Анализ на SlowMist на експлойта на Aztec Connect показва дългосрочните рискове за сигурността, произтичащи от остарели и непроменяеми умни договори.
Често задавани въпроси
Ето списък с често задавани въпроси относно експлойта на Aztec Legacy и дългосрочните рискове от използването на остарели крипто договори.
Въпроси за начинаещи
1. Какво точно представляваше експлойтът на Aztec Legacy?
Това беше пробив в сигурността, при който хакери откриха и използваха недостатък в стара, остаряла версия на умните договори на протокола Aztec. Това им позволи да откраднат средства на потребители.
2. Защо това е от значение за мен, ако не използвам Aztec?
Има значение, защото е класическа предупредителна история. Показва, че всеки крипто проект, който спре да актуализира кода си, е тиктакаща бомба. Ако държите токени в проект, който не се поддържа, парите ви са изложени на риск.
3. Какво означава остарели крипто договори?
Това означава, че компютърният код, който контролира как работи едно крипто приложение, е стар. Той не е бил пачван с най-новите корекции за сигурност, подобно на използването на стара версия на Windows, в която хакерите знаят как да проникнат.
4. Как се случва такъв експлойт години след написването на договора?
Хакерите стават по-умни с времето. Бъг, който е бил неизвестен, когато договорът е бил написан, може да бъде открит години по-късно. Ако договорът е замразен, проектът не може да поправи този нов бъг, така че хакерите могат да го използват.
5. Ако един проект е децентрализиран, не трябва ли кодът да е безопасен завинаги?
Не. Децентрализацията означава, че никой един човек не го контролира, но не означава, че кодът е перфектен. Бъговете са като пукнатини в стената – те съществуват независимо дали има централен орган. Ако на никого не е позволено да запълни тези пукнатини, стената в крайна сметка ще се счупи.
Въпроси за средно напреднали
6. Към какъв конкретен тип уязвимост беше насочен експлойтът на Aztec?
Експлойтът обикновено беше насочен към недостатък в начина, по който договорът обработваше доказателства с нулево знание. Остарелият код не проверяваше правилно тези доказателства, което позволяваше на хакера да заблуди системата да освободи средства, които не трябваше да освобождава.
7. Може ли да се случи експлойт, ако договорът е верифициран в Etherscan?
Да. Верифициран означава само, че кодът в Etherscan съвпада с кода, който работи в блокчейна. Това не