Maika Isogawa
Maika Isogawa
CETUS-9,38%
SUI-6,94%
🚨 HACKI BLOCKCHAIN: PRZEGLĄD 🚨 TYGODNIA W tym tygodniu wydrenowano ponad 12 milionów dolarów. Znów. Te same błędy, te same awarie, te same nagłówki. Oto 10 najczęściej powtarzających się wektorów ataków, z których wciąż nie wyciągnęliśmy wniosków, i co sprawiło, że @Corkprotocol się hakerem tygodnia. 🧵
1/ Exploit z @Corkprotocol nie był wyszukany. Po prostu klasyczny łańcuch zabójstw zawierający: 🛑 Niewystarczająca kontrola dostępu do funkcji 🎯 Manipulacja wyrocznią cenową 💰 Manipulacja nagrodą To 3 podręcznikowe błędy i 12 milionów dolarów zniknęło.
To nie są zero-day. Są one znane, możliwe do uniknięcia i udokumentowane. Nadal uważamy, że "audyt smart kontraktów" = bezpieczeństwo. Spoiler: nie.
Porozmawiajmy o manipulacji nagrodą. Dzieje się tak, gdy atakujący wydobywa opłaty/zyski/emisje bez ryzyka lub rzeczywistej wartości. Twój protokół zostaje wyhodowany. Przegrywasz. 🔥 Widzieć: Abrakadabra (13 mln dolarów) @picklefinance (19,7 mln dolarów) @eulerfinance (197 mln dolarów)
Jest też podręcznik manipulacji cenami przez Wyrocznię. Nadal działa w 2025 roku. Wciąż rujnuje DeFi. Jeśli twoja wyrocznia opiera się na cienkiej płynności, już straciłeś. @chainlink też nie jest odporny (patrz likwidacja deUSD o wartości 500 tys. USD w tym tygodniu)
Błędy kontroli dostępu Jedna z najnudniejszych, podstawowych i częstszych awarii. Brak onlyOwner, niezaznaczone wywołania funkcji, niewłaściwe zarządzanie rolą. i witaj ponownie, Integer Overflow. Tak, błąd, który myśleliśmy, że zostawiliśmy w 2018 roku, powrócił dzięki @CetusProtocol na @SuiNetwork. 260 milionów dolarów, przepadło. Bo ktoś nie sprawdził swojej matematyki.
Nowy wpis w rankingu: Ataki na łańcuch dostaw Pomyśl o wibracjach Web2: - Zainfekowane pakiety NPM - Skompromitowane narzędzia do budowania - Exploity potoku CI/CD Metodyka DevSecOps nie jest już opcjonalna. Skontroluj cały swój stos lub ciesz się dywanem.
Bezpieczeństwo nie ogranicza się tylko do łańcucha. To Twój punkt końcowy. To twoja infra. To Twoje kluczowe zarządzanie. Skradzione klucze prywatne nadal przodują na listach przebojów. A żaden audyt nie uchroni Cię przed niechlujnymi operacjami.
Łańcuchy bloków nie są zepsute. Jesteśmy. Co tydzień te same błędy. Te same straty. Te same sekcje zwłok. Sezon na dywany kończy się, gdy przestrzeń rośnie.
🧠 Chcesz uzyskać więcej wątków na temat exploitów DeFi, ryzyka inteligentnych kontraktów i trendów w zakresie bezpieczeństwa blockchain? 👉 Śledź @maikaisogawa, aby uzyskać więcej informacji
Maika Isogawa
Maika Isogawa
🚨 HACKI BLOCKCHAIN: PRZEGLĄD 🚨 TYGODNIA W tym tygodniu wydrenowano ponad 12 milionów dolarów. Znów. Te same błędy, te same awarie, te same nagłówki. Oto 10 najczęściej powtarzających się wektorów ataków, z których wciąż nie wyciągnęliśmy wniosków, i co sprawiło, że @Corkprotocol się hakerem tygodnia. 🧵
Pokaż oryginał
Pozyskano ztwitter
10,45 tys.
1
Treści na tej stronie są dostarczane przez strony trzecie. O ile nie zaznaczono inaczej, OKX nie jest autorem cytowanych artykułów i nie rości sobie żadnych praw autorskich do tych materiałów. Treść jest dostarczana wyłącznie w celach informacyjnych i nie reprezentuje poglądów OKX. Nie mają one na celu jakiejkolwiek rekomendacji i nie powinny być traktowane jako porada inwestycyjna lub zachęta do zakupu lub sprzedaży aktywów cyfrowych. Treści, w zakresie w jakim jest wykorzystywana generatywna sztuczna inteligencja do dostarczania podsumowań lub innych informacji, mogą być niedokładne lub niespójne. Przeczytaj podlinkowany artykuł, aby uzyskać więcej szczegółów i informacji. OKX nie ponosi odpowiedzialności za treści hostowane na stronach osób trzecich. Posiadanie aktywów cyfrowych, w tym stablecoinów i NFT, wiąże się z wysokim stopniem ryzyka i może podlegać znacznym wahaniom. Musisz dokładnie rozważyć, czy handel lub posiadanie aktywów cyfrowych jest dla Ciebie odpowiednie w świetle Twojej sytuacji finansowej.