Maika Isogawa
Maika Isogawa
CETUS-6,92 %
SUI+1,14 %
🚨 BLOCKCHAINOVÉ HACKY: TÝDENNÍ REKAPITULACE 🚨 Tento týden bylo vyčerpáno více než 12 milionů dolarů. Znovu. Stejné chyby, stejná selhání, stejné titulky. Zde je 10 nejčastějších vektorů útoku, ze kterých jsme se stále nepoučili, a co z @Corkprotocol udělalo hack týdne. 🧵
1/ Exploit @Corkprotocol nebyl nijak vymyšlený. Jen klasický kill chain obsahující: 🛑 Nedostatečné řízení přístupu k funkcím 🎯 Manipulace s cenovým orákulem 💰 Manipulace s odměnami To jsou 3 učebnicové chyby a 12 milionů dolarů pryč.
Tohle nejsou nulté dny. Ty jsou známé, lze se jim vyhnout a které jsou zdokumentovány. Stále si myslíme, že "audit chytrých kontraktů" = bezpečnost. Spoiler: není.
Promluvme si o manipulaci s odměnami. Je to situace, kdy útočník extrahuje poplatky/výnos/emise bez rizika nebo skutečné hodnoty. Váš protokol bude farmován. Prohráváš. 🔥 Vidět: Abrakadabra (13 milionů dolarů) @picklefinance (19,7 mil. $) @eulerfinance (197 milionů dolarů)
Pak je tu příručka manipulace s cenovými věštci. Stále funguje v roce 2025. Stále ničí DeFi. Pokud se vaše orákulum spoléhá na řídkou likviditu, již jste prohráli. @chainlink také není imunní (viz likvidace deUSD za 500 tisíc dolarů tento týden)
Selhání řízení přístupu Jedno z nejnudnějších, nejzákladnějších a nejčastějších selhání. Chybí onlyOwner, nezaškrtnutá volání funkcí, špatné řízení rolí. a vítejte zpět, Integer Overflow. Ano, chyba, o které jsme si mysleli, že jsme ji zanechali v roce 2018, je zpět díky @CetusProtocol na @SuiNetwork. 260 milionů dolarů, pryč. Protože si někdo nezkontroloval matematiku.
Nový záznam v žebříčku: Útoky na dodavatelské řetězce Myslete na vibrace Web2: - Infikované balíčky NPM - Kompromitované nástroje pro sestavení - Zneužití kanálu CI/CD DevSecOps už není volitelný. Auditujte celý svůj stack nebo si užijte koberec.
Zabezpečení není jen v řetězci. Je to váš koncový bod. Je to vaše infra. Je to vaše správa klíčů. Ukradené soukromé klíče stále vedou žebříčky. A žádný audit vás nemůže zachránit před nedbalými operacemi.
Blockchainy nejsou rozbité. Jsme. Každý týden se objevují stejné chyby. Stejné ztráty. Stejné pitvy. Sezóna koberců končí, když prostor vyroste.
🧠 Chcete další vlákna o zneužití DeFi, riziku chytrých kontraktů a trendech zabezpečení blockchainu? 👉 Sledujte @maikaisogawa pro více informací
Maika Isogawa
Maika Isogawa
🚨 BLOCKCHAINOVÉ HACKY: TÝDENNÍ REKAPITULACE 🚨 Tento týden bylo vyčerpáno více než 12 milionů dolarů. Znovu. Stejné chyby, stejná selhání, stejné titulky. Zde je 10 nejčastějších vektorů útoku, ze kterých jsme se stále nepoučili, a co z @Corkprotocol udělalo hack týdne. 🧵
Zobrazit originál
Zdrojem jetwitter
1
8,85 tis.
Obsah na této stránce poskytují třetí strany. Není-li uvedeno jinak, společnost OKX není autorem těchto informací a nenárokuje si u těchto materiálů žádná autorská práva. Obsah je poskytován pouze pro informativní účely a nevyjadřuje názory společnosti OKX. Nejedná se o doporučení jakéhokoli druhu a nemělo by být považováno za investiční poradenství ani nabádání k nákupu nebo prodeji digitálních aktiv. Tam, kde se k poskytování souhrnů a dalších informací používá generativní AI, může být vygenerovaný obsah nepřesný nebo nekonzistentní. Další podrobnosti a informace naleznete v připojeném článku. Společnost OKX neodpovídá za obsah, jehož hostitelem jsou externí weby. Držená digitální aktiva, včetně stablecoinů a tokenů NFT, zahrnují vysokou míru rizika a mohou značně kolísat. Měli byste pečlivě zvážit, zde je pro vás obchodování s digitálními aktivy nebo jejich držení vhodné z hlediska vaší finanční situace.