seguridad del activo on-chain: cómo evitar pérdidas significativas causadas por errores humanos
Con el auge de aplicaciones de blockchain como las finanzas descentralizadas y los NFT, los activos de los usuarios están gradualmente trasladándose de plataformas centralizadas a servicios on-chain como carteras descentralizadas, puentes entre cadenas y productos de préstamos. Sin embargo, esta tendencia también ha venido acompañada de frecuentes ataques de hackers y robos de activos, lo que ha llevado a que las redes de blockchain sean a menudo apodadas "máquinas de retirar dinero de hackers".
En estos incidentes de seguridad, una parte considerable fue causada por vulnerabilidades en el código, pero también hay muchos que son el resultado de factores humanos. El 20 de septiembre, un conocido creador de mercado de criptomonedas sufrió el robo de 160 millones de dólares en activos, que es un caso típico de error humano.
La pérdida de 160 millones de dólares se debe a un error en la optimización de las tarifas de Gas
Después del incidente, el fundador de la empresa de creación de mercado declaró en las redes sociales que las operaciones de comercio centralizado y de comercio fuera de bolsa de la empresa no se vieron afectadas, y que el capital restante sigue siendo el doble de la deuda. También enfatizó que la seguridad del activo de los usuarios que tienen acuerdos de creación de mercado con la empresa está garantizada. De los 90 activos que fueron atacados, solo dos tienen un valor nominal superior a 1 millón de dólares, por lo que es poco probable que se produzca una venta masiva.
La empresa de seguridad en blockchain Salus Security localizó rápidamente la dirección del hacker. El origen de los fondos de esa dirección incluye una herramienta de mezcla anónima y grandes retiros de múltiples plataformas de intercambio.
Según una plataforma de análisis de datos de blockchain, aproximadamente el 73% de los 160 millones de dólares robados eran stablecoins, el 8% era WBTC y el 6% era ETH. Los atacantes depositaron 114 millones de dólares en un intercambio descentralizado para proporcionar liquidez, convirtiéndose en el tercer mayor proveedor de liquidez de la plataforma.
La compañía de seguridad Slow Mist analiza que la razón del robo podría ser el uso de la herramienta Profanity para crear una billetera con un número atractivo (dirección que comienza con 0x0000000).
Al día siguiente, el fundador del creador de mercado confirmó que habían creado direcciones de billetera utilizando Profanity y herramientas internas en junio, con el objetivo de optimizar las tarifas de Gas en lugar de buscar números atractivos. Después de enterarse de que Profanity tenía una vulnerabilidad la semana pasada, la empresa aceleró la eliminación de las claves antiguas, pero debido a un error en la operación interna, se llamó a la función incorrecta, lo que resultó en no poder eliminar las firmas y los permisos de ejecución de las direcciones afectadas.
En cuanto a la recuperación de los fondos robados, el fundador declaró que si se devuelve el monto total, se pagará al hacker un 10%, es decir, 16 millones de dólares de recompensa.
Sobre la operación futura, el fundador enfatizó que, aunque esta vulnerabilidad se debió a un error humano interno, la empresa no despedirá empleados, no cambiará de estrategia, no recaudará fondos adicionales ni detendrá el negocio de DeFi.
Sin embargo, los datos on-chain muestran que la empresa tiene una deuda DeFi de más de 200 millones de dólares con varios contrapartes. La mayor es un préstamo de 92 millones de dólares en USDT que vence el 15 de octubre, además de otros 75 millones de dólares y 22.4 millones de dólares en deudas.
Si los fondos robados no se pueden recuperar a tiempo, la empresa podría enfrentar el riesgo de una crisis de deuda.
Historia que se repite: Se perdieron 20 millones de tokens debido a un error humano
Es importante destacar que esta no es la primera vez que este creador de mercado sufre pérdidas debido a un error humano. El 9 de junio de este año, mientras proporcionaba servicios de liquidez de tokens para un proyecto de Layer 2, un error de operación resultó en el robo de 20 millones de tokens.
En ese momento, el proyecto Layer 2 invitó a esta empresa de creación de mercado a proporcionar liquidez para su nuevo token emitido. El equipo del proyecto ofreció una subvención temporal de 20 millones de tokens al creador de mercado. El creador de mercado proporcionó una dirección de billetera multifi rmada en la red principal de Ethereum para recibir los tokens. Después de realizar dos transacciones de prueba y obtener confirmación, el equipo del proyecto envió los tokens restantes.
Sin embargo, los creadores de mercado proporcionan una dirección de múltiples firmas en la red principal de Ethereum, y esa dirección aún no se ha desplegado en la red Layer 2. Dado que controlar la múltiple firma de la red principal no garantiza el control de otras cadenas compatibles con EVM, los creadores de mercado descubrieron más tarde que no podían acceder a esos tokens.
Los creadores de mercado luego comenzaron a reanudar las operaciones, intentando desplegar el contrato multi-firma L1 en la misma dirección en L2. Pero antes de que este proceso se completara, el atacante se adelantó y desplegó la multi-firma en L2, controlando así 20 millones de tokens. Posteriormente, el atacante vendió 1 millón de tokens.
Afortunadamente, al día siguiente el hacker devolvió 17 millones de tokens, y el creador de mercado se comprometió a reembolsar los 2 millones restantes.
Sugerencias para la protección de la seguridad del activo personal
Dado que las instituciones han sufrido enormes pérdidas debido a errores humanos con frecuencia, los usuarios comunes deben ser especialmente cautelosos al proteger sus activos personales. A continuación, se presentan algunas recomendaciones importantes:
Evitar el uso de herramientas de terceros para crear una billetera
Además de las billeteras de criptomonedas nativas, no utilices otras herramientas de terceros para crear billeteras. Las herramientas de terceros pueden tener el riesgo de monitorear los registros de los usuarios y actuar de mala fe a bajo costo. Por ejemplo, un agregador de DEX advirtió que las direcciones de Ethereum creadas con Profanity tienen vulnerabilidades de seguridad, lo que puede llevar al robo de activos.
Considerar habilitar múltiples firmas para la billetera principal
Aunque la firma múltiple puede no ser adecuada para el trading de alta frecuencia, habilitar la firma múltiple para las billeteras principales que almacenan grandes cantidades de activos puede reducir efectivamente el riesgo de pérdida causado por errores humanos.
No copie y pegue para guardar la clave privada
La complejidad de las claves privadas puede llevar a los usuarios a guardar sus claves mediante copiar y pegar. Sin embargo, muchas aplicaciones de terceros o complementos en el dispositivo pueden tener acceso al portapapeles, y la seguridad de la red inalámbrica también es difícil de garantizar. Incluso si no se ha sufrido un ataque temporalmente, los hackers pueden estar esperando a que se depositen más activos antes de llevar a cabo el robo.
Verifique cuidadosamente los contratos y activos autorizados al realizar operaciones on-chain.
Al utilizar productos DeFi, es imprescindible verificar si el nombre de dominio del sitio web y la dirección del contrato en el explorador de bloques son la versión oficial. Esto puede evitar que se autorice contratos maliciosos debido a un front-end comprometido o sitios de phishing.
Controlar los límites de autorización y revocar a tiempo las autorizaciones innecesarias
Aunque la autorización sin restricciones puede ser más conveniente, esto aumenta el riesgo potencial. Se recomienda establecer un límite de autorización según las necesidades de uso reales. Para los productos que ya no se utilizan, se debe revocar de inmediato la autorización para acceder a los activos.
Los principales exploradores de bloques suelen ofrecer una función de revocación de autorizaciones, los usuarios pueden revisar y limpiar regularmente las autorizaciones innecesarias.
Una vez que los activos de blockchain son robados, a menudo es difícil recuperarlos y, en muchos casos, pueden no estar protegidos por la ley. Por lo tanto, los usuarios deben mantener una alta vigilancia y tomar todas las medidas posibles para proteger su seguridad del activo al realizar operaciones on-chain.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
10 me gusta
Recompensa
10
6
Compartir
Comentar
0/400
FlashLoanKing
· 07-24 09:41
160 millones de dólares se fueron así, realmente duele.
Ver originalesResponder0
NotGonnaMakeIt
· 07-23 12:15
¿Se fue así de fácil el pequeño objetivo de 160 millones?
Ver originalesResponder0
MiningDisasterSurvivor
· 07-21 15:43
¿El capital no tiene impacto? ¿Quién no decía eso en el año 18?
Ver originalesResponder0
FomoAnxiety
· 07-21 15:43
caida a cero y a relajarse, no hay nada de qué tener miedo.
Ver originalesResponder0
retroactive_airdrop
· 07-21 15:43
Cuando te sientes nervioso al operar, es mejor relajarse y colgar un calentador de agua.
Evitar errores humanos: cómo proteger la seguridad del activo on-chain
seguridad del activo on-chain: cómo evitar pérdidas significativas causadas por errores humanos
Con el auge de aplicaciones de blockchain como las finanzas descentralizadas y los NFT, los activos de los usuarios están gradualmente trasladándose de plataformas centralizadas a servicios on-chain como carteras descentralizadas, puentes entre cadenas y productos de préstamos. Sin embargo, esta tendencia también ha venido acompañada de frecuentes ataques de hackers y robos de activos, lo que ha llevado a que las redes de blockchain sean a menudo apodadas "máquinas de retirar dinero de hackers".
En estos incidentes de seguridad, una parte considerable fue causada por vulnerabilidades en el código, pero también hay muchos que son el resultado de factores humanos. El 20 de septiembre, un conocido creador de mercado de criptomonedas sufrió el robo de 160 millones de dólares en activos, que es un caso típico de error humano.
La pérdida de 160 millones de dólares se debe a un error en la optimización de las tarifas de Gas
Después del incidente, el fundador de la empresa de creación de mercado declaró en las redes sociales que las operaciones de comercio centralizado y de comercio fuera de bolsa de la empresa no se vieron afectadas, y que el capital restante sigue siendo el doble de la deuda. También enfatizó que la seguridad del activo de los usuarios que tienen acuerdos de creación de mercado con la empresa está garantizada. De los 90 activos que fueron atacados, solo dos tienen un valor nominal superior a 1 millón de dólares, por lo que es poco probable que se produzca una venta masiva.
La empresa de seguridad en blockchain Salus Security localizó rápidamente la dirección del hacker. El origen de los fondos de esa dirección incluye una herramienta de mezcla anónima y grandes retiros de múltiples plataformas de intercambio.
Según una plataforma de análisis de datos de blockchain, aproximadamente el 73% de los 160 millones de dólares robados eran stablecoins, el 8% era WBTC y el 6% era ETH. Los atacantes depositaron 114 millones de dólares en un intercambio descentralizado para proporcionar liquidez, convirtiéndose en el tercer mayor proveedor de liquidez de la plataforma.
La compañía de seguridad Slow Mist analiza que la razón del robo podría ser el uso de la herramienta Profanity para crear una billetera con un número atractivo (dirección que comienza con 0x0000000).
Al día siguiente, el fundador del creador de mercado confirmó que habían creado direcciones de billetera utilizando Profanity y herramientas internas en junio, con el objetivo de optimizar las tarifas de Gas en lugar de buscar números atractivos. Después de enterarse de que Profanity tenía una vulnerabilidad la semana pasada, la empresa aceleró la eliminación de las claves antiguas, pero debido a un error en la operación interna, se llamó a la función incorrecta, lo que resultó en no poder eliminar las firmas y los permisos de ejecución de las direcciones afectadas.
En cuanto a la recuperación de los fondos robados, el fundador declaró que si se devuelve el monto total, se pagará al hacker un 10%, es decir, 16 millones de dólares de recompensa.
Sobre la operación futura, el fundador enfatizó que, aunque esta vulnerabilidad se debió a un error humano interno, la empresa no despedirá empleados, no cambiará de estrategia, no recaudará fondos adicionales ni detendrá el negocio de DeFi.
Sin embargo, los datos on-chain muestran que la empresa tiene una deuda DeFi de más de 200 millones de dólares con varios contrapartes. La mayor es un préstamo de 92 millones de dólares en USDT que vence el 15 de octubre, además de otros 75 millones de dólares y 22.4 millones de dólares en deudas.
Si los fondos robados no se pueden recuperar a tiempo, la empresa podría enfrentar el riesgo de una crisis de deuda.
Historia que se repite: Se perdieron 20 millones de tokens debido a un error humano
Es importante destacar que esta no es la primera vez que este creador de mercado sufre pérdidas debido a un error humano. El 9 de junio de este año, mientras proporcionaba servicios de liquidez de tokens para un proyecto de Layer 2, un error de operación resultó en el robo de 20 millones de tokens.
En ese momento, el proyecto Layer 2 invitó a esta empresa de creación de mercado a proporcionar liquidez para su nuevo token emitido. El equipo del proyecto ofreció una subvención temporal de 20 millones de tokens al creador de mercado. El creador de mercado proporcionó una dirección de billetera multifi rmada en la red principal de Ethereum para recibir los tokens. Después de realizar dos transacciones de prueba y obtener confirmación, el equipo del proyecto envió los tokens restantes.
Sin embargo, los creadores de mercado proporcionan una dirección de múltiples firmas en la red principal de Ethereum, y esa dirección aún no se ha desplegado en la red Layer 2. Dado que controlar la múltiple firma de la red principal no garantiza el control de otras cadenas compatibles con EVM, los creadores de mercado descubrieron más tarde que no podían acceder a esos tokens.
Los creadores de mercado luego comenzaron a reanudar las operaciones, intentando desplegar el contrato multi-firma L1 en la misma dirección en L2. Pero antes de que este proceso se completara, el atacante se adelantó y desplegó la multi-firma en L2, controlando así 20 millones de tokens. Posteriormente, el atacante vendió 1 millón de tokens.
Afortunadamente, al día siguiente el hacker devolvió 17 millones de tokens, y el creador de mercado se comprometió a reembolsar los 2 millones restantes.
Sugerencias para la protección de la seguridad del activo personal
Dado que las instituciones han sufrido enormes pérdidas debido a errores humanos con frecuencia, los usuarios comunes deben ser especialmente cautelosos al proteger sus activos personales. A continuación, se presentan algunas recomendaciones importantes:
Además de las billeteras de criptomonedas nativas, no utilices otras herramientas de terceros para crear billeteras. Las herramientas de terceros pueden tener el riesgo de monitorear los registros de los usuarios y actuar de mala fe a bajo costo. Por ejemplo, un agregador de DEX advirtió que las direcciones de Ethereum creadas con Profanity tienen vulnerabilidades de seguridad, lo que puede llevar al robo de activos.
Aunque la firma múltiple puede no ser adecuada para el trading de alta frecuencia, habilitar la firma múltiple para las billeteras principales que almacenan grandes cantidades de activos puede reducir efectivamente el riesgo de pérdida causado por errores humanos.
La complejidad de las claves privadas puede llevar a los usuarios a guardar sus claves mediante copiar y pegar. Sin embargo, muchas aplicaciones de terceros o complementos en el dispositivo pueden tener acceso al portapapeles, y la seguridad de la red inalámbrica también es difícil de garantizar. Incluso si no se ha sufrido un ataque temporalmente, los hackers pueden estar esperando a que se depositen más activos antes de llevar a cabo el robo.
Al utilizar productos DeFi, es imprescindible verificar si el nombre de dominio del sitio web y la dirección del contrato en el explorador de bloques son la versión oficial. Esto puede evitar que se autorice contratos maliciosos debido a un front-end comprometido o sitios de phishing.
Aunque la autorización sin restricciones puede ser más conveniente, esto aumenta el riesgo potencial. Se recomienda establecer un límite de autorización según las necesidades de uso reales. Para los productos que ya no se utilizan, se debe revocar de inmediato la autorización para acceder a los activos.
Los principales exploradores de bloques suelen ofrecer una función de revocación de autorizaciones, los usuarios pueden revisar y limpiar regularmente las autorizaciones innecesarias.
Una vez que los activos de blockchain son robados, a menudo es difícil recuperarlos y, en muchos casos, pueden no estar protegidos por la ley. Por lo tanto, los usuarios deben mantener una alta vigilancia y tomar todas las medidas posibles para proteger su seguridad del activo al realizar operaciones on-chain.