segurança do ativo na cadeia: como evitar grandes perdas causadas por erros humanos
Com o surgimento de aplicações blockchain, como finanças descentralizadas e NFTs, os ativos dos usuários estão gradualmente se movendo de plataformas centralizadas para serviços na cadeia, como carteiras descentralizadas, pontes entre cadeias e produtos de empréstimo. No entanto, essa tendência também vem acompanhada de frequentes ataques de hackers e eventos de roubo de ativos, tornando as redes blockchain frequentemente apelidadas de "máquina de saque de hackers".
Entre esses incidentes de segurança, uma parte considerável foi causada por vulnerabilidades de código, mas também há muitos que foram causados por fatores humanos. Em 20 de setembro, um conhecido criador de mercado de criptomoedas sofreu o roubo de 160 milhões de dólares em ativos, que é um caso típico de erro humano.
A perda de 160 milhões de dólares decorre de um erro na otimização das taxas de Gas.
Após o incidente, o fundador da empresa de market making afirmou nas redes sociais que os negócios de negociação centralizada e de balcão da empresa não foram afetados, e o capital restante ainda é o dobro da dívida. Ele também enfatizou que os fundos dos usuários que têm acordos de market making com a empresa estão seguros. Entre os 90 ativos atacados, apenas dois têm um valor nominal superior a 1 milhão de dólares, portanto, é pouco provável que ocorra uma venda em massa.
A empresa de segurança em blockchain Salus Security localizou rapidamente o endereço do hacker. A fonte de fundos desse endereço inclui uma ferramenta de mistura anônima e grandes retiradas de várias plataformas de negociação.
De acordo com uma plataforma de análise de dados de blockchain, cerca de 73% dos 160 milhões de dólares roubados eram stablecoins, 8% eram WBTC e 6% eram ETH. Os atacantes depositaram 114 milhões de dólares em uma certa exchange descentralizada para fornecer liquidez, tornando-se o terceiro maior fornecedor de liquidez da plataforma.
A empresa de segurança Slow Mist analisou e acredita que a razão do roubo pode ser o uso de uma carteira de número bonito criada com a ferramenta Profanity (endereço que começa com 0x0000000).
No dia seguinte, os fundadores da empresa de market making confirmaram que tinham criado endereços de carteira usando Profanity e ferramentas internas em junho, com o objetivo de otimizar os custos de Gas e não em busca de números bonitos. Após saber da vulnerabilidade do Profanity na semana passada, a empresa acelerou a descontinuação das chaves antigas, mas devido a um erro operacional interno, chamou a função errada, resultando na incapacidade de remover a assinatura e os direitos de execução dos endereços afetados.
Para a recuperação de fundos roubados, o fundador afirmou que, se o montante total for devolvido, será pago ao hacker uma recompensa de 10%, ou seja, 16 milhões de dólares.
Sobre a operação futura, o fundador enfatizou que, embora a vulnerabilidade tenha surgido de um erro humano interno, a empresa não irá despedir funcionários, mudar de estratégia, arrecadar fundos adicionais ou interromper o negócio DeFi.
No entanto, os dados na cadeia mostram que a empresa tem dívidas DeFi superiores a 200 milhões de dólares para vários contrapartes. A maior delas é um empréstimo de 92 milhões de dólares em USDT que vai vencer a 15 de outubro, além de outras dívidas de 75 milhões de dólares e 22,4 milhões de dólares.
Se os fundos roubados não puderem ser recuperados a tempo, a empresa pode enfrentar o risco de uma crise de dívida.
A História se Repete: Perda de 20 milhões de tokens devido a erro humano
É importante notar que esta não é a primeira vez que este formador de mercado sofre perdas devido a erros humanos. No dia 9 de junho deste ano, ao fornecer serviços de liquidez de tokens para um projeto Layer 2, uma falha na operação resultou no roubo de 20 milhões de tokens.
Na altura, o projeto Layer 2 convidou este formador de mercado a fornecer liquidez para o seu novo token emitido. O projeto ofereceu ao formador de mercado uma doação temporária de 20 milhões de tokens. O formador de mercado forneceu um endereço de carteira multi-assinatura na rede principal do Ethereum para receber os tokens. Após realizar duas transações de teste e obter confirmação, o projeto enviou os tokens restantes.
No entanto, os criadores de mercado oferecem um endereço multi-assinatura na rede principal do Ethereum, e esse endereço ainda não foi implantado na rede Layer 2. Como o controle do multi-assinatura da rede principal não garante o controle de outras cadeias compatíveis com EVM, os criadores de mercado descobriram posteriormente que não conseguiam acessar esses tokens.
Os market makers começaram a retomar as operações, tentando implantar o contrato multi-assinatura L1 no mesmo endereço no L2. Mas antes que esse processo fosse concluído, o atacante antecipou-se e implantou a multi-assinatura no L2, controlando assim os 20 milhões de tokens. O atacante posteriormente vendeu 1 milhão de tokens.
Felizmente, no dia seguinte, o hacker devolveu 17 milhões de tokens, e o market maker prometeu devolver os restantes 2 milhões.
Sugestões de proteção da segurança do ativo pessoal
Dado que as instituições frequentemente têm grandes perdas devido a erros humanos, os usuários comuns devem ser especialmente cautelosos na proteção dos seus ativos pessoais. Aqui estão algumas recomendações importantes:
Evite usar ferramentas de terceiros para criar carteiras
Além da carteira de criptomoedas nativa, não utilize outras ferramentas de terceiros para criar carteiras. Ferramentas de terceiros podem apresentar riscos de monitoramento de registros de usuários e de ações maliciosas de baixo custo. Por exemplo, um agregador de DEX já alertou que endereços de Ethereum criados com Profanity apresentam vulnerabilidades de segurança, o que pode resultar no roubo de ativos.
Considere ativar a assinatura múltipla para a carteira principal
Embora a assinatura múltipla possa não ser adequada para negociações de alta frequência, ativar a assinatura múltipla para carteiras principais que armazenam grandes quantidades de ativos pode efetivamente reduzir o risco de perdas causadas por erros humanos.
Não copie e cole para salvar a chave privada
A complexidade das chaves privadas pode facilmente levar os usuários a salvá-las usando cópia e colagem. No entanto, muitos aplicativos de terceiros ou plugins nos dispositivos podem ter acesso à área de transferência, e a segurança das redes sem fio é difícil de garantir. Mesmo que não haja um ataque imediato, os hackers podem estar à espera de mais ativos serem depositados antes de implementar o roubo.
Na cadeia, verifique cuidadosamente os contratos e ativos autorizados.
Ao usar produtos DeFi, é imprescindível verificar se o domínio do site e o endereço do contrato no explorador de blocos são a versão oficial. Isso pode evitar a autorização de contratos maliciosos devido a front-ends comprometidos ou sites de phishing.
Controlar os limites de autorização e revogar rapidamente autorizações desnecessárias
Embora a autorização ilimitada possa ser mais conveniente, isso aumenta os riscos potenciais. É aconselhável definir limites de autorização com base nas necessidades reais de uso. Para produtos que não estão mais em uso, a autorização de acesso aos ativos deve ser revogada imediatamente.
Os principais exploradores de blockchain geralmente oferecem uma entrada para revogar autorizações, permitindo que os usuários verifiquem e limpem regularmente autorizações desnecessárias.
Uma vez que os ativos em blockchain são frequentemente difíceis de recuperar quando roubados, e em muitos casos podem não estar protegidos por leis, os usuários devem manter uma vigilância rigorosa ao realizar operações na cadeia e adotar todas as medidas possíveis para proteger a segurança do ativo.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
10 Curtidas
Recompensa
10
6
Compartilhar
Comentário
0/400
FlashLoanKing
· 07-24 09:41
160 milhões de dólares foram assim embora, é realmente doloroso.
Ver originalResponder0
NotGonnaMakeIt
· 07-23 12:15
1,6 milhões de pequenos objetivos desapareceram assim?
Ver originalResponder0
MiningDisasterSurvivor
· 07-21 15:43
O capital não tem impacto? Quem não dizia isso em 2018?
Ver originalResponder0
FomoAnxiety
· 07-21 15:43
cair para zero é só deitar e não há nada a temer
Ver originalResponder0
retroactive_airdrop
· 07-21 15:43
Quando o coração acelera durante a negociação, é melhor deitar e pendurar o aquecedor.
Evitar erros humanos: como proteger a segurança do ativo na cadeia
segurança do ativo na cadeia: como evitar grandes perdas causadas por erros humanos
Com o surgimento de aplicações blockchain, como finanças descentralizadas e NFTs, os ativos dos usuários estão gradualmente se movendo de plataformas centralizadas para serviços na cadeia, como carteiras descentralizadas, pontes entre cadeias e produtos de empréstimo. No entanto, essa tendência também vem acompanhada de frequentes ataques de hackers e eventos de roubo de ativos, tornando as redes blockchain frequentemente apelidadas de "máquina de saque de hackers".
Entre esses incidentes de segurança, uma parte considerável foi causada por vulnerabilidades de código, mas também há muitos que foram causados por fatores humanos. Em 20 de setembro, um conhecido criador de mercado de criptomoedas sofreu o roubo de 160 milhões de dólares em ativos, que é um caso típico de erro humano.
A perda de 160 milhões de dólares decorre de um erro na otimização das taxas de Gas.
Após o incidente, o fundador da empresa de market making afirmou nas redes sociais que os negócios de negociação centralizada e de balcão da empresa não foram afetados, e o capital restante ainda é o dobro da dívida. Ele também enfatizou que os fundos dos usuários que têm acordos de market making com a empresa estão seguros. Entre os 90 ativos atacados, apenas dois têm um valor nominal superior a 1 milhão de dólares, portanto, é pouco provável que ocorra uma venda em massa.
A empresa de segurança em blockchain Salus Security localizou rapidamente o endereço do hacker. A fonte de fundos desse endereço inclui uma ferramenta de mistura anônima e grandes retiradas de várias plataformas de negociação.
De acordo com uma plataforma de análise de dados de blockchain, cerca de 73% dos 160 milhões de dólares roubados eram stablecoins, 8% eram WBTC e 6% eram ETH. Os atacantes depositaram 114 milhões de dólares em uma certa exchange descentralizada para fornecer liquidez, tornando-se o terceiro maior fornecedor de liquidez da plataforma.
A empresa de segurança Slow Mist analisou e acredita que a razão do roubo pode ser o uso de uma carteira de número bonito criada com a ferramenta Profanity (endereço que começa com 0x0000000).
No dia seguinte, os fundadores da empresa de market making confirmaram que tinham criado endereços de carteira usando Profanity e ferramentas internas em junho, com o objetivo de otimizar os custos de Gas e não em busca de números bonitos. Após saber da vulnerabilidade do Profanity na semana passada, a empresa acelerou a descontinuação das chaves antigas, mas devido a um erro operacional interno, chamou a função errada, resultando na incapacidade de remover a assinatura e os direitos de execução dos endereços afetados.
Para a recuperação de fundos roubados, o fundador afirmou que, se o montante total for devolvido, será pago ao hacker uma recompensa de 10%, ou seja, 16 milhões de dólares.
Sobre a operação futura, o fundador enfatizou que, embora a vulnerabilidade tenha surgido de um erro humano interno, a empresa não irá despedir funcionários, mudar de estratégia, arrecadar fundos adicionais ou interromper o negócio DeFi.
No entanto, os dados na cadeia mostram que a empresa tem dívidas DeFi superiores a 200 milhões de dólares para vários contrapartes. A maior delas é um empréstimo de 92 milhões de dólares em USDT que vai vencer a 15 de outubro, além de outras dívidas de 75 milhões de dólares e 22,4 milhões de dólares.
Se os fundos roubados não puderem ser recuperados a tempo, a empresa pode enfrentar o risco de uma crise de dívida.
A História se Repete: Perda de 20 milhões de tokens devido a erro humano
É importante notar que esta não é a primeira vez que este formador de mercado sofre perdas devido a erros humanos. No dia 9 de junho deste ano, ao fornecer serviços de liquidez de tokens para um projeto Layer 2, uma falha na operação resultou no roubo de 20 milhões de tokens.
Na altura, o projeto Layer 2 convidou este formador de mercado a fornecer liquidez para o seu novo token emitido. O projeto ofereceu ao formador de mercado uma doação temporária de 20 milhões de tokens. O formador de mercado forneceu um endereço de carteira multi-assinatura na rede principal do Ethereum para receber os tokens. Após realizar duas transações de teste e obter confirmação, o projeto enviou os tokens restantes.
No entanto, os criadores de mercado oferecem um endereço multi-assinatura na rede principal do Ethereum, e esse endereço ainda não foi implantado na rede Layer 2. Como o controle do multi-assinatura da rede principal não garante o controle de outras cadeias compatíveis com EVM, os criadores de mercado descobriram posteriormente que não conseguiam acessar esses tokens.
Os market makers começaram a retomar as operações, tentando implantar o contrato multi-assinatura L1 no mesmo endereço no L2. Mas antes que esse processo fosse concluído, o atacante antecipou-se e implantou a multi-assinatura no L2, controlando assim os 20 milhões de tokens. O atacante posteriormente vendeu 1 milhão de tokens.
Felizmente, no dia seguinte, o hacker devolveu 17 milhões de tokens, e o market maker prometeu devolver os restantes 2 milhões.
Sugestões de proteção da segurança do ativo pessoal
Dado que as instituições frequentemente têm grandes perdas devido a erros humanos, os usuários comuns devem ser especialmente cautelosos na proteção dos seus ativos pessoais. Aqui estão algumas recomendações importantes:
Além da carteira de criptomoedas nativa, não utilize outras ferramentas de terceiros para criar carteiras. Ferramentas de terceiros podem apresentar riscos de monitoramento de registros de usuários e de ações maliciosas de baixo custo. Por exemplo, um agregador de DEX já alertou que endereços de Ethereum criados com Profanity apresentam vulnerabilidades de segurança, o que pode resultar no roubo de ativos.
Embora a assinatura múltipla possa não ser adequada para negociações de alta frequência, ativar a assinatura múltipla para carteiras principais que armazenam grandes quantidades de ativos pode efetivamente reduzir o risco de perdas causadas por erros humanos.
A complexidade das chaves privadas pode facilmente levar os usuários a salvá-las usando cópia e colagem. No entanto, muitos aplicativos de terceiros ou plugins nos dispositivos podem ter acesso à área de transferência, e a segurança das redes sem fio é difícil de garantir. Mesmo que não haja um ataque imediato, os hackers podem estar à espera de mais ativos serem depositados antes de implementar o roubo.
Ao usar produtos DeFi, é imprescindível verificar se o domínio do site e o endereço do contrato no explorador de blocos são a versão oficial. Isso pode evitar a autorização de contratos maliciosos devido a front-ends comprometidos ou sites de phishing.
Embora a autorização ilimitada possa ser mais conveniente, isso aumenta os riscos potenciais. É aconselhável definir limites de autorização com base nas necessidades reais de uso. Para produtos que não estão mais em uso, a autorização de acesso aos ativos deve ser revogada imediatamente.
Os principais exploradores de blockchain geralmente oferecem uma entrada para revogar autorizações, permitindo que os usuários verifiquem e limpem regularmente autorizações desnecessárias.
Uma vez que os ativos em blockchain são frequentemente difíceis de recuperar quando roubados, e em muitos casos podem não estar protegidos por leis, os usuários devem manter uma vigilância rigorosa ao realizar operações na cadeia e adotar todas as medidas possíveis para proteger a segurança do ativo.