជាងរកប្រាក់ចំណេញពីពួកគេ។ ការវាយប្រហារបង្ហាញពីសារៈសំខាន់នៃសវនកម្មសុវត្ថិភាព និងការធ្វើតេស្តកិច្ចសន្យាឆ្លាតវៃ ដើម្បីកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះ មុនពេលពួកគេអាចត្រូវបានគេកេងប្រវ័ញ្ច។ 

តើធ្វើដូចម្តេចដើម្បីលួច $ 100 លានដុល្លារពីកិច្ចសន្យាឆ្លាតវៃឥតខ្ចោះ?

នៅថ្ងៃទី 29 ខែមិថុនា ឆ្នាំ 2022 បុគ្គលដ៏ថ្លៃថ្នូម្នាក់បានការពារបណ្តាញ Moonbeam ដោយបង្ហាញពីកំហុសឆ្គងដ៏សំខាន់ក្នុងការរចនាទ្រព្យសម្បត្តិឌីជីថល ដែលមានតម្លៃ 100 លានដុល្លារ។ គាត់ត្រូវបានផ្តល់រង្វាន់ដល់ចំនួនអតិបរមានៃកម្មវិធី bug bounty program ដោយ ImmuneF(1M) និងប្រាក់រង្វាន់ (50K) ពី Moonwell។ 

Moonriver និង Moonbeam គឺជាវេទិកាដែលអាចប្រើបានជាមួយ EVM ។ មានកិច្ចសន្យាឆ្លាតវៃមួយចំនួនដែលបានចងក្រងជាមុនរវាងពួកគេ។ អ្នកអភិវឌ្ឍន៍មិនបានទាញយកអត្ថប្រយោជន៍នៃ 'ការហៅជាតំណាង' នៅក្នុង EVM មកពិចារណាទេ។ ពួក Hacker ព្យាបាទអាចឆ្លងផុតកិច្ចសន្យាដែលបានចងក្រងជាមុនរបស់ខ្លួន ដើម្បីក្លែងបន្លំអ្នកហៅចូល។ កិច្ចសន្យាឆ្លាតវៃនឹងមិនអាចកំណត់អ្នកហៅពិតប្រាកដបានទេ។ អ្នកវាយប្រហារអាចផ្ទេរប្រាក់ដែលមានភ្លាមៗពីកិច្ចសន្យា។ 

តើ PWNING រក្សាទុក 7K ETH យ៉ាងដូចម្តេច ហើយឈ្នះរង្វាន់ 6 លានដុល្លារ

PWNING គឺ​ជា​អ្នក​ចូល​ចិត្ត​ការ​លួច​ចូល​គណនី​ដែល​ទើប​តែ​បាន​ចូល​រួម​ក្នុង​ទឹកដី​នៃ​គ្រីបតូ។ ពីរបីខែមុនថ្ងៃទី 14 ខែមិថុនា ឆ្នាំ 2022 គាត់បានរាយការណ៍អំពីបញ្ហាធ្ងន់ធ្ងរនៅក្នុងម៉ាស៊ីន Aurora ។ យ៉ាងហោចណាស់ 7K Eth មានហានិភ័យនៃការលួចរហូតដល់គាត់រកឃើញភាពងាយរងគ្រោះ និងជួយក្រុម Aurora ដោះស្រាយបញ្ហានេះ។ គាត់ក៏បានឈ្នះរង្វាន់ចំនួន 6 លាន ដែលជាចំនួនខ្ពស់បំផុតទីពីរក្នុងប្រវត្តិសាស្ត្រ។ 

មុខងារ Phantom និងរាប់ពាន់លានដុល្លាគ្មានជម្រើស

ទាំងនេះគឺជាគំនិតពីរទាក់ទងនឹងការអភិវឌ្ឍន៍កម្មវិធី និងវិស្វកម្ម។ មុខងារ Phantom គឺជាប្លុកនៃកូដដែលមាននៅក្នុងប្រព័ន្ធសូហ្វវែរ ប៉ុន្តែមិនដែលត្រូវបានប្រតិបត្តិឡើយ។ នៅថ្ងៃទី 10 ខែមករា ក្រុមការងារ Dedaub បានបង្ហាញភាពងាយរងគ្រោះចំពោះគម្រោង Multi Chain ដែលជាអតីត AnySwap ។ Multichain បានធ្វើសេចក្តីប្រកាសជាសាធារណៈដែលផ្តោតលើផលប៉ះពាល់លើអតិថិជនរបស់ខ្លួន។ ការប្រកាសនេះត្រូវបានបន្តដោយការវាយប្រហារ និងសង្គ្រាម flash bot ដែលបណ្តាលឱ្យបាត់បង់ 0.5% នៃមូលនិធិ។  

Reentrancy បានតែអាន- ភាពងាយរងគ្រោះដែលទទួលខុសត្រូវចំពោះហានិភ័យចំនួន $100 លានដុល្លារនៅក្នុងមូលនិធិ

ការវាយប្រហារនេះគឺជាកិច្ចសន្យាព្យាបាទដែលនឹងអាចហៅខ្លួនឯងម្តងហើយម្តងទៀត និងបង្ហូរមូលនិធិពីកិច្ចសន្យាគោលដៅ។ 

តើនិមិត្តសញ្ញាដូចជា WETH អាចក្ស័យធនបានទេ?

WETH គឺជាកិច្ចសន្យាសាមញ្ញ និងជាមូលដ្ឋាននៅក្នុងប្រព័ន្ធអេកូ Ethereum ។ ប្រសិនបើ depegging កើតឡើង ទាំង ETH និង WETH នឹងបាត់បង់តម្លៃ។  

 ភាពងាយរងគ្រោះត្រូវបានបង្ហាញនៅក្នុងភាពប្រមាថ

ពាក្យប្រមាថគឺជាឧបករណ៍ដោះស្រាយឥតប្រយោជន៍របស់ Ethereum ។ ឥឡូវនេះ ប្រសិនបើអាសយដ្ឋានកាបូបរបស់អ្នកប្រើត្រូវបានបង្កើតដោយឧបករណ៍នេះ វាអាចមិនមានសុវត្ថិភាពសម្រាប់ពួកគេក្នុងការប្រើប្រាស់។ ពាក្យប្រមាថបានប្រើវ៉ិចទ័រ 32 ប៊ីតចៃដន្យដើម្បីបង្កើតសោឯកជន 256 ប៊ីត ដែលត្រូវបានគេសង្ស័យថាមិនមានសុវត្ថិភាព។

 ការវាយប្រហារលើ Ethereum L2

បញ្ហាសុវត្ថិភាពដ៏សំខាន់មួយត្រូវបានរាយការណ៍ ដែលអាចត្រូវបានប្រើប្រាស់ដោយអ្នកវាយប្រហារណាមួយ ដើម្បីចម្លងលុយនៅលើសង្វាក់។  

Nancy J. Allen គឺជាអ្នកចូលចិត្តគ្រីបតូ ហើយជឿជាក់ថា រូបិយប័ណ្ណគ្រីបតូ បំផុសគំនិតមនុស្សឱ្យក្លាយជាធនាគារផ្ទាល់ខ្លួនរបស់ពួកគេ ហើយដើរចេញពីប្រព័ន្ធប្តូររូបិយប័ណ្ណប្រពៃណី។ នាងក៏ចាប់អារម្មណ៍នឹងបច្ចេកវិទ្យា blockchain និងមុខងាររបស់វាផងដែរ។

ប្រកាសចុងក្រោយដោយ Nancy J. Allen (ឃើញ​ទាំងអស់)