Безопасность активов в блокчейне: как избежать крупных потерь из-за человеческих ошибок
С ростом децентрализованных финансов и таких приложений блокчейна, как NFT, активы пользователей постепенно переходят с централизованных платформ на децентрализованные кошельки, кросс-чейн мосты и кредитные продукты, такие как услуги в блокчейне. Однако эта тенденция также сопровождается частыми хакерскими атаками и кражами активов, что делает блокчейн-сети часто прозвищем "хакерский банкомат".
Из всех этих инцидентов безопасности значительная часть была вызвана уязвимостями в коде, но немало случаев также связано с человеческими факторами. 20 сентября известный крипто-маркетмейкер стал жертвой кражи активов на сумму 160 миллионов долларов, что является典型ным примером человеческой ошибки.
Убыток в 160 миллионов долларов вызван ошибками в оптимизации Gas-расходов
После инцидента основатель данного маркетмейкера заявил в социальных сетях, что централизованная торговля компании и внебиржевая торговля не пострадали, а оставшийся капитал в два раза превышает долг. Он также подчеркнул, что безопасность средств пользователей, имеющих маркетмейкерские соглашения с компанией, гарантирована. Из 90 атакованных активов только два имеют номинальную стоимость более 1 миллиона долларов, поэтому вряд ли произойдет массовая распродажа.
Блокчейн-компания безопасности Salus Security быстро определила адрес хакера. Источники средств на этом адресе включают анонимный инструмент для смешивания и крупные выводы средств с нескольких торговых платформ.
Согласно данным аналитической платформы по данным в блокчейне, примерно 73% из похищенных 160 миллионов долларов составляют стейблкоины, 8% - WBTC, 6% - ETH. Злоумышленники внесли 114 миллионов долларов в одну децентрализованную биржу для предоставления ликвидности, став третьим крупнейшим поставщиком ликвидности на этой платформе.
Анализ компании безопасности SlowMist предполагает, что причиной кражи могло стать использование кошелька с красивым номером, созданного с помощью инструмента Profanity (адрес начинается с 0x0000000).
На следующий день основатель маркетмейкера подтвердил, что в июне они использовали Profanity и внутренние инструменты для создания адресов кошельков с целью оптимизации Gas-расходов, а не стремления к красивым номерам. Узнав на прошлой неделе о наличии уязвимости в Profanity, компания ускорила отказ от старых ключей, но из-за внутренней ошибки в操作 они вызвали неправильную функцию, что привело к невозможности удалить подписи и права на исполнение с затронутых адресов.
Что касается возврата украденных средств, основатель заявил, что если сумма будет возвращена в полном объеме, хакеру будет выплачено 10%, то есть 16 миллионов долларов в качестве вознаграждения.
Что касается дальнейшей работы, основатель подчеркнул, что хотя данная уязвимость возникла из-за внутренней человеческой ошибки, компания не будет увольнять сотрудников, изменять стратегию, привлекать дополнительные средства или прекращать бизнес в сфере DeFi.
Тем не менее, данные в блокчейне показывают, что компания имеет DeFi-долги перед несколькими контрагентами на сумму более 200 миллионов долларов. Наибольшая сумма составляет 92 миллиона долларов в виде займа USDT, который истекает 15 октября, кроме того, есть еще долги в размере 75 миллионов долларов и 22 миллиона долларов.
Если украденные средства не будут своевременно возвращены, компания может столкнуться с риском долгового кризиса.
Историческая повторяемость: потеря 20 миллионов токенов из-за человеческой ошибки
Стоит отметить, что это уже не первый раз, когда этот маркет-мейкер понёс убытки из-за человеческой ошибки. 9 июня этого года, предоставляя услуги ликвидности токенов для одного проекта Layer 2, также из-за ошибочной операции было украдено 20 миллионов токенов.
В то время этот проект Layer 2 пригласил этого маркет-мейкера предоставить ликвидность для его нового выпущенного токена. Проект предоставил маркет-мейкеру временный грант в 20 миллионов токенов. Маркет-мейкер предоставил адрес мультиподписного кошелька в основной сети Ethereum для получения токенов. После выполнения двух тестовых транзакций и их подтверждения проект отправил оставшиеся токены.
Однако маркетмейкеры предоставляют мультиподписной адрес основной сети Ethereum, который еще не был развернут в сети Layer 2. Поскольку контроль мультиподписного адреса основной сети не гарантирует контроль над другими совместимыми с EVM цепочками, маркетмейкеры позже обнаружили, что не могут получить доступ к этим токенам.
Маркет-мейкеры затем начали восстанавливать операции, пытаясь развернуть многофункциональный контракт L1 по тому же адресу на L2. Но до завершения этого процесса злоумышленник опередил их и развернул многофункциональный контракт на L2, контролируя 20 миллионов токенов. Затем злоумышленник продал 1 миллион токенов.
К счастью, на следующий день хакеры вернули 17 миллионов токенов, а маркет-мейкеры пообещали вернуть оставшиеся 2 миллиона.
Рекомендации по защите личной безопасности активов
Учитывая, что учреждения часто несут огромные убытки из-за человеческих ошибок, обычным пользователям необходимо быть особенно осторожными при защите своих личных активов. Вот несколько важных рекомендаций:
Избегайте использования сторонних инструментов для создания кошелька
Кроме нативного криптокошелька, не используйте другие сторонние инструменты для создания кошельков. Сторонние инструменты могут подвергать риску мониторинг пользовательских записей и низкозатратные злонамеренные действия. Например, один DEX-агрегатор предупреждал, что адреса Ethereum, созданные с помощью Profanity, имеют уязвимость безопасности, что может привести к краже активов.
Рассмотрите возможность включения мультиподписей для основного кошелька
Хотя мультиподпись может быть не подходящей для высокочастотной торговли, включение мультиподписи для основных кошельков, хранящих большое количество активов, может эффективно снизить риск потерь, вызванных человеческими ошибками.
Никогда не копируйте и не вставляйте для сохранения приватный ключ
Сложность частного ключа может легко побудить пользователей сохранять его с помощью копирования и вставки. Однако многие сторонние приложения или плагины на устройстве могут иметь доступ к буферу обмена, а безопасность беспроводных сетей также трудно гарантировать. Даже если в данный момент не происходит атаки, хакеры могут ждать, пока на счет поступит больше активов, прежде чем осуществить кражу.
Тщательно проверяйте авторизованные контракты и активы при операциях в блокчейне.
При использовании DeFi продуктов обязательно проверяйте, соответствует ли доменное имя сайта и адрес контракта на блокчейн-обозревателе официальной версии. Это поможет избежать авторизации злонамеренных контрактов из-за действий на взломанных фронтендах или фишинговых сайтах.
Контроль за лимитом авторизации и своевременное аннулирование ненужных авторизаций
Хотя неограниченное разрешение может быть более удобным, это увеличивает потенциальные риски. Рекомендуется устанавливать лимиты разрешений в зависимости от фактических потребностей. Для продуктов, которые больше не используются, следует немедленно отозвать разрешение на доступ к активам.
Все крупные блокчейн-браузеры обычно предоставляют возможность отзыва авторизации, пользователи могут регулярно проверять и очищать ненужные авторизации.
Активы в блокчейне, если они украдены, часто трудно вернуть, и в многих случаях они могут не быть защищены законом. Поэтому пользователи должны сохранять высокую бдительность и принимать все возможные меры для защиты своей безопасности активов при выполнении операций в блокчейне.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
6
Поделиться
комментарий
0/400
FlashLoanKing
· 07-24 09:41
160 миллионов долларов просто так улетели, это действительно больно.
Посмотреть ОригиналОтветить0
NotGonnaMakeIt
· 07-23 12:15
160 миллионов маленькая цель так просто пропала?
Посмотреть ОригиналОтветить0
MiningDisasterSurvivor
· 07-21 15:43
Капитал не влияет? В 18-м году кто так не говорил?
Посмотреть ОригиналОтветить0
FomoAnxiety
· 07-21 15:43
падение до нуля и просто расслабься, нечего бояться.
Посмотреть ОригиналОтветить0
retroactive_airdrop
· 07-21 15:43
Во время торговли чувствуешь себя нервно, лучше расслабиться и повесить бойлер.
Избегайте человеческих ошибок: как защитить безопасность активов в блокчейне
Безопасность активов в блокчейне: как избежать крупных потерь из-за человеческих ошибок
С ростом децентрализованных финансов и таких приложений блокчейна, как NFT, активы пользователей постепенно переходят с централизованных платформ на децентрализованные кошельки, кросс-чейн мосты и кредитные продукты, такие как услуги в блокчейне. Однако эта тенденция также сопровождается частыми хакерскими атаками и кражами активов, что делает блокчейн-сети часто прозвищем "хакерский банкомат".
Из всех этих инцидентов безопасности значительная часть была вызвана уязвимостями в коде, но немало случаев также связано с человеческими факторами. 20 сентября известный крипто-маркетмейкер стал жертвой кражи активов на сумму 160 миллионов долларов, что является典型ным примером человеческой ошибки.
Убыток в 160 миллионов долларов вызван ошибками в оптимизации Gas-расходов
После инцидента основатель данного маркетмейкера заявил в социальных сетях, что централизованная торговля компании и внебиржевая торговля не пострадали, а оставшийся капитал в два раза превышает долг. Он также подчеркнул, что безопасность средств пользователей, имеющих маркетмейкерские соглашения с компанией, гарантирована. Из 90 атакованных активов только два имеют номинальную стоимость более 1 миллиона долларов, поэтому вряд ли произойдет массовая распродажа.
Блокчейн-компания безопасности Salus Security быстро определила адрес хакера. Источники средств на этом адресе включают анонимный инструмент для смешивания и крупные выводы средств с нескольких торговых платформ.
Согласно данным аналитической платформы по данным в блокчейне, примерно 73% из похищенных 160 миллионов долларов составляют стейблкоины, 8% - WBTC, 6% - ETH. Злоумышленники внесли 114 миллионов долларов в одну децентрализованную биржу для предоставления ликвидности, став третьим крупнейшим поставщиком ликвидности на этой платформе.
Анализ компании безопасности SlowMist предполагает, что причиной кражи могло стать использование кошелька с красивым номером, созданного с помощью инструмента Profanity (адрес начинается с 0x0000000).
На следующий день основатель маркетмейкера подтвердил, что в июне они использовали Profanity и внутренние инструменты для создания адресов кошельков с целью оптимизации Gas-расходов, а не стремления к красивым номерам. Узнав на прошлой неделе о наличии уязвимости в Profanity, компания ускорила отказ от старых ключей, но из-за внутренней ошибки в操作 они вызвали неправильную функцию, что привело к невозможности удалить подписи и права на исполнение с затронутых адресов.
Что касается возврата украденных средств, основатель заявил, что если сумма будет возвращена в полном объеме, хакеру будет выплачено 10%, то есть 16 миллионов долларов в качестве вознаграждения.
Что касается дальнейшей работы, основатель подчеркнул, что хотя данная уязвимость возникла из-за внутренней человеческой ошибки, компания не будет увольнять сотрудников, изменять стратегию, привлекать дополнительные средства или прекращать бизнес в сфере DeFi.
Тем не менее, данные в блокчейне показывают, что компания имеет DeFi-долги перед несколькими контрагентами на сумму более 200 миллионов долларов. Наибольшая сумма составляет 92 миллиона долларов в виде займа USDT, который истекает 15 октября, кроме того, есть еще долги в размере 75 миллионов долларов и 22 миллиона долларов.
Если украденные средства не будут своевременно возвращены, компания может столкнуться с риском долгового кризиса.
Историческая повторяемость: потеря 20 миллионов токенов из-за человеческой ошибки
Стоит отметить, что это уже не первый раз, когда этот маркет-мейкер понёс убытки из-за человеческой ошибки. 9 июня этого года, предоставляя услуги ликвидности токенов для одного проекта Layer 2, также из-за ошибочной операции было украдено 20 миллионов токенов.
В то время этот проект Layer 2 пригласил этого маркет-мейкера предоставить ликвидность для его нового выпущенного токена. Проект предоставил маркет-мейкеру временный грант в 20 миллионов токенов. Маркет-мейкер предоставил адрес мультиподписного кошелька в основной сети Ethereum для получения токенов. После выполнения двух тестовых транзакций и их подтверждения проект отправил оставшиеся токены.
Однако маркетмейкеры предоставляют мультиподписной адрес основной сети Ethereum, который еще не был развернут в сети Layer 2. Поскольку контроль мультиподписного адреса основной сети не гарантирует контроль над другими совместимыми с EVM цепочками, маркетмейкеры позже обнаружили, что не могут получить доступ к этим токенам.
Маркет-мейкеры затем начали восстанавливать операции, пытаясь развернуть многофункциональный контракт L1 по тому же адресу на L2. Но до завершения этого процесса злоумышленник опередил их и развернул многофункциональный контракт на L2, контролируя 20 миллионов токенов. Затем злоумышленник продал 1 миллион токенов.
К счастью, на следующий день хакеры вернули 17 миллионов токенов, а маркет-мейкеры пообещали вернуть оставшиеся 2 миллиона.
Рекомендации по защите личной безопасности активов
Учитывая, что учреждения часто несут огромные убытки из-за человеческих ошибок, обычным пользователям необходимо быть особенно осторожными при защите своих личных активов. Вот несколько важных рекомендаций:
Кроме нативного криптокошелька, не используйте другие сторонние инструменты для создания кошельков. Сторонние инструменты могут подвергать риску мониторинг пользовательских записей и низкозатратные злонамеренные действия. Например, один DEX-агрегатор предупреждал, что адреса Ethereum, созданные с помощью Profanity, имеют уязвимость безопасности, что может привести к краже активов.
Хотя мультиподпись может быть не подходящей для высокочастотной торговли, включение мультиподписи для основных кошельков, хранящих большое количество активов, может эффективно снизить риск потерь, вызванных человеческими ошибками.
Сложность частного ключа может легко побудить пользователей сохранять его с помощью копирования и вставки. Однако многие сторонние приложения или плагины на устройстве могут иметь доступ к буферу обмена, а безопасность беспроводных сетей также трудно гарантировать. Даже если в данный момент не происходит атаки, хакеры могут ждать, пока на счет поступит больше активов, прежде чем осуществить кражу.
При использовании DeFi продуктов обязательно проверяйте, соответствует ли доменное имя сайта и адрес контракта на блокчейн-обозревателе официальной версии. Это поможет избежать авторизации злонамеренных контрактов из-за действий на взломанных фронтендах или фишинговых сайтах.
Хотя неограниченное разрешение может быть более удобным, это увеличивает потенциальные риски. Рекомендуется устанавливать лимиты разрешений в зависимости от фактических потребностей. Для продуктов, которые больше не используются, следует немедленно отозвать разрешение на доступ к активам.
Все крупные блокчейн-браузеры обычно предоставляют возможность отзыва авторизации, пользователи могут регулярно проверять и очищать ненужные авторизации.
Активы в блокчейне, если они украдены, часто трудно вернуть, и в многих случаях они могут не быть защищены законом. Поэтому пользователи должны сохранять высокую бдительность и принимать все возможные меры для защиты своей безопасности активов при выполнении операций в блокчейне.