Офлайн-загрози світу Блокчейн: зростання атак ключами та їхнє подолання
У сфері Блокчейн ми часто зосереджуємо увагу на ризиках технічного рівня, таких як атаки на ланцюг, вразливості смарт-контрактів тощо, але недавні випадки показують, що загроза вже поширилася на реальний світ. Серія випадків викрадення та насильства щодо власників криптоактивів виявила нову виникаючу модель атаки — атака з ключем.
Визначення атаки ключем
Атака за допомогою гайкового ключа походить з мережевої коміксу, що зображує сцену, де нападник погрожує жертві здавати пароль за допомогою гайкового ключа вартістю 5 доларів. Ця атака не залежить від складних технічних засобів, а здійснюється шляхом прямої фізичної загрози для отримання криптоактивів.
Огляд典型案例
З початку цього року кілька випадків викрадення крипто-користувачів привернули увагу галузі:
Батька французького криптовалютного магната викрали, злочинці відрізали йому палець і вимагали величезний викуп.
Співзасновник однієї компанії з виробництва апаратних гаманець і його дружина стали жертвами збройного нападу вдома, також зазнавши тілесних ушкоджень.
Італійський криптоінвестор був ув'язнений у Нью-Йорку протягом трьох тижнів і зазнав серйозних тортур.
Родина співзасновника певної торгової платформи ледь не стала жертвою викрадення на вулицях Парижа.
Ці справи мають деякі спільні риси: зловмисники, як правило, молоді люди з базовими знаннями криптографії; жертвами є як проектні команди, так і лідери думок та звичайні користувачі; насильницькі методи жорстокі і часто спрямовані на родини жертв.
Варто зазначити, що оприлюднені випадки можуть бути лише верхівкою айсберга. Багато жертв з різних міркувань обирають мовчання, що ускладнює точну оцінку справжнього масштабу атак поза ланцюгом.
Аналіз кримінального ланцюга
Атака з використанням ключа зазвичай містить такі ключові етапи:
Інформаційна блокування: зловмисник використовує дані з блокчейну, інформацію з соціальних мереж тощо, щоб попередньо оцінити масштаб цільових активів.
Реальне позиціонування: отримання реальної ідентифікаційної інформації про ціль за допомогою різних засобів, включаючи місце проживання, щоденну активність тощо.
Насильницька загроза: після контролю над метою, примусити її насильницькими засобами видати приватний ключ, мнемонічну фразу та іншу ключову інформацію.
Переміщення коштів: Отримавши контроль, зловмисник швидко переміщує активи, зазвичай це включає складні операції, такі як змішування монет, кросчейн тощо.
Стратегії реагування
Стикаючись з атаками з використанням гайкового ключа, традиційні методи, такі як мультипідписові гаманці або розподілені мнемонічні фрази, можуть дати зворотний ефект. Більш практична стратегія – "є що дати, і втрати контрольовані":
Налаштуйте індукційний гаманець: підготуйте обліковий запис, який виглядає як основний гаманець, але має лише невелику кількість активів для надзвичайних ситуацій.
Управління безпекою в домашніх умовах: ділитися з родиною основною інформацією про активи та стратегії реагування; встановити код безпеки; посилити домашню безпеку.
Захист конфіденційності: уникайте розкриття інформації про володіння криптоактивами на соціальних платформах або в реальному житті.
Роздуми про галузь
З розвитком криптоіндустрії системи KYC та AML відіграють важливу роль у контролі за незаконними фінансовими потоками. Однак ці системи також створюють нові виклики, особливо в питаннях безпеки даних та захисту конфіденційності користувачів.
Рекомендується на основі традиційного KYC впровадити динамічну систему ідентифікації ризиків, щоб зменшити надмірний збір інформації. Одночасно платформа може розглянути можливість підключення професійних послуг з відстеження відмивання грошей, щоб підвищити здатність управління ризиками. Крім того, регулярне проведення оцінки безпеки та тестування червоною командою також є необхідним для комплексної оцінки ризиків безпеки даних.
На фоні постійного зростання вартості криптоактивів офлайн-безпека стала новим викликом, який не можна ігнорувати. Користувачі та платформи повинні підвищити пильність, вжити комплексних заходів і спільно створити більш безпечну криптоекосистему.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
17 лайків
Нагородити
17
6
Поділіться
Прокоментувати
0/400
0xSoulless
· 07-27 06:52
невдахи都 купувати просадку没钱了 谁还能去绑架…
Переглянути оригіналвідповісти на0
SellLowExpert
· 07-27 04:26
обдурювати людей, як лохів完肉 спати добре
Переглянути оригіналвідповісти на0
ChainChef
· 07-24 07:16
залишайтеся safu або потрапите в біду... так само, як моє недопечене altfolio rn
Переглянути оригіналвідповісти на0
ProposalDetective
· 07-24 07:13
Такий крутий, зараз слідкувати за офлайн!
Переглянути оригіналвідповісти на0
MEVHunterWang
· 07-24 07:03
бідняцька пастка Рубіка
Переглянути оригіналвідповісти на0
MEVictim
· 07-24 06:56
Так страшно, що тепер навіть гаманець не сміє потрапити в топ.
Атака за допомогою ключа: аналіз загроз офлайн в індустрії блокчейн та стратегій реагування
Офлайн-загрози світу Блокчейн: зростання атак ключами та їхнє подолання
У сфері Блокчейн ми часто зосереджуємо увагу на ризиках технічного рівня, таких як атаки на ланцюг, вразливості смарт-контрактів тощо, але недавні випадки показують, що загроза вже поширилася на реальний світ. Серія випадків викрадення та насильства щодо власників криптоактивів виявила нову виникаючу модель атаки — атака з ключем.
Визначення атаки ключем
Атака за допомогою гайкового ключа походить з мережевої коміксу, що зображує сцену, де нападник погрожує жертві здавати пароль за допомогою гайкового ключа вартістю 5 доларів. Ця атака не залежить від складних технічних засобів, а здійснюється шляхом прямої фізичної загрози для отримання криптоактивів.
Огляд典型案例
З початку цього року кілька випадків викрадення крипто-користувачів привернули увагу галузі:
Батька французького криптовалютного магната викрали, злочинці відрізали йому палець і вимагали величезний викуп.
Співзасновник однієї компанії з виробництва апаратних гаманець і його дружина стали жертвами збройного нападу вдома, також зазнавши тілесних ушкоджень.
Італійський криптоінвестор був ув'язнений у Нью-Йорку протягом трьох тижнів і зазнав серйозних тортур.
Родина співзасновника певної торгової платформи ледь не стала жертвою викрадення на вулицях Парижа.
Ці справи мають деякі спільні риси: зловмисники, як правило, молоді люди з базовими знаннями криптографії; жертвами є як проектні команди, так і лідери думок та звичайні користувачі; насильницькі методи жорстокі і часто спрямовані на родини жертв.
Варто зазначити, що оприлюднені випадки можуть бути лише верхівкою айсберга. Багато жертв з різних міркувань обирають мовчання, що ускладнює точну оцінку справжнього масштабу атак поза ланцюгом.
Аналіз кримінального ланцюга
Атака з використанням ключа зазвичай містить такі ключові етапи:
Інформаційна блокування: зловмисник використовує дані з блокчейну, інформацію з соціальних мереж тощо, щоб попередньо оцінити масштаб цільових активів.
Реальне позиціонування: отримання реальної ідентифікаційної інформації про ціль за допомогою різних засобів, включаючи місце проживання, щоденну активність тощо.
Насильницька загроза: після контролю над метою, примусити її насильницькими засобами видати приватний ключ, мнемонічну фразу та іншу ключову інформацію.
Переміщення коштів: Отримавши контроль, зловмисник швидко переміщує активи, зазвичай це включає складні операції, такі як змішування монет, кросчейн тощо.
Стратегії реагування
Стикаючись з атаками з використанням гайкового ключа, традиційні методи, такі як мультипідписові гаманці або розподілені мнемонічні фрази, можуть дати зворотний ефект. Більш практична стратегія – "є що дати, і втрати контрольовані":
Налаштуйте індукційний гаманець: підготуйте обліковий запис, який виглядає як основний гаманець, але має лише невелику кількість активів для надзвичайних ситуацій.
Управління безпекою в домашніх умовах: ділитися з родиною основною інформацією про активи та стратегії реагування; встановити код безпеки; посилити домашню безпеку.
Захист конфіденційності: уникайте розкриття інформації про володіння криптоактивами на соціальних платформах або в реальному житті.
Роздуми про галузь
З розвитком криптоіндустрії системи KYC та AML відіграють важливу роль у контролі за незаконними фінансовими потоками. Однак ці системи також створюють нові виклики, особливо в питаннях безпеки даних та захисту конфіденційності користувачів.
Рекомендується на основі традиційного KYC впровадити динамічну систему ідентифікації ризиків, щоб зменшити надмірний збір інформації. Одночасно платформа може розглянути можливість підключення професійних послуг з відстеження відмивання грошей, щоб підвищити здатність управління ризиками. Крім того, регулярне проведення оцінки безпеки та тестування червоною командою також є необхідним для комплексної оцінки ризиків безпеки даних.
На фоні постійного зростання вартості криптоактивів офлайн-безпека стала новим викликом, який не можна ігнорувати. Користувачі та платформи повинні підвищити пильність, вжити комплексних заходів і спільно створити більш безпечну криптоекосистему.