Безопасность активов: как избежать кражи средств в блокчейне
С распространением приложений блокчейна, таких как децентрализованные финансы и невзаимозаменяемые токены, активы пользователей постепенно переходят с традиционных централизованных каналов на платформы, такие как децентрализованные кошельки, кросс-цепочные мосты и кредитные продукты. Однако случаи кражи активов пользователей и проектов в блокчейне стали частыми, что привело к тому, что блокчейн стали называть "банком для хакеров".
Некоторые из этих инцидентов безопасности вызваны уязвимостями в коде, но множество из них также обусловлены человеческим фактором. Например, недавно один крипто-маркетмейкер потерял 160 миллионов долларов из-за ошибки в操作.
Огромные потери активов вызваны простой человеческой ошибкой
После инцидента данный маркет-мейкер заявил, что его централизованные финансовые и внебиржевые операции не пострадали, а платежеспособность составляет в два раза больше оставшегося капитала. Для пользователей, имеющих с ним соглашения о маркет-мейкинге, безопасность активов гарантирована. Из 90 активов, которые были взломаны, только два стоят более 1 миллиона долларов, поэтому маловероятно, что это вызовет массовую распродажу.
Анализ безопасности компании показал, что адреса хакеров связаны с Tornado Cash и некоторыми операциями вывода средств с бирж. Около 73% украденных средств составляют стабильные монеты, 8% - WBTC, 6% - ETH. Злоумышленники вложили 114 миллионов долларов в один проект для предоставления ликвидности.
После расследования выяснилось, что причиной кражи могло стать использование инструмента генерации адресов с уязвимостями. Этот маркетмейкер признал, что использовал такие инструменты для оптимизации комиссий, а не для создания красивых адресов. Хотя на прошлой неделе, узнав о наличии уязвимости в инструменте, он начал отказываться от старых ключей, из-за внутренней ошибки был вызван неправильный метод, что не позволило вовремя удалить права подписи с затронутых адресов.
Что касается похищенных средств, этот маркет-мейкер заявил, что готов заплатить 10% вознаграждения за их возврат. Хотя инцидент был вызван внутренней человеческой ошибкой, компания не уволит сотрудников, не изменит стратегию и не приостановит соответствующий бизнес.
Однако данные в блокчейне показывают, что этот маркет-мейкер имеет долговые обязательства в области децентрализованных финансов перед несколькими контрагентами на сумму более 200 миллионов долларов, из которых крупнейший составляет 92 миллиона долларов в виде займа в стейблкоинах, который истекает в октябре. Если украденные средства не удастся вовремя вернуть, компания может столкнуться с долговым кризисом.
Снова понесены потери из-за человеческой ошибки
На самом деле, это не первый раз, когда этот маркет-мейкер понес убытки из-за человеческих факторов. В июне этого года, когда его пригласили предоставить ликвидность для одного проекта Layer 2, он потерял 20 миллионов токенов из-за ошибки в操作.
В то время фонд Layer 2 проекта выделил 20 миллионов токенов маркетмейкерам для обеспечения ликвидности. Маркетмейкеры предоставили мультиподписной адрес в основной сети Ethereum для получения токенов. Однако из-за того, что этот адрес еще не был развернут в сети Layer 2, маркетмейкеры не смогли получить доступ к этим токенам.
Во время того, как маркетмейкеры пытались восстановить операции, злоумышленник опередил их и развернул многофункциональный контракт в сети Layer 2, контролируя 20 миллионов токенов. К счастью, на следующий день хакер вернул 17 миллионов токенов, оставшиеся убытки понесли маркетмейкеры.
Как индивидуальным пользователям избежать риска кражи активов
Учитывая, что организации часто несут огромные убытки из-за человеческих ошибок, индивидуальные пользователи должны особенно осторожно защищать свою безопасность активов. Вот несколько рекомендаций:
Используйте только родные криптовалютные кошельки для создания адресов, избегайте использования сторонних инструментов. Сторонние инструменты могут представлять собой угрозу безопасности и могут быть легко подвержены мониторингу или атакам.
Используйте мультиподпись для основных кошельков активов. Хотя это не подходит для высокочастотной торговли, для обычных пользователей это может максимально снизить риск человеческой ошибки.
Не копируйте и не вставляйте для сохранения личный ключ. Многие устройства и приложения могут получить доступ к содержимому буфера обмена, увеличивая риск утечки. Даже если временно безопасно, это может подвергнуться атаке после увеличения активов.
При выполнении операций в блокчейне внимательно проверяйте авторизованные контракты и активы. Проверяйте подлинность доменного имени сайта и адреса смарт-контракта, чтобы предотвратить авторизацию вредоносного контракта.
Разумно устанавливайте лимиты на разрешения и своевременно отменяйте ненужные разрешения. Избегайте безлимитных разрешений, своевременно отменяйте доступ после использования, чтобы снизить потенциальные риски.
Безопасность не бывает мелочью, особенно в условиях, когда активы в блокчейне трудно вернуть, а правовая защита ограничена. Пользователи должны быть особенно осторожны при операциях в блокчейне и принимать многослойные меры защиты, чтобы максимально гарантировать безопасность активов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Избегайте кражи средств в блокчейне. Пять шагов для защиты ваших шифрования активов.
Безопасность активов: как избежать кражи средств в блокчейне
С распространением приложений блокчейна, таких как децентрализованные финансы и невзаимозаменяемые токены, активы пользователей постепенно переходят с традиционных централизованных каналов на платформы, такие как децентрализованные кошельки, кросс-цепочные мосты и кредитные продукты. Однако случаи кражи активов пользователей и проектов в блокчейне стали частыми, что привело к тому, что блокчейн стали называть "банком для хакеров".
Некоторые из этих инцидентов безопасности вызваны уязвимостями в коде, но множество из них также обусловлены человеческим фактором. Например, недавно один крипто-маркетмейкер потерял 160 миллионов долларов из-за ошибки в操作.
Огромные потери активов вызваны простой человеческой ошибкой
После инцидента данный маркет-мейкер заявил, что его централизованные финансовые и внебиржевые операции не пострадали, а платежеспособность составляет в два раза больше оставшегося капитала. Для пользователей, имеющих с ним соглашения о маркет-мейкинге, безопасность активов гарантирована. Из 90 активов, которые были взломаны, только два стоят более 1 миллиона долларов, поэтому маловероятно, что это вызовет массовую распродажу.
Анализ безопасности компании показал, что адреса хакеров связаны с Tornado Cash и некоторыми операциями вывода средств с бирж. Около 73% украденных средств составляют стабильные монеты, 8% - WBTC, 6% - ETH. Злоумышленники вложили 114 миллионов долларов в один проект для предоставления ликвидности.
После расследования выяснилось, что причиной кражи могло стать использование инструмента генерации адресов с уязвимостями. Этот маркетмейкер признал, что использовал такие инструменты для оптимизации комиссий, а не для создания красивых адресов. Хотя на прошлой неделе, узнав о наличии уязвимости в инструменте, он начал отказываться от старых ключей, из-за внутренней ошибки был вызван неправильный метод, что не позволило вовремя удалить права подписи с затронутых адресов.
Что касается похищенных средств, этот маркет-мейкер заявил, что готов заплатить 10% вознаграждения за их возврат. Хотя инцидент был вызван внутренней человеческой ошибкой, компания не уволит сотрудников, не изменит стратегию и не приостановит соответствующий бизнес.
Однако данные в блокчейне показывают, что этот маркет-мейкер имеет долговые обязательства в области децентрализованных финансов перед несколькими контрагентами на сумму более 200 миллионов долларов, из которых крупнейший составляет 92 миллиона долларов в виде займа в стейблкоинах, который истекает в октябре. Если украденные средства не удастся вовремя вернуть, компания может столкнуться с долговым кризисом.
Снова понесены потери из-за человеческой ошибки
На самом деле, это не первый раз, когда этот маркет-мейкер понес убытки из-за человеческих факторов. В июне этого года, когда его пригласили предоставить ликвидность для одного проекта Layer 2, он потерял 20 миллионов токенов из-за ошибки в操作.
В то время фонд Layer 2 проекта выделил 20 миллионов токенов маркетмейкерам для обеспечения ликвидности. Маркетмейкеры предоставили мультиподписной адрес в основной сети Ethereum для получения токенов. Однако из-за того, что этот адрес еще не был развернут в сети Layer 2, маркетмейкеры не смогли получить доступ к этим токенам.
Во время того, как маркетмейкеры пытались восстановить операции, злоумышленник опередил их и развернул многофункциональный контракт в сети Layer 2, контролируя 20 миллионов токенов. К счастью, на следующий день хакер вернул 17 миллионов токенов, оставшиеся убытки понесли маркетмейкеры.
Как индивидуальным пользователям избежать риска кражи активов
Учитывая, что организации часто несут огромные убытки из-за человеческих ошибок, индивидуальные пользователи должны особенно осторожно защищать свою безопасность активов. Вот несколько рекомендаций:
Используйте только родные криптовалютные кошельки для создания адресов, избегайте использования сторонних инструментов. Сторонние инструменты могут представлять собой угрозу безопасности и могут быть легко подвержены мониторингу или атакам.
Используйте мультиподпись для основных кошельков активов. Хотя это не подходит для высокочастотной торговли, для обычных пользователей это может максимально снизить риск человеческой ошибки.
Не копируйте и не вставляйте для сохранения личный ключ. Многие устройства и приложения могут получить доступ к содержимому буфера обмена, увеличивая риск утечки. Даже если временно безопасно, это может подвергнуться атаке после увеличения активов.
При выполнении операций в блокчейне внимательно проверяйте авторизованные контракты и активы. Проверяйте подлинность доменного имени сайта и адреса смарт-контракта, чтобы предотвратить авторизацию вредоносного контракта.
Разумно устанавливайте лимиты на разрешения и своевременно отменяйте ненужные разрешения. Избегайте безлимитных разрешений, своевременно отменяйте доступ после использования, чтобы снизить потенциальные риски.
Безопасность не бывает мелочью, особенно в условиях, когда активы в блокчейне трудно вернуть, а правовая защита ограничена. Пользователи должны быть особенно осторожны при операциях в блокчейне и принимать многослойные меры защиты, чтобы максимально гарантировать безопасность активов.