segurança do ativo:como evitar o roubo de fundos na cadeia
Com a popularização de aplicações em blockchain, como finanças descentralizadas e tokens não fungíveis, os ativos dos usuários estão gradualmente se transferindo de canais centralizados tradicionais para plataformas como carteiras descentralizadas, pontes entre cadeias e produtos de empréstimo. No entanto, a frequência de projetos na cadeia e incidentes de roubo de ativos dos usuários fez com que o blockchain fosse apelidado de "máquina de saque dos hackers".
Alguns desses acidentes de segurança decorrem de falhas de código, mas muitos também são causados por fatores humanos. Por exemplo, recentemente, um determinado market maker de criptomoedas perdeu 160 milhões de dólares devido a um erro operacional.
Perda de ativos massiva resulta de um simples erro humano
Após o incidente, o market maker afirmou que seus negócios de finanças centralizadas e negociação de balcão não foram afetados, e a capacidade de pagamento ainda é o dobro do capital remanescente. Para os usuários com quem tem acordos de market making, a segurança do ativo está garantida. Entre os 90 ativos invadidos por hackers, apenas dois tinham um valor superior a 1 milhão de dólares, portanto é pouco provável que isso provoque uma venda em massa.
A análise da empresa de segurança descobriu que o endereço do hacker está relacionado com o Tornado Cash e certas operações de retirada de exchanges. Cerca de 73% dos fundos roubados são stablecoins, 8% são WBTC e 6% são ETH. O atacante depositou 114 milhões de dólares em um projeto para fornecer liquidez.
A investigação subsequente revelou que a razão do roubo pode ter sido o uso de uma ferramenta de geração de endereços com vulnerabilidades. O market maker admitiu ter usado esse tipo de ferramenta para otimizar as taxas de transação, e não para criar endereços bonitos. Embora tenha começado a descontinuar o uso de chaves antigas após descobrir a vulnerabilidade da ferramenta na semana passada, devido a um erro interno, chamou erroneamente a função errada e não conseguiu remover a permissão de assinatura dos endereços afetados a tempo.
Para os fundos roubados, o market maker afirmou que está disposto a pagar uma recompensa de 10% para a recuperação. Embora o incidente tenha sido causado por um erro humano interno, a empresa não demitirá funcionários, não mudará de estratégia nem suspenderá negócios relacionados.
No entanto, os dados na cadeia mostram que este formador de mercado tem dívidas de finanças descentralizadas superiores a 200 milhões de dólares para vários contrapartes, sendo a maior uma empréstimo de stablecoin de 92 milhões de dólares que vence em outubro. Se os fundos roubados não puderem ser recuperados a tempo, a empresa pode enfrentar uma crise de dívida.
Novamente sofreu perdas devido a erro humano
Na verdade, esta não é a primeira vez que este market maker sofre perdas devido a fatores humanos. Em junho deste ano, quando foi convidado a fornecer liquidez para um projeto Layer 2, perdeu 20 milhões de tokens devido a um erro operacional.
Na altura, a fundação do projeto Layer 2 alocou 20 milhões de tokens para os market makers para fornecer liquidez. Os market makers forneceram um endereço de múltiplas assinaturas da rede principal Ethereum para receber os tokens. No entanto, como este endereço ainda não tinha sido implantado na rede Layer 2, os market makers não conseguiram aceder a esses tokens.
Enquanto o criador de mercado tentava restaurar a operação, o atacante se antecipou e implantou um contrato de múltiplas assinaturas na rede Layer 2, controlando assim os 20 milhões de tokens. Felizmente, no dia seguinte, o hacker devolveu 17 milhões de tokens, e a perda restante foi suportada pelo criador de mercado.
Como os usuários individuais podem evitar o risco de roubo de ativos
Dado que as instituições frequentemente sofrem enormes perdas devido a erros humanos, os usuários individuais devem ser ainda mais cautelosos na proteção da sua segurança do ativo. Aqui estão algumas sugestões:
Crie endereços apenas com carteiras de criptomoedas nativas, evite usar ferramentas de terceiros. Ferramentas de terceiros podem ter riscos de segurança, sendo suscetíveis a monitorização ou ataques.
Adotar múltiplas assinaturas para a carteira de ativos principais. Embora não seja adequado para negociações de alta frequência, para os usuários comuns pode minimizar ao máximo o risco de erro humano.
Não copie e cole para salvar a chave privada. Muitos dispositivos e aplicativos podem acessar o conteúdo da área de transferência, aumentando o risco de vazamento. Mesmo que esteja temporariamente seguro, pode ser atacado após o aumento do ativo.
Na cadeia, verifique cuidadosamente os contratos e ativos autorizados. Verifique a autenticidade do domínio do site e do endereço do contrato inteligente para evitar a autorização de contratos maliciosos.
Defina limites de autorização razoáveis e revogue atempadamente autorizações desnecessárias. Evite autorizações ilimitadas, revogue o acesso assim que não for mais necessário, reduzindo riscos potenciais.
A segurança não é um assunto trivial, especialmente em situações onde os ativos na blockchain são difíceis de recuperar e a proteção legal é limitada. Os usuários devem ser especialmente cautelosos ao operar na cadeia, adotando múltiplas medidas de proteção para garantir ao máximo a segurança do ativo.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Evitar o roubo de fundos na cadeia: cinco passos para proteger os seus ativos de encriptação
segurança do ativo:como evitar o roubo de fundos na cadeia
Com a popularização de aplicações em blockchain, como finanças descentralizadas e tokens não fungíveis, os ativos dos usuários estão gradualmente se transferindo de canais centralizados tradicionais para plataformas como carteiras descentralizadas, pontes entre cadeias e produtos de empréstimo. No entanto, a frequência de projetos na cadeia e incidentes de roubo de ativos dos usuários fez com que o blockchain fosse apelidado de "máquina de saque dos hackers".
Alguns desses acidentes de segurança decorrem de falhas de código, mas muitos também são causados por fatores humanos. Por exemplo, recentemente, um determinado market maker de criptomoedas perdeu 160 milhões de dólares devido a um erro operacional.
Perda de ativos massiva resulta de um simples erro humano
Após o incidente, o market maker afirmou que seus negócios de finanças centralizadas e negociação de balcão não foram afetados, e a capacidade de pagamento ainda é o dobro do capital remanescente. Para os usuários com quem tem acordos de market making, a segurança do ativo está garantida. Entre os 90 ativos invadidos por hackers, apenas dois tinham um valor superior a 1 milhão de dólares, portanto é pouco provável que isso provoque uma venda em massa.
A análise da empresa de segurança descobriu que o endereço do hacker está relacionado com o Tornado Cash e certas operações de retirada de exchanges. Cerca de 73% dos fundos roubados são stablecoins, 8% são WBTC e 6% são ETH. O atacante depositou 114 milhões de dólares em um projeto para fornecer liquidez.
A investigação subsequente revelou que a razão do roubo pode ter sido o uso de uma ferramenta de geração de endereços com vulnerabilidades. O market maker admitiu ter usado esse tipo de ferramenta para otimizar as taxas de transação, e não para criar endereços bonitos. Embora tenha começado a descontinuar o uso de chaves antigas após descobrir a vulnerabilidade da ferramenta na semana passada, devido a um erro interno, chamou erroneamente a função errada e não conseguiu remover a permissão de assinatura dos endereços afetados a tempo.
Para os fundos roubados, o market maker afirmou que está disposto a pagar uma recompensa de 10% para a recuperação. Embora o incidente tenha sido causado por um erro humano interno, a empresa não demitirá funcionários, não mudará de estratégia nem suspenderá negócios relacionados.
No entanto, os dados na cadeia mostram que este formador de mercado tem dívidas de finanças descentralizadas superiores a 200 milhões de dólares para vários contrapartes, sendo a maior uma empréstimo de stablecoin de 92 milhões de dólares que vence em outubro. Se os fundos roubados não puderem ser recuperados a tempo, a empresa pode enfrentar uma crise de dívida.
Novamente sofreu perdas devido a erro humano
Na verdade, esta não é a primeira vez que este market maker sofre perdas devido a fatores humanos. Em junho deste ano, quando foi convidado a fornecer liquidez para um projeto Layer 2, perdeu 20 milhões de tokens devido a um erro operacional.
Na altura, a fundação do projeto Layer 2 alocou 20 milhões de tokens para os market makers para fornecer liquidez. Os market makers forneceram um endereço de múltiplas assinaturas da rede principal Ethereum para receber os tokens. No entanto, como este endereço ainda não tinha sido implantado na rede Layer 2, os market makers não conseguiram aceder a esses tokens.
Enquanto o criador de mercado tentava restaurar a operação, o atacante se antecipou e implantou um contrato de múltiplas assinaturas na rede Layer 2, controlando assim os 20 milhões de tokens. Felizmente, no dia seguinte, o hacker devolveu 17 milhões de tokens, e a perda restante foi suportada pelo criador de mercado.
Como os usuários individuais podem evitar o risco de roubo de ativos
Dado que as instituições frequentemente sofrem enormes perdas devido a erros humanos, os usuários individuais devem ser ainda mais cautelosos na proteção da sua segurança do ativo. Aqui estão algumas sugestões:
Crie endereços apenas com carteiras de criptomoedas nativas, evite usar ferramentas de terceiros. Ferramentas de terceiros podem ter riscos de segurança, sendo suscetíveis a monitorização ou ataques.
Adotar múltiplas assinaturas para a carteira de ativos principais. Embora não seja adequado para negociações de alta frequência, para os usuários comuns pode minimizar ao máximo o risco de erro humano.
Não copie e cole para salvar a chave privada. Muitos dispositivos e aplicativos podem acessar o conteúdo da área de transferência, aumentando o risco de vazamento. Mesmo que esteja temporariamente seguro, pode ser atacado após o aumento do ativo.
Na cadeia, verifique cuidadosamente os contratos e ativos autorizados. Verifique a autenticidade do domínio do site e do endereço do contrato inteligente para evitar a autorização de contratos maliciosos.
Defina limites de autorização razoáveis e revogue atempadamente autorizações desnecessárias. Evite autorizações ilimitadas, revogue o acesso assim que não for mais necessário, reduzindo riscos potenciais.
A segurança não é um assunto trivial, especialmente em situações onde os ativos na blockchain são difíceis de recuperar e a proteção legal é limitada. Os usuários devem ser especialmente cautelosos ao operar na cadeia, adotando múltiplas medidas de proteção para garantir ao máximo a segurança do ativo.