безпека активів: як уникнути крадіжки коштів у блокчейні
З поширенням таких блокчейн-застосунків, як децентралізовані фінанси та непересічні токени, активи користувачів поступово переходять з традиційних централізованих каналів на платформи децентралізованих гаманців, крос-чейн мостів та кредитних продуктів. Однак, часті випадки крадіжки активів користувачів та проєктів у блокчейні призвели до того, що блокчейн жартома називають "карткою для зняття грошей від хакерів".
Ці інциденти безпеки частково зумовлені вразливостями в коді, але також значна частина є наслідком людських факторів. Наприклад, нещодавно один крипто-маркет-мейкер втратив 160 мільйонів доларів через помилку в операціях.
Величезні втрати активів викликані простими людськими помилками
Після інциденту цей маркет-мейкер заявив, що його централізовані фінансові та позабіржові операції не постраждали, а платоспроможність залишається вдвічі більшою за залишковий капітал. Для користувачів, які мають угоди про маркет-мейкінг, безпека активів гарантована. Серед 90 активів, які були зламані, лише два коштували більше 1 мільйона доларів, тому малоймовірно, що це призведе до масового розпродажу.
Аналіз безпекової компанії виявив, що адреса хакера пов'язана з операціями з вилучення коштів у Tornado Cash та деяких біржах. Приблизно 73% викрадених коштів становлять стейблкоїни, 8% — WBTC, 6% — ETH. Зловмисник вніс 114 мільйонів доларів у певний проєкт для надання ліквідності.
Постфактум розслідування показало, що причиною крадіжки, можливо, стало використання інструменту для генерації адрес з вразливостями. Цей маркет-мейкер визнав, що використовував такі інструменти для оптимізації комісій, а не для створення привабливих адрес. Хоча минулого тижня, дізнавшись про вразливість інструменту, почали відмовлятися від старих ключів, через внутрішню помилку було викликано неправильну функцію, внаслідок чого не вдалося своєчасно видалити права підпису з уражених адрес.
Щодо вкрадених коштів, цей маркет-мейкер заявив про готовність виплатити 10% винагороди за їх повернення. Хоча цей інцидент стався через внутрішню людську помилку, компанія не звільнятиме працівників, не змінюватиме стратегію та не призупинятиме відповідний бізнес.
Однак, дані у блокчейні показують, що цей маркет-мейкер має більше 200 мільйонів доларів децентралізованого фінансового боргу перед кількома контрагентами, з яких найбільший - це кредит у 92 мільйони доларів у стейблкоїнах, що має закінчитися в жовтні. Якщо вкрадені кошти не будуть своєчасно повернені, компанія може зіткнутися з борговою кризою.
Знову зазнали збитків через людську помилку
Насправді, це вже не перший раз, коли цей маркет-мейкер зазнає збитків через людський фактор. У червні цього року, коли його запросили надати ліквідність для одного з проектів Layer 2, через помилку в операціях було втрачено 20 мільйонів токенів.
Тоді фонд Layer 2 проекту розподілив 20 мільйонів токенів серед маркет-мейкерів для забезпечення ліквідності. Маркет-мейкери надали мультипідписну адресу в мережі Ethereum для отримання токенів. Але оскільки ця адреса ще не була розгорнута в мережі Layer 2, маркет-мейкери не змогли отримати доступ до цих токенів.
Коли маркет-мейкери намагалися відновити свою діяльність, зловмисник випередив їх і розгорнув багатопідписний контракт у Layer 2 мережі, контролюючи 20 мільйонів токенів. На щастя, наступного дня хакер повернув 17 мільйонів токенів, а залишкові втрати покриваються маркет-мейкерами.
Як особистим користувачам уникнути ризику крадіжки активів
З огляду на те, що установи часто зазнають величезних збитків через людські помилки, індивідуальним користувачам потрібно уважно захищати власну безпеку активів. Ось кілька порад:
Використовуйте лише нативні криптогамінці для створення адрес, уникайте використання сторонніх інструментів. Сторонні інструменти можуть містити ризики безпеки, їх легко контролювати або атакувати.
Для основного гаманця активів слід використовувати багатопідпис. Хоча це не підходить для високочастотної торгівлі, але для звичайних користувачів це може максимально знизити ризик людських помилок.
Не копіюйте та не вставляйте свої приватні ключі. Багато пристроїв та застосунків можуть отримати вміст буфера обміну, що збільшує ризик витоку. Навіть якщо на перший погляд це безпечно, можливі атаки після збільшення активів.
Уважно перевіряйте дозволені контракти та активи під час операцій у блокчейні. Перевірте справжність доменного імені сайту та адреси смарт-контракту, щоб запобігти наданню дозволу зловмисним контрактам.
Розумно налаштуйте ліміти авторизації та своєчасно відкличте непотрібні авторизації. Уникайте необмеженої авторизації, своєчасно відкликайте доступ після використання, щоб зменшити потенційні ризики.
Безпека не є дрібницею, особливо в умовах, коли активи у блокчейні важко повернути, а правова захист обмежений. Користувачі повинні бути особливо обережними під час операцій у блокчейні, вживаючи багатошарові заходи захисту, щоб максимально забезпечити безпеку активів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Уникнення крадіжки коштів у блокчейні: п'ять кроків для захисту вашого шифрування активів
безпека активів: як уникнути крадіжки коштів у блокчейні
З поширенням таких блокчейн-застосунків, як децентралізовані фінанси та непересічні токени, активи користувачів поступово переходять з традиційних централізованих каналів на платформи децентралізованих гаманців, крос-чейн мостів та кредитних продуктів. Однак, часті випадки крадіжки активів користувачів та проєктів у блокчейні призвели до того, що блокчейн жартома називають "карткою для зняття грошей від хакерів".
Ці інциденти безпеки частково зумовлені вразливостями в коді, але також значна частина є наслідком людських факторів. Наприклад, нещодавно один крипто-маркет-мейкер втратив 160 мільйонів доларів через помилку в операціях.
Величезні втрати активів викликані простими людськими помилками
Після інциденту цей маркет-мейкер заявив, що його централізовані фінансові та позабіржові операції не постраждали, а платоспроможність залишається вдвічі більшою за залишковий капітал. Для користувачів, які мають угоди про маркет-мейкінг, безпека активів гарантована. Серед 90 активів, які були зламані, лише два коштували більше 1 мільйона доларів, тому малоймовірно, що це призведе до масового розпродажу.
Аналіз безпекової компанії виявив, що адреса хакера пов'язана з операціями з вилучення коштів у Tornado Cash та деяких біржах. Приблизно 73% викрадених коштів становлять стейблкоїни, 8% — WBTC, 6% — ETH. Зловмисник вніс 114 мільйонів доларів у певний проєкт для надання ліквідності.
Постфактум розслідування показало, що причиною крадіжки, можливо, стало використання інструменту для генерації адрес з вразливостями. Цей маркет-мейкер визнав, що використовував такі інструменти для оптимізації комісій, а не для створення привабливих адрес. Хоча минулого тижня, дізнавшись про вразливість інструменту, почали відмовлятися від старих ключів, через внутрішню помилку було викликано неправильну функцію, внаслідок чого не вдалося своєчасно видалити права підпису з уражених адрес.
Щодо вкрадених коштів, цей маркет-мейкер заявив про готовність виплатити 10% винагороди за їх повернення. Хоча цей інцидент стався через внутрішню людську помилку, компанія не звільнятиме працівників, не змінюватиме стратегію та не призупинятиме відповідний бізнес.
Однак, дані у блокчейні показують, що цей маркет-мейкер має більше 200 мільйонів доларів децентралізованого фінансового боргу перед кількома контрагентами, з яких найбільший - це кредит у 92 мільйони доларів у стейблкоїнах, що має закінчитися в жовтні. Якщо вкрадені кошти не будуть своєчасно повернені, компанія може зіткнутися з борговою кризою.
Знову зазнали збитків через людську помилку
Насправді, це вже не перший раз, коли цей маркет-мейкер зазнає збитків через людський фактор. У червні цього року, коли його запросили надати ліквідність для одного з проектів Layer 2, через помилку в операціях було втрачено 20 мільйонів токенів.
Тоді фонд Layer 2 проекту розподілив 20 мільйонів токенів серед маркет-мейкерів для забезпечення ліквідності. Маркет-мейкери надали мультипідписну адресу в мережі Ethereum для отримання токенів. Але оскільки ця адреса ще не була розгорнута в мережі Layer 2, маркет-мейкери не змогли отримати доступ до цих токенів.
Коли маркет-мейкери намагалися відновити свою діяльність, зловмисник випередив їх і розгорнув багатопідписний контракт у Layer 2 мережі, контролюючи 20 мільйонів токенів. На щастя, наступного дня хакер повернув 17 мільйонів токенів, а залишкові втрати покриваються маркет-мейкерами.
Як особистим користувачам уникнути ризику крадіжки активів
З огляду на те, що установи часто зазнають величезних збитків через людські помилки, індивідуальним користувачам потрібно уважно захищати власну безпеку активів. Ось кілька порад:
Використовуйте лише нативні криптогамінці для створення адрес, уникайте використання сторонніх інструментів. Сторонні інструменти можуть містити ризики безпеки, їх легко контролювати або атакувати.
Для основного гаманця активів слід використовувати багатопідпис. Хоча це не підходить для високочастотної торгівлі, але для звичайних користувачів це може максимально знизити ризик людських помилок.
Не копіюйте та не вставляйте свої приватні ключі. Багато пристроїв та застосунків можуть отримати вміст буфера обміну, що збільшує ризик витоку. Навіть якщо на перший погляд це безпечно, можливі атаки після збільшення активів.
Уважно перевіряйте дозволені контракти та активи під час операцій у блокчейні. Перевірте справжність доменного імені сайту та адреси смарт-контракту, щоб запобігти наданню дозволу зловмисним контрактам.
Розумно налаштуйте ліміти авторизації та своєчасно відкличте непотрібні авторизації. Уникайте необмеженої авторизації, своєчасно відкликайте доступ після використання, щоб зменшити потенційні ризики.
Безпека не є дрібницею, особливо в умовах, коли активи у блокчейні важко повернути, а правова захист обмежений. Користувачі повинні бути особливо обережними під час операцій у блокчейні, вживаючи багатошарові заходи захисту, щоб максимально забезпечити безпеку активів.