Ataki na smart kontrakty: Najbardziej pamiętne hacki Blockchaina wszech czasów 

Paulina Lewandowska

30 gru 2022
Ataki na smart kontrakty: Najbardziej pamiętne hacki Blockchaina wszech czasów 

Smart kontrakty mają potencjał, aby zrewolucjonizować sposób prowadzenia biznesu poprzez automatyzację transakcji finansowych i procesów. Jednak, jak każda technologia, nie są one odporne na luki bezpieczeństwa. W przeszłości miało miejsce kilka przypadków włamań do smart kontraktów, które spowodowały znaczne straty i zachwiały zaufaniem społeczności. W tym artykule zbadamy niektóre z najbardziej pamiętnych hacków smart kontraktów wszech czasów i przeanalizujemy wnioski, jakie można z nich wyciągnąć. Od DAO do Bancor, te incydenty miały trwały wpływ na branżę blockchain i służą jako przestroga dla znaczenia właściwego zabezpieczenia i audytowania smart kontraktów.

Zhackowanie DAO

DAO, czyli Decentralized Autonomous Organization, została zaprojektowana jako zdecentralizowany fundusz venture capital dla sektora kryptowalut i technologii powiązanych. Jego zdecentralizowana struktura miała na celu zmniejszenie kosztów oraz zwiększenie kontroli i dostępu dla inwestorów. Bez centralnego organu, DAO miał działać w oparciu o zbiorowe podejmowanie decyzji przez jego inwestorów.

17 czerwca 2016 r. haker odkrył lukę w kodzie DAO, smart kontraktu na blockchainie Ethereum. Dzięki temu atakujący mógł wielokrotnie żądać, aby kontrakt przekazał mu środki z powrotem, co doprowadziło do kradzieży 3,6 mln ETH, wartych wówczas około 70 mln dolarów. Kradzież była możliwa dzięki dwóm problemom z projektem kontraktu: brakiem uwzględnienia możliwości wywołań rekurencyjnych oraz procesem, który najpierw wysyłał ETH, a następnie aktualizował wewnętrzne saldo tokenów.

Atak smart kontraktu DAO wywołał duże kontrowersje wśród użytkowników Ethereum, a szkody dla reputacji DAO zostały spotęgowane, gdy giełdy kryptowalutowe Poloniex i Kraken wycofały tokeny DAO w miesiącach następujących po hakach.

Zhackowanie Veritaseum

Veritaseum to kryptowaluta, która została uruchomiona w 2017 roku. W kwietniu 2018 roku Veritaseum doznało hakowania, które spowodowało utratę kryptowaluty o wartości około 8,4 miliona dolarów.

Hack nastąpił z powodu luki w smart kontrakcie, który kierował kryptowalutą Veritaseum. Niedopatrzenie umożliwiło atakującemu opróżnienie funduszy z smart kontraktu Veritaseum poprzez wykonanie ataku reentrancji, dzięki któremu możliwe było wielokrotne wywoływanie funkcji na kontrakcie, zanim jego stan został zaktualizowany, umożliwiając atakującemu opróżnienie funduszy.

Hack Veritaseum był przypomnieniem znaczenia właściwego zabezpieczenia smart kontraktów i potencjalnego ryzyka związanego z ich wykorzystaniem. Podkreśliło to również potrzebę solidnego testowania i audytowania smart kontraktów w celu zapewnienia, że są one bezpieczne i wolne od luk.

Zhackowanie Bancor

Sieć Bancor to zdecentralizowana giełda zbudowana na blockchainie Ethereum, która pozwala użytkownikom kupować i sprzedawać różne kryptowaluty. W lipcu 2018 roku sieć Bancor została zhakowana, co spowodowało utratę kryptowalut o wartości około 12 milionów dolarów.

Atak został przeprowadzony poprzez wykorzystanie luki w smart kontrakcie, który zarządzał siecią Bancor. Luka pozwoliła atakującemu na przejęcie kontroli nad kontraktem i odprowadzenie z niego środków. Naszczęście zespół Bancor był w stanie szybko zareagować na atak i wstrzymać handel na platformie, aby zapobiec dalszym stratom.

Hacki w DEFI

Smart kontrakty są ważnym elementem projektów zdecentralizowanych finansów (DeFi), ponieważ pozwalają na zautomatyzowane, samorealizujące się transakcje i procesy finansowe. Są one wykorzystywane do ułatwienia, weryfikacji i egzekwowania negocjacji lub wykonania umowy.

Bezpieczeństwo smart kontraktów jest szczególnie istotne w projektach DeFi, ponieważ smart kontrakty obsługują znaczne kwoty wartości i mogą być wykorzystywane do ułatwienia szerokiego zakresu transakcji finansowych. Jeśli smart kontrakt nie jest odpowiednio zabezpieczony, może zostać wykorzystany przez napastników, którzy mogą wykorzystać luki w kontrakcie do wyprowadzenia z niego środków lub manipulować kontraktem w inny sposób. Może to spowodować znaczne straty dla użytkowników projektu DeFi oraz zaszkodzić wiarygodności i rzetelności projektu.

Zhackowanie bZx

BZx to zdecentralizowany protokół finansowy (DeFi), który pozwala użytkownikom pożyczać kryptowaluty za pomocą smart kontraktów. W lutym 2020 roku bZx doznał dwóch oddzielnych hacków, które wykorzystały luki w swoich smart kontraktach.

Pierwsze włamanie miało miejsce 14 lutego 2020 r., wtedy zostały ukradzione około 6 milionów dolarów kryptowaluty. Drugie włamanie miało miejsce 18 lutego 2020 r., wtedy natomiast zostało skradzione dodatkowe 350 000 USD. Haki bZx były wynikiem luk w smart kontraktach bZx, które pozwoliły atakującym wykorzystać kontrakty i wyprowadzić z nich środki.

Zhackowanie Harvest Finance

Harvest Finance to zdecentralizowany protokół finansowy (DeFi), który pozwala użytkownikom zarabiać na dochodach poprzez zapewnienie płynności na różnych rynkach finansowych. W październiku 2020 roku, miał miejsce atak na ten protokół, została wtedy wykorzystana luka w smart kontrakcie Harvest Finance, aby ukraść kryptowalutę o wartości około 24 milionów dolarów.

Luka w smart kontrakcie pozwoliła atakującemu na manipulowanie kontraktem w sposób, który umożliwił mu na wyprowadzenie z niego środków bez uruchamiania zabezpieczeń kontraktu. Hack został odkryty kilka godzin po jego wystąpieniu, a zespół Harvest Finance był w stanie wstrzymać handel na platformie, aby zapobiec dalszym stratom.

Zhackowanie Akropolis

12 listopada 2020 r. platforma Akropolis (DeFi) doświadczyła ataku, w którym błąd w protokole doprowadził do utraty około 2 030 841,0177 DAI z dotkniętych puli YCurve i sUSD. Problem powstał z powodu błędu w obsłudze logiki depozytu w smart kontrakcie platformy SavingsModule, co pozwoliło atakującemu na wybicie dużej liczby tokenów puli bez wsparcia wartościowych aktywów. Doszło do tego, ponieważ protokół nie zdołał prawidłowo zwalidować obsługiwanych tokenów i wymusić ochrony reentrancji na logice depozytu. Włamanie spowodowało znaczne zakłócenia i przede wszystkim straty dla użytkowników platformy Akropolis.

Wnioski

Znaczenie właściwego zabezpieczenia smart kontraktów jest nie do ocenienia. Smart kontrakty obsługują znaczne ilości wartości i mogą być wykorzystywane do ułatwienia szerokiego zakresu transakcji finansowych. Jeśli jednak kontrakt nie jest odpowiednio zabezpieczony, może to spowodować duże straty dla użytkowników i zaszkodzić wiarygodności oraz rzetelności projektu.

Dlatego tak ważne jest, aby smart kontrakty były dokładnie testowane i audytowane. Testowanie i audytowanie pomaga zapewnić, że smart kontrakty są bezpieczne i wolne od luk. Jest to kluczowy krok w procesie rozwoju i może pomóc w zapobieganiu incydentom bezpieczeństwa i zapewnić płynne działanie projektów opartych na technologii blockchain.

Most viewed


Never miss a story

Stay updated about Nextrope news as it happens.

You are subscribed

Co to jest Account Abstraction?

Karolina

10 lis 2023
Co to jest Account Abstraction?

Account abstraction (dosłownie "abstrakcja konta") to nowy sposób myślenia o tym, jak użytkownicy wchodzą w interakcję z blockchainami. Zamiast korzystać z tradycyjnych kont zewnętrznych (EOA), account abstraction pozwala użytkownikom tworzyć i zarządzać swoimi kontami za pomocą smart kontraktów. Ma to wiele potencjalnych korzyści, w tym zwiększone bezpieczeństwo, zwiększoną prywatność i większą elastyczność.

Mini - słowniczek

Co to jest Account Abstraction?

Account Abstraction to koncepcja, która w swej istocie ma na celu uproszczenie interakcji użytkownika z sieciami blockchain. Jest to podejście transformacyjne, które ma na celu ukrycie technicznych aspektów operacji blockchain przed użytkownikami końcowymi. Dzięki temu transakcje stają się tak proste, jak wysłanie wiadomości e-mail. Account Abstr. pozwala użytkownikom na interakcję z blockchainem bez martwienia się o szczegóły techniczne.

Czym różni się Account Abstraction od tradycyjnego sposobu?

W tradycyjnym modelu konta każdy użytkownik posiada EOA. EOA są kontrolowane przez klucze prywatne, które muszą być utrzymywane w tajemnicy w celu ochrony środków użytkownika. Abstrakcja kont pozwala użytkownikom tworzyć konta i zarządzać nimi za pomocą smart kontraktów.

Kontekst Historyczny

Podróż w kierunku abstrakcji kont rozpoczęła się wraz z pierwszą generacją technologii blockchain, charakteryzujących się "uniwersalnym" podejściem do zarządzania kontami. Bitcoin, na przykład, wprowadził koncepcję kont i transakcji w formie, która była dostępna dla osób obeznanych z technologią, ale pozostawała kłopotliwa dla laików. Ethereum rozszerzyło to, wprowadzając smart kontrakty, które otworzyły drzwi do programowalnych transakcji, ale nie zmieniły podstawowej struktury konta. Pomysł abstrakcji konta był omawiany w społeczności Ethereum od kilku lat jako część różnych propozycji ulepszeń Ethereum (EIP), w szczególności jako funkcja, która może zostać potencjalnie wdrożona w Ethereum 2.0. Jest to bezpośrednia odpowiedź na potrzebę bardziej wszechstronnego i zorientowanego na użytkownika projektu, który może zaspokoić szerszą publiczność i pobudzić powszechne przyjęcie technologii blockchain.

Aspekty Techniczne Account Abstraction

Abstrakcja konta nie jest jedynie teoretyczną konstrukcją, ale innowacją techniczną z określonymi mechanizmami leżącymi u podstaw jej działania. Zasadniczo zmienia ona sposób, w jaki transakcje są inicjowane i wykonywane w sieci blockchain.

Jak działa Account Abstraction?

W tradycyjnych modelach blockchain inicjowanie transakcji polega na podpisaniu transakcji przez konto zewnętrzne (EOA) za pomocą klucza prywatnego. Transakcja ta jest następnie transmitowana do sieci w celu walidacji i włączenia do łańcucha bloków. Abstrakcja kont zastępuje jednak ten proces bardziej elastycznym. Tutaj każde konto jest smart kontraktem, a transakcje są wiadomościami wysyłanymi za pośrednictwem tych kontraktów. Te smart kontrakty mogą kodować złożone zasady walidacji transakcji, wykraczające poza to, co mogą zrobić EOA, takie jak wymagania dotyczące wielu podpisów lub transakcje warunkowe oparte na określonych wyzwalaczach.

Techniczne sedno abstrakcji kont leży w zdolności smart kontraktu do definiowania własnych warunków realizacji transakcji. Oznacza to, że konta użytkowników mogą mieć unikalne protokoły bezpieczeństwa lub zautomatyzowane operacje bez konieczności rozumienia przez użytkownika bazowego kodu smart kontraktu.

Jesteś zainteresowany najnowszymi technologiami w obszarze blockchain? Koniecznie przeczytaj artykuł "Top Zero-Knowledge Proof Projects to watch in 2023".

Zalety Account Abstraction

Konsekwencje abstrakcji kont są głębokie, oferując szereg korzyści, które mogą poprawić wrażenia z korzystania z blockchain zarówno dla użytkowników, jak i programistów.

Lepszy UX

Jedną z najważniejszych zalet abstrakcji kont jest poprawa doświadczenia użytkownika. Abstrahując od złożoności zarządzania kluczami i regułami transakcji, zapewnia bardziej intuicyjny interfejs dla użytkowników.

Ulepszone funkcje bezpieczeństwa

Abstrakcja kont pozwala również na wdrożenie zaawansowanych środków bezpieczeństwa. Ponieważ każde konto może zdefiniować własną logikę, użytkownicy mogą dostosować ustawienia zabezpieczeń do swoich konkretnych potrzeb. Na przykład, można skonfigurować konto, które wymaga dodatkowej weryfikacji dla transakcji przekraczających określoną wartość lub ogranicza wypłaty do określonych adresów.

Przyszłe implikacje

Przyszłe implikacje abstrakcji kont są ogromne. W miarę dojrzewania technologii, może ona stać się standardową cechą sieci blockchain, potencjalnie czyniąc obecne rozróżnienie między kontami użytkowników a smart kontraktami nieaktualnym. Może to doprowadzić do nowej fali aplikacji blockchain, które są zarówno potężne, jak i dostępne, przybliżając nas do wizji technologii blockchain jako płynnej części codziennego życia.

Wyzwania

Ograniczenia techniczne

Jednym z głównych wyzwań technicznych abstrakcji konta jest jej integracja z istniejącymi protokołami blockchain. Obecne sieci są zoptymalizowane pod kątem modelu EOA, a wprowadzenie nowej struktury konta wymaga znaczących zmian w podstawowym protokole. Obejmuje to modyfikacje sposobu propagacji transakcji w sieci, sposobu obliczania opłat za gaz oraz zarządzania stanem łańcucha bloków. Zapewnienie, że zmiany te nie wpłyną negatywnie na wydajność lub bezpieczeństwo sieci, wymaga starannego planowania i szeroko zakrojonych testów.

Kompatybilność z obecnymi systemami

Kolejną kwestią jest kompatybilność konta abstr. z rozległym ekosystemem istniejących aplikacji i usług blockchain. Portfele, giełdy i inne usługi zostały zbudowane wokół tradycyjnego modelu konta. Przejście na model abstrakcji konta będzie wymagało od tych usług aktualizacji infrastruktury, co może być złożonym i zasobochłonnym procesem. Ponadto istnieje potrzeba standaryzacji w całej branży, aby zapewnić, że różne implementacje abstrakcji konta mogą ze sobą płynnie współpracować.

Podsumowanie

Abstrakcja konta stanowi znaczący krok naprzód w dążeniu do bardziej przyjaznego dla użytkownika doświadczenia blockchain. Usprawniając proces transakcji i oferując ulepszone funkcje bezpieczeństwa, acc abstraction ma potencjał, aby uczynić technologię blockchain bardziej dostępną dla szerszego grona odbiorców. Jednak droga do szerokiego

Key Takeaways

Najlepsze projekty na Arbitrum w 2023

Karolina

02 paź 2023
Najlepsze projekty na Arbitrum w 2023

Sfera blockchain i kryptowalut jest świadkiem nieustającej fali innowacji. Wśród tych postępów, rozwiązania skalowania warstwy 2 okazały się być przełomowe, szczególnie dla Ethereum. Jednym z takich rozwiązań warstwy 2, które przyciągnęło ogromną uwagę, jest Arbitrum. Dzięki swojej zdolności do ułatwiania skalowalnych inteligentnych kontraktów, stało się ono hotspotem dla nowatorskich projektów kryptowalutowych. W tym artykule omówimy 5 najlepszych projektów kryptowalutowych na Arbitrum w 2023 r., które kształtują przyszłość zdecentralizowanego świata.

Dlaczego projekty na Arbitrum?

Zanim zagłębimy się w listę, ważne jest, aby zrozumieć, co sprawia, że Arbitrum jest atrakcyjną platformą dla programistów i innowatorów.

Skalowalność. Arbitrum znacznie zwiększa przepustowość sieci Ethereum. Pozwala to projektom działać wydajniej i obsługiwać większe wolumeny transakcji.

Kompatybilność. Oferuje płynną kompatybilność z Ethereum, co oznacza, że programiści mogą korzystać z istniejących narzędzi i aplikacji bez większych modyfikacji.

Bezpieczeństwo. Dziedzicząc model bezpieczeństwa Ethereum, Arbitrum zapewnia, że projekty na nim zbudowane są tak samo bezpieczne, jak te na samym Ethereum.

Obniżone opłaty za gaz. Użytkownicy i deweloperzy mogą czerpać korzyści ze zmniejszonych kosztów transakcji, dzięki czemu wdrażanie i interakcja z aplikacjami są bardziej opłacalne.

Najlepsze projekty na Arbitrum w 2023

Podczas odkrywania świata Arbitrum, niektóre projekty wyraźnie wybiły się ponad resztę. Niezależnie od tego, czy chodzi o innowacyjne rozwiązania, zaangażowanie użytkowników czy czystą użyteczność, są to nazwy, które nadają ton przyszłości.

GMX

GMX jest zdecentralizowaną, wieczystą giełdą, która jest głęboko zintegrowana z ekosystemem Arbitrum. Umożliwia ona bezproblemowy handel on-chain dla kilkunastu tokenów, takich jak BTC, ETH, AVAX i UNI. Dzięki błyskawicznemu wzrostowi, GMX jest obecnie najczęściej używaną giełdą DeFi na Arbitrum.

ZyberSwap (ZYB)

Zbudowany na blockchainie Arbitrum, ZyberSwap jest zdecentralizowaną giełdą (DEX), która posiada automatycznego animatora rynku (AMM) i oferuje niskie opłaty za wymianę aktywów kryptograficznych. Jest znana z zapewniania jednych z najbardziej kuszących nagród w całej sieci Arbitrum za staking i yield farming, co czyni ją popularnym wyborem wśród użytkowników DeFi. Platforma jest w całości poświęcona decentralizacji i aktywnemu udziałowi społeczności, a wszystkie istotne zmiany są określane w drodze głosowania zarządczego.

Jeśli chodzi o dystrybucję tokenów, ZyberSwap zdecydował się na uczciwą strategię uruchamiania, aby zapewnić wszystkim użytkownikom równe szanse na uzyskanie tokenów. Ponadto platforma została poddana rygorystycznemu audytowi bezpieczeństwa i jest obsługiwana przez Solidproof. Ta relacja nie tylko zapewnia dostęp do ich wiedzy specjalistycznej, ale także korzysta z bezpłatnych procedur audytu i KYC dla nowych projektów. Podsumowując, ZyberSwap to bezpieczny i zorientowany na użytkownika DEX, który przeciera szlaki w szybko rozwijającym się ekosystemie Arbitrum.

VELA Exchange

Vela Exchange, wysokiej jakości zdecentralizowana giełda na Arbitrum, zapewnia profesjonalną platformę handlową obsługującą wiele kryptowalut. Platforma została stworzona przy użyciu Dexpools, zdecentralizowanego systemu handlu OTC opartego na puli płynności.

Wraz z niedawnym ogłoszeniem wersji Beta, Vela Exchange zyskała na popularności na Arbitrum, osiągając łączny wolumen transakcji w wysokości około 5 miliardów USD. Co imponujące, giełda przyczyniła się do ponad 10% aktywności Layer 2 w łańcuchu. Pokazuje to zaangażowanie i zaufanie społeczności do tej wieczystej wymiany.

Vela zapewnia giełdę, na której klienci mogą ustanawiać pozycje handlowe na aktywach syntetycznych z dźwignią do 100x. Platforma obejmuje stablecoina wspieranego przez USDC.

Camelot

Ze względu na skoncentrowane na ekosystemie i kierowane przez społeczność podejście do zdecentralizowanej wymiany (DEX) i zapewniania płynności, Camelot (GRAIL) jest jednym z najbardziej obiecujących projektów na Arbitrum w 2023 roku. Koncentrując się na komponowalności, Camelot oferuje wysoce wydajną i konfigurowalną platformę z dostosowanym podejściem. Camelot, bogaty w funkcje AMM, oferuje konfiguracje puli unikalnie dostosowane do konkretnych par handlowych. Wdrażając nowe podejście do płynności przy użyciu niezamiennych pozycji stakowanych, dodaje dodatkową warstwę do tradycyjnych tokenów LP i zapewnia więcej korzyści użytkownikom i protokołom.

Bezzezwoleniowy charakter Camelot umożliwia projektom bezpośrednie angażowanie się w protokół, bez konieczności zatwierdzania lub ingerencji ze strony zespołu. Zapewnia to pełną kontrolę nad motywowaniem i zarządzaniem płynnością. Podwójny system tokenów składający się z natywnego płynnego tokena GRAIL i niezbywalnego tokena zarządzania xGRAIL przyczynia się do solidnej kontroli nad przepływem podaży na rynku. Promują one długoterminową stabilność.

Radiant

Radiant Capital, platforma oparta na protokole pożyczkowym Arbitrum, ma na celu przekształcenie się w międzyłańcuchową platformę pożyczkową. Pozwoli to użytkownikom na interakcję z różnymi blockchainami podczas pożyczania i udzielania pożyczek na jednej platformie.

W każdej głównej sieci użytkownicy mogą deponować główne aktywa i pożyczać różnorodne aktywa obsługiwane przez wiele łańcuchów. Głównym celem Radiant jest konsolidacja rozdrobnionej płynności rozproszonej obecnie w 10 największych alternatywnych warstwach.

Obecnie posiadając najwyższy TVL na Arbitrum, Radiant Capital pozycjonuje się jako wiodąca platforma pożyczkowa.

Podsumowanie - Projekty na Arbitrum

Trajektoria wzrostu Arbitrum jest imponująca. Wraz z rosnącym ekosystemem projektów ustanawiających swoją obecność na tym rozwiązaniu warstwy 2, przyszłość wydaje się obiecująca. Wspomniane wyżej projekty to tylko wierzchołek góry lodowej, reprezentujący niewielki ułamek potencjału. Wraz z rozwojem sfery zdecentralizowanych rozwiązań, będą pojawiać się innowacje i możliwości na platformach takich jak Arbitrum.