Analiza SlowMist dotycząca exploita Aztec Connect pokazuje długoterminowe zagrożenia bezpieczeństwa wynikające z przestarzałych i niezmienialnych inteligentnych kontraktów.
Często zadawane pytania
Poniżej znajduje się lista najczęściej zadawanych pytań dotyczących exploita Aztec Legacy oraz długoterminowych zagrożeń związanych z używaniem przestarzałych kontraktów kryptowalutowych.
Pytania dla początkujących
1. Czym dokładnie był exploit Aztec Legacy?
Było to naruszenie bezpieczeństwa, w którym hakerzy znaleźli i wykorzystali lukę w starej, przestarzałej wersji inteligentnych kontraktów protokołu Aztec. Pozwoliło im to na kradzież środków użytkowników.
2. Dlaczego ma to znaczenie dla mnie, jeśli nie używam Aztec?
Ma znaczenie, ponieważ jest to klasyczna historia ostrzegawcza. Pokazuje, że każdy projekt kryptowalutowy, który przestaje aktualizować swój kod, jest tykającą bombą zegarową. Jeśli posiadasz tokeny w projekcie, który nie był utrzymywany, twoje pieniądze są zagrożone.
3. Co oznacza "przestarzałe kontrakty kryptowalutowe"?
Oznacza to, że kod komputerowy kontrolujący działanie aplikacji kryptowalutowej jest stary. Nie został załatany najnowszymi poprawkami bezpieczeństwa, podobnie jak uruchamianie starej wersji systemu Windows, do której hakerzy wiedzą, jak się włamać.
4. Jak dochodzi do exploita lata po napisaniu kontraktu?
Hakerzy z czasem stają się mądrzejsi. Błąd, który był nieznany w momencie pisania kontraktu, może zostać odkryty lata później. Jeśli kontrakt jest zamrożony, projekt nie może naprawić tego nowego błędu, więc hakerzy mogą go wykorzystać.
5. Jeśli projekt jest zdecentralizowany, czy kod nie powinien być bezpieczny na zawsze?
Nie. Decentralizacja oznacza, że nikt go nie kontroluje, ale nie oznacza, że kod jest doskonały. Błędy są jak pęknięcia w ścianie – istnieją niezależnie od tego, czy jest centralny organ. Jeśli nikomu nie wolno naprawiać tych pęknięć, ściana w końcu się zawali.
Pytania dla średniozaawansowanych
6. Jaki konkretny typ podatności był celem exploita Aztec?
Exploit zazwyczaj celował w lukę w sposobie, w jaki kontrakt obsługiwał dowody wiedzy zerowej. Przestarzały kod nie weryfikował prawidłowo tych dowodów, co pozwalało hakerowi oszukać system, aby zwolnił środki, których nie powinien.
7. Czy exploit może wystąpić, jeśli kontrakt jest zweryfikowany na Etherscan?
Tak. Zweryfikowany oznacza tylko, że kod na Etherscan jest zgodny z kodem działającym na blockchainie. Nie