sécurité des actifs : comment éviter le vol de fonds off-chain
Avec la popularité des applications blockchain telles que la finance décentralisée et les jetons non fongibles, les actifs des utilisateurs se déplacent progressivement des canaux centralisés traditionnels vers des plateformes telles que des portefeuilles décentralisés, des ponts inter-chaînes et des produits de prêt. Cependant, les projets off-chain et les incidents de vol d'actifs des utilisateurs sont fréquents, ce qui a amené la blockchain à être surnommée "distributeur automatique de hackers".
Ces incidents de sécurité proviennent en partie de vulnérabilités dans le code, mais beaucoup d'entre eux sont également causés par des facteurs humains. Par exemple, récemment, un certain teneur de marché en crypto-monnaie a perdu 160 millions de dollars en raison d'une erreur de manipulation.
La perte massive d'actifs provient d'une simple erreur humaine
Après l'incident, le teneur de marché a déclaré que ses activités de finance centralisée et de trading off-chain n'avaient pas été affectées, et que sa capacité de paiement était encore le double des capitaux restants. Pour les utilisateurs ayant un accord de teneur de marché avec lui, la sécurité des actifs est garantie. Parmi les 90 actifs piratés, seulement deux avaient une valeur supérieure à 1 million de dollars, ce qui rend peu probable un effondrement massif.
Une analyse de la société de sécurité a révélé que l'adresse du hacker est liée à Tornado Cash et à certaines opérations de retrait sur des échanges. Environ 73 % des fonds volés sont des stablecoins, 8 % sont des WBTC et 6 % sont des ETH. L'attaquant a déposé 114 millions de dollars dans un projet pour fournir de la liquidité.
L'enquête postérieure a révélé que la cause du vol pourrait être l'utilisation d'un outil de génération d'adresses présentant des vulnérabilités. Ce teneur de marché a admis avoir utilisé ce type d'outil pour optimiser les frais de transaction, et non pour créer des adresses attrayantes. Bien qu'il ait commencé à abandonner les anciennes clés après avoir appris l'existence de vulnérabilités dans l'outil la semaine dernière, une erreur interne a entraîné l'appel d'une fonction incorrecte, ce qui a empêché la suppression en temps opportun des droits de signature des adresses affectées.
Concernant les fonds volés, le teneur de marché a déclaré qu'il était prêt à payer une prime de 10 % pour leur récupération. Bien que cet incident ait été causé par une erreur humaine interne, la société ne licenciera pas ses employés, ne changera pas de stratégie et ne suspendra pas les activités connexes.
Cependant, les données on-chain montrent que ce teneur de marché a des dettes de finance décentralisée dépassant 200 millions de dollars envers plusieurs contreparties, dont le plus gros montant est un prêt en stablecoin de 92 millions de dollars qui arrive à échéance en octobre. Si les fonds volés ne peuvent pas être récupérés à temps, l'entreprise pourrait faire face à une crise de la dette.
À nouveau victime de pertes dues à une erreur humaine
En fait, ce n'est pas la première fois que ce market maker subit des pertes à cause de facteurs humains. En juin de cette année, alors qu'il était invité à fournir de la liquidité pour un projet Layer 2, il a perdu 20 millions de jetons en raison d'une erreur de manipulation.
À l'époque, la fondation du projet Layer 2 a attribué 20 millions de jetons aux teneurs de marché pour fournir de la liquidité. Les teneurs de marché ont fourni une adresse de signature multiple sur le réseau principal Ethereum pour recevoir les jetons. Mais comme cette adresse n'était pas encore déployée sur le réseau Layer 2, les teneurs de marché ne pouvaient pas accéder à ces jetons.
Alors que le teneur de marché tentait de reprendre ses opérations, un attaquant a pris de l'avance en déployant un contrat multi-signature sur le réseau Layer 2 et a contrôlé ces 20 millions de jetons. Heureusement, le lendemain, le hacker a retourné 17 millions de jetons, les pertes restantes étant à la charge du teneur de marché.
Comment les utilisateurs individuels peuvent éviter le risque de vol d'actifs
Étant donné que les institutions subissent fréquemment d'énormes pertes en raison d'erreurs humaines, les utilisateurs individuels doivent être d'autant plus prudents pour protéger la sécurité des actifs. Voici quelques conseils :
Créez des adresses uniquement avec un portefeuille cryptographique natif, évitez d'utiliser des outils tiers. Les outils tiers peuvent présenter des risques de sécurité et peuvent être facilement surveillés ou attaqués.
Utiliser une signature multiple pour le portefeuille des actifs principaux. Bien que cela ne soit pas adapté pour le trading à haute fréquence, cela permet aux utilisateurs ordinaires de minimiser les risques d'erreurs humaines.
Ne copiez pas et ne collez pas pour sauvegarder vos clés privées. De nombreux appareils et applications peuvent accéder au contenu du presse-papiers, augmentant ainsi le risque de fuite. Même si c'est temporairement sécurisé, cela peut être attaqué après une augmentation des actifs.
Lors des opérations off-chain, vérifiez soigneusement les contrats et les actifs autorisés. Vérifiez l'authenticité du nom de domaine du site et de l'adresse du contrat intelligent pour éviter d'autoriser des contrats malveillants.
Définissez raisonnablement les limites d'autorisation et révoquez rapidement les autorisations inutiles. Évitez les autorisations illimitées, révoquez rapidement les droits d'accès après utilisation pour réduire les risques potentiels.
La sécurité n'est pas une mince affaire, surtout dans le cas où les actifs blockchain sont difficiles à récupérer et où la protection juridique est limitée. Les utilisateurs doivent être particulièrement prudents lors des opérations off-chain et prendre des mesures de protection multiples pour maximiser la sécurité des actifs.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
4
Reposter
Partager
Commentaire
0/400
DisillusiionOracle
· Il y a 12h
La sécurité est au-dessus de tout.
Voir l'originalRépondre0
AirdropHunterKing
· Il y a 12h
Il est important de se souvenir de la phrase mnémonique.
Évitez que vos fonds off-chain soient volés : cinq étapes pour protéger vos actifs de chiffrement.
sécurité des actifs : comment éviter le vol de fonds off-chain
Avec la popularité des applications blockchain telles que la finance décentralisée et les jetons non fongibles, les actifs des utilisateurs se déplacent progressivement des canaux centralisés traditionnels vers des plateformes telles que des portefeuilles décentralisés, des ponts inter-chaînes et des produits de prêt. Cependant, les projets off-chain et les incidents de vol d'actifs des utilisateurs sont fréquents, ce qui a amené la blockchain à être surnommée "distributeur automatique de hackers".
Ces incidents de sécurité proviennent en partie de vulnérabilités dans le code, mais beaucoup d'entre eux sont également causés par des facteurs humains. Par exemple, récemment, un certain teneur de marché en crypto-monnaie a perdu 160 millions de dollars en raison d'une erreur de manipulation.
La perte massive d'actifs provient d'une simple erreur humaine
Après l'incident, le teneur de marché a déclaré que ses activités de finance centralisée et de trading off-chain n'avaient pas été affectées, et que sa capacité de paiement était encore le double des capitaux restants. Pour les utilisateurs ayant un accord de teneur de marché avec lui, la sécurité des actifs est garantie. Parmi les 90 actifs piratés, seulement deux avaient une valeur supérieure à 1 million de dollars, ce qui rend peu probable un effondrement massif.
Une analyse de la société de sécurité a révélé que l'adresse du hacker est liée à Tornado Cash et à certaines opérations de retrait sur des échanges. Environ 73 % des fonds volés sont des stablecoins, 8 % sont des WBTC et 6 % sont des ETH. L'attaquant a déposé 114 millions de dollars dans un projet pour fournir de la liquidité.
L'enquête postérieure a révélé que la cause du vol pourrait être l'utilisation d'un outil de génération d'adresses présentant des vulnérabilités. Ce teneur de marché a admis avoir utilisé ce type d'outil pour optimiser les frais de transaction, et non pour créer des adresses attrayantes. Bien qu'il ait commencé à abandonner les anciennes clés après avoir appris l'existence de vulnérabilités dans l'outil la semaine dernière, une erreur interne a entraîné l'appel d'une fonction incorrecte, ce qui a empêché la suppression en temps opportun des droits de signature des adresses affectées.
Concernant les fonds volés, le teneur de marché a déclaré qu'il était prêt à payer une prime de 10 % pour leur récupération. Bien que cet incident ait été causé par une erreur humaine interne, la société ne licenciera pas ses employés, ne changera pas de stratégie et ne suspendra pas les activités connexes.
Cependant, les données on-chain montrent que ce teneur de marché a des dettes de finance décentralisée dépassant 200 millions de dollars envers plusieurs contreparties, dont le plus gros montant est un prêt en stablecoin de 92 millions de dollars qui arrive à échéance en octobre. Si les fonds volés ne peuvent pas être récupérés à temps, l'entreprise pourrait faire face à une crise de la dette.
À nouveau victime de pertes dues à une erreur humaine
En fait, ce n'est pas la première fois que ce market maker subit des pertes à cause de facteurs humains. En juin de cette année, alors qu'il était invité à fournir de la liquidité pour un projet Layer 2, il a perdu 20 millions de jetons en raison d'une erreur de manipulation.
À l'époque, la fondation du projet Layer 2 a attribué 20 millions de jetons aux teneurs de marché pour fournir de la liquidité. Les teneurs de marché ont fourni une adresse de signature multiple sur le réseau principal Ethereum pour recevoir les jetons. Mais comme cette adresse n'était pas encore déployée sur le réseau Layer 2, les teneurs de marché ne pouvaient pas accéder à ces jetons.
Alors que le teneur de marché tentait de reprendre ses opérations, un attaquant a pris de l'avance en déployant un contrat multi-signature sur le réseau Layer 2 et a contrôlé ces 20 millions de jetons. Heureusement, le lendemain, le hacker a retourné 17 millions de jetons, les pertes restantes étant à la charge du teneur de marché.
Comment les utilisateurs individuels peuvent éviter le risque de vol d'actifs
Étant donné que les institutions subissent fréquemment d'énormes pertes en raison d'erreurs humaines, les utilisateurs individuels doivent être d'autant plus prudents pour protéger la sécurité des actifs. Voici quelques conseils :
Créez des adresses uniquement avec un portefeuille cryptographique natif, évitez d'utiliser des outils tiers. Les outils tiers peuvent présenter des risques de sécurité et peuvent être facilement surveillés ou attaqués.
Utiliser une signature multiple pour le portefeuille des actifs principaux. Bien que cela ne soit pas adapté pour le trading à haute fréquence, cela permet aux utilisateurs ordinaires de minimiser les risques d'erreurs humaines.
Ne copiez pas et ne collez pas pour sauvegarder vos clés privées. De nombreux appareils et applications peuvent accéder au contenu du presse-papiers, augmentant ainsi le risque de fuite. Même si c'est temporairement sécurisé, cela peut être attaqué après une augmentation des actifs.
Lors des opérations off-chain, vérifiez soigneusement les contrats et les actifs autorisés. Vérifiez l'authenticité du nom de domaine du site et de l'adresse du contrat intelligent pour éviter d'autoriser des contrats malveillants.
Définissez raisonnablement les limites d'autorisation et révoquez rapidement les autorisations inutiles. Évitez les autorisations illimitées, révoquez rapidement les droits d'accès après utilisation pour réduire les risques potentiels.
La sécurité n'est pas une mince affaire, surtout dans le cas où les actifs blockchain sont difficiles à récupérer et où la protection juridique est limitée. Les utilisateurs doivent être particulièrement prudents lors des opérations off-chain et prendre des mesures de protection multiples pour maximiser la sécurité des actifs.