У блокчейні безпека активів: як уникнути величезних втрат, спричинених людською помилкою
З розвитком децентралізованих фінансів та NFT, а також інших застосувань у блокчейні, активи користувачів поступово переходять з централізованих платформ на децентралізовані гаманці, кросчейн-мости та кредитні продукти, що є у блокчейні. Однак ця тенденція супроводжується частими хакерськими атаками та випадками крадіжки активів, через що блокчейн-мережі часто жартома називають "хакерським банкоматом".
У цих безпекових інцидентах значна частина викликана кодовими вразливостями, але також чимало з них є наслідком людських факторів. 20 вересня відомий крипто-маркет-мейкер зазнав крадіжки активів на 160 мільйонів доларів, що є типовим прикладом людської помилки.
Втрата в розмірі 1,6 мільярда доларів виникла через помилку в оптимізації Gas-витрат
Після інциденту засновник цього маркет-мейкера заявив у соціальних мережах, що централізована торгівля компанії та позабіржова торгівля не постраждали, а залишковий капітал у два рази перевищує борг. Він також підкреслив безпеку активів користувачів, які мають угоди про маркет-мейкінг з компанією. Серед 90 атакованих активів лише два мали номінальну вартість понад 1 мільйон доларів, тому великомасштабний розпродаж навряд чи відбудеться.
Компанія з безпеки у блокчейні Salus Security швидко визначила адресу хакера. Джерела фінансування цієї адреси включають деякі анонімні інструменти для змішування монет і великі виведення з кількох торгових платформ.
Згідно з даними певної платформи аналітики у блокчейні, приблизно 73% з украдених 160 мільйонів доларів становлять стейблкоіни, 8% - WBTC, 6% - ETH. Атакуючий вніс 114 мільйонів доларів у певну децентралізовану біржу для надання ліквідності, ставши третім найбільшим постачальником ліквідності на цій платформі.
Аналіз компанії безпеки SlowMist вважає, що причиною крадіжки могло стати використання гаманця з гарним номером, створеного за допомогою інструменту Profanity (адреса починається з 0x0000000).
Наступного дня засновник маркет-мейкера підтвердив, що вони використовували Profanity та внутрішні інструменти для створення гаманцевих адрес у червні з метою оптимізації витрат на Gas, а не для отримання гарних номерів. Дізнавшись минулого тижня про вразливість Profanity, компанія прискорила відмову від старих ключів, але через внутрішню помилку в операціях було викликано неправильну функцію, що призвело до неможливості видалити підписи та права виконання постраждалих адрес.
Щодо повернення вкрадених коштів, засновник заявив, що якщо буде повернута вся сума, то хакеру буде виплачено 10%, тобто 16 мільйонів доларів.
Щодо подальшої діяльності, засновник підкреслив, що хоча цей дефект виник через внутрішню людську помилку, компанія не звільнятиме співробітників, не змінюватиме стратегію, не залучатиме додаткові кошти та не зупинятиме DeFi-бізнес.
Однак дані у блокчейні показують, що компанія має DeFi борги перед кількома контрагентами на суму понад 200 мільйонів доларів. Найбільша з них - це кредит у 92 мільйони доларів USDT, термін погашення якого настає 15 жовтня, а також ще 75 мільйонів доларів та 22 мільйони доларів інших боргів.
Якщо вкрадені кошти не вдасться своєчасно повернути, компанія може зіткнутися з ризиком боргової кризи.
Історія повторюється: втрачено 20 мільйонів токенів через людську помилку
Слід зазначити, що це не перший випадок, коли цей маркет-мейкер зазнав втрат через людську помилку. 9 червня цього року, надаючи послуги ліквідності токенів для певного проекту Layer 2, також через помилку в операціях було вкрадено 20 мільйонів токенів.
Тоді цей проект Layer 2 запросив цю маркет-мейкерську компанію надати ліквідність для нововипущеного токена. Проектна команда надала маркет-мейкеру тимчасовий грант у 20 мільйонів токенів. Маркет-мейкер надав адресу мультипідписного гаманця в мережі Ethereum для отримання токенів. Після проведення двох тестових транзакцій та їх підтвердження, проектна команда надіслала залишок токенів.
Однак, маркетмейкери надають мультипідписи адреси головної мережі Ethereum, яка ще не була розгорнута в мережі Layer 2. Оскільки контроль мультипідпису головної мережі не гарантує контроль над іншими EVM-сумісними ланцюгами, маркетмейкери згодом виявили, що не можуть отримати доступ до цих токенів.
Маркет-мейкери потім почали відновлювати операції, намагаючись розгорнути L1 мультипідписний контракт на тій же адресі в L2. Але до завершення цього процесу зловмисник випередив їх і розгорнув мультипідпис на L2, контролюючи ці 20 мільйонів токенів. Зловмисник потім продав 1 мільйон токенів.
На щастя, наступного дня хакер повернув 17 мільйонів токенів, маркет-мейкер пообіцяв повернути залишок у 2 мільйони токенів.
Рекомендації щодо захисту особистих активів
Враховуючи, що установи часто зазнають величезних збитків через людські помилки, звичайні користувачі повинні бути особливо обережними при захисті своїх особистих активів. Ось кілька важливих порад:
Уникайте використання сторонніх інструментів для створення гаманця
Окрім рідного криптогаманця, не використовуйте інші сторонні інструменти для створення гаманця. Сторонні інструменти можуть мати ризики моніторингу користувацьких записів та низькоякісних злочинних дій. Наприклад, один з DEX агрегаторів попереджав, що адреси Ethereum, створені за допомогою Profanity, мають вразливості безпеки, які можуть призвести до викрадення активів.
Розгляньте можливість увімкнення мультипідпису для основного гаманця
Хоча мультипідпис не підходить для високочастотної торгівлі, активація мультипідпису для основного гаманця, який зберігає велику кількість активів, може ефективно знизити ризик втрат через людські помилки.
Не копіюйте та не вставляйте приватний ключ
Складність приватного ключа може спонукати користувачів зберігати його шляхом копіювання та вставки. Однак багато сторонніх додатків або плагінів на пристрої можуть мати доступ до буфера обміну, а безпека бездротової мережі також важко гарантується. Навіть якщо на даний момент не відбувається атаки, це може бути хакер, який чекає на надходження більше активів перед здійсненням крадіжки.
Уважно перевіряйте авторизовані контракти та активи під час операцій у блокчейні
При використанні DeFi продуктів обов'язково перевірте, чи є домен сайту та адреса контракту на блокчейн-оглядачі офіційними версіями. Це допоможе уникнути авторизації шкідливих контрактів через зламані фронтенди або фішингові сайти.
Контролювати ліміти дозволів та своєчасно скасовувати непотрібні дозволи
Хоча необмежене надання дозволів може бути зручнішим, це збільшує потенційні ризики. Рекомендується встановлювати ліміти дозволів відповідно до фактичних потреб використання. Для продуктів, які більше не використовуються, слід негайно скасувати їх доступ до активів.
Великі блокчейн-браузери зазвичай надають функцію скасування авторизації, користувачі можуть регулярно перевіряти та очищати непотрібні авторизації.
Блокчейн-активи, якщо їх вкрадено, зазвичай важко повернути, і в багатьох випадках можуть не підлягати юридичному захисту. Тому користувачі, виконуючи операції у блокчейні, повинні бути надзвичайно уважними та вжити всіх можливих заходів для захисту своєї безпеки активів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
10 лайків
Нагородити
10
6
Поділіться
Прокоментувати
0/400
FlashLoanKing
· 07-24 09:41
160 мільйонів доларів просто так влетіли, справжня болісна втрата.
Переглянути оригіналвідповісти на0
NotGonnaMakeIt
· 07-23 12:15
1.6 мільярда малих цілей просто так зникло?
Переглянути оригіналвідповісти на0
MiningDisasterSurvivor
· 07-21 15:43
Капітал не має впливу? У 18-му році хто так не говорив?
Переглянути оригіналвідповісти на0
FomoAnxiety
· 07-21 15:43
падіння до нуля просто лежати, нема чого боятися
Переглянути оригіналвідповісти на0
retroactive_airdrop
· 07-21 15:43
Під час торгівлі відчуваю паніку, краще лягти і повісити електричний водонагрівач.
Уникнення людських помилок: як захистити безпеку активів у блокчейні
У блокчейні безпека активів: як уникнути величезних втрат, спричинених людською помилкою
З розвитком децентралізованих фінансів та NFT, а також інших застосувань у блокчейні, активи користувачів поступово переходять з централізованих платформ на децентралізовані гаманці, кросчейн-мости та кредитні продукти, що є у блокчейні. Однак ця тенденція супроводжується частими хакерськими атаками та випадками крадіжки активів, через що блокчейн-мережі часто жартома називають "хакерським банкоматом".
У цих безпекових інцидентах значна частина викликана кодовими вразливостями, але також чимало з них є наслідком людських факторів. 20 вересня відомий крипто-маркет-мейкер зазнав крадіжки активів на 160 мільйонів доларів, що є типовим прикладом людської помилки.
Втрата в розмірі 1,6 мільярда доларів виникла через помилку в оптимізації Gas-витрат
Після інциденту засновник цього маркет-мейкера заявив у соціальних мережах, що централізована торгівля компанії та позабіржова торгівля не постраждали, а залишковий капітал у два рази перевищує борг. Він також підкреслив безпеку активів користувачів, які мають угоди про маркет-мейкінг з компанією. Серед 90 атакованих активів лише два мали номінальну вартість понад 1 мільйон доларів, тому великомасштабний розпродаж навряд чи відбудеться.
Компанія з безпеки у блокчейні Salus Security швидко визначила адресу хакера. Джерела фінансування цієї адреси включають деякі анонімні інструменти для змішування монет і великі виведення з кількох торгових платформ.
Згідно з даними певної платформи аналітики у блокчейні, приблизно 73% з украдених 160 мільйонів доларів становлять стейблкоіни, 8% - WBTC, 6% - ETH. Атакуючий вніс 114 мільйонів доларів у певну децентралізовану біржу для надання ліквідності, ставши третім найбільшим постачальником ліквідності на цій платформі.
Аналіз компанії безпеки SlowMist вважає, що причиною крадіжки могло стати використання гаманця з гарним номером, створеного за допомогою інструменту Profanity (адреса починається з 0x0000000).
Наступного дня засновник маркет-мейкера підтвердив, що вони використовували Profanity та внутрішні інструменти для створення гаманцевих адрес у червні з метою оптимізації витрат на Gas, а не для отримання гарних номерів. Дізнавшись минулого тижня про вразливість Profanity, компанія прискорила відмову від старих ключів, але через внутрішню помилку в операціях було викликано неправильну функцію, що призвело до неможливості видалити підписи та права виконання постраждалих адрес.
Щодо повернення вкрадених коштів, засновник заявив, що якщо буде повернута вся сума, то хакеру буде виплачено 10%, тобто 16 мільйонів доларів.
Щодо подальшої діяльності, засновник підкреслив, що хоча цей дефект виник через внутрішню людську помилку, компанія не звільнятиме співробітників, не змінюватиме стратегію, не залучатиме додаткові кошти та не зупинятиме DeFi-бізнес.
Однак дані у блокчейні показують, що компанія має DeFi борги перед кількома контрагентами на суму понад 200 мільйонів доларів. Найбільша з них - це кредит у 92 мільйони доларів USDT, термін погашення якого настає 15 жовтня, а також ще 75 мільйонів доларів та 22 мільйони доларів інших боргів.
Якщо вкрадені кошти не вдасться своєчасно повернути, компанія може зіткнутися з ризиком боргової кризи.
Історія повторюється: втрачено 20 мільйонів токенів через людську помилку
Слід зазначити, що це не перший випадок, коли цей маркет-мейкер зазнав втрат через людську помилку. 9 червня цього року, надаючи послуги ліквідності токенів для певного проекту Layer 2, також через помилку в операціях було вкрадено 20 мільйонів токенів.
Тоді цей проект Layer 2 запросив цю маркет-мейкерську компанію надати ліквідність для нововипущеного токена. Проектна команда надала маркет-мейкеру тимчасовий грант у 20 мільйонів токенів. Маркет-мейкер надав адресу мультипідписного гаманця в мережі Ethereum для отримання токенів. Після проведення двох тестових транзакцій та їх підтвердження, проектна команда надіслала залишок токенів.
Однак, маркетмейкери надають мультипідписи адреси головної мережі Ethereum, яка ще не була розгорнута в мережі Layer 2. Оскільки контроль мультипідпису головної мережі не гарантує контроль над іншими EVM-сумісними ланцюгами, маркетмейкери згодом виявили, що не можуть отримати доступ до цих токенів.
Маркет-мейкери потім почали відновлювати операції, намагаючись розгорнути L1 мультипідписний контракт на тій же адресі в L2. Але до завершення цього процесу зловмисник випередив їх і розгорнув мультипідпис на L2, контролюючи ці 20 мільйонів токенів. Зловмисник потім продав 1 мільйон токенів.
На щастя, наступного дня хакер повернув 17 мільйонів токенів, маркет-мейкер пообіцяв повернути залишок у 2 мільйони токенів.
Рекомендації щодо захисту особистих активів
Враховуючи, що установи часто зазнають величезних збитків через людські помилки, звичайні користувачі повинні бути особливо обережними при захисті своїх особистих активів. Ось кілька важливих порад:
Окрім рідного криптогаманця, не використовуйте інші сторонні інструменти для створення гаманця. Сторонні інструменти можуть мати ризики моніторингу користувацьких записів та низькоякісних злочинних дій. Наприклад, один з DEX агрегаторів попереджав, що адреси Ethereum, створені за допомогою Profanity, мають вразливості безпеки, які можуть призвести до викрадення активів.
Хоча мультипідпис не підходить для високочастотної торгівлі, активація мультипідпису для основного гаманця, який зберігає велику кількість активів, може ефективно знизити ризик втрат через людські помилки.
Складність приватного ключа може спонукати користувачів зберігати його шляхом копіювання та вставки. Однак багато сторонніх додатків або плагінів на пристрої можуть мати доступ до буфера обміну, а безпека бездротової мережі також важко гарантується. Навіть якщо на даний момент не відбувається атаки, це може бути хакер, який чекає на надходження більше активів перед здійсненням крадіжки.
При використанні DeFi продуктів обов'язково перевірте, чи є домен сайту та адреса контракту на блокчейн-оглядачі офіційними версіями. Це допоможе уникнути авторизації шкідливих контрактів через зламані фронтенди або фішингові сайти.
Хоча необмежене надання дозволів може бути зручнішим, це збільшує потенційні ризики. Рекомендується встановлювати ліміти дозволів відповідно до фактичних потреб використання. Для продуктів, які більше не використовуються, слід негайно скасувати їх доступ до активів.
Великі блокчейн-браузери зазвичай надають функцію скасування авторизації, користувачі можуть регулярно перевіряти та очищати непотрібні авторизації.
Блокчейн-активи, якщо їх вкрадено, зазвичай важко повернути, і в багатьох випадках можуть не підлягати юридичному захисту. Тому користувачі, виконуючи операції у блокчейні, повинні бути надзвичайно уважними та вжити всіх можливих заходів для захисту своєї безпеки активів.