Багатоланкова платформа зазнала значних втрат активів

Нещодавно одна багатоланкова комплексна платформа для торгівлі зіткнулася з серйозною кризою викрадення активів. Ця платформа підтримує функції швидкої торгівлі, захисту від MEV та стратегічної торгівлі, надаючи зручний торговий досвід для багатьох користувачів на фоні зростання популярності мем-коїнів. Однак 16 листопада велика кількість користувачів виявила, що їхні рахунки були очищені.

Корінь події полягає в тому, що платформа застосувала модель зберігання активів, подібну до централізованих бірж, але не змогла реалізувати відповідні рішення для управління активами з необхідним рівнем безпеки. Ця архітектура призвела до того, що майже всі активи користувачів опинилися під загрозою.

Ця подія не лише виявила вразливості платформи в управлінні активами, але й надала нам можливість глибше дослідити ризики кастодіальних гаманців.

Суттєва різниця між托管账户 та自托管账户

У традиційній фінансовій сфері управлінські рахунки повністю контролюються централізованими фінансовими установами. Користувачі повинні подавати заявки до установи, щоб повернути кошти. Наприклад, адреси, які централізовані біржі надають користувачам, використовуються виключно для поповнення, користувачі не можуть безпосередньо ними керувати, всі транзакції, перекази та зняття коштів потребують підтвердження платформи.

У цьому випадку рівень управління ризиками платформи безпосередньо впливає на безпеку активів користувачів.

Порівняно з цим, самостійні рахунки використовують технологію децентралізованих гаманців, що дозволяє користувачам повністю контролювати свої активи. Після створення мнемонічної фрази або приватного ключа в безпечному середовищі, користувачі можуть вільно переміщувати активи в адресі без необхідності у дозволі з боку третіх осіб.

Ключова різниця між управлінням та самостійним управлінням полягає в тому, чи має користувач ексклюзивний доступ до приватного ключа адреси або мнемонічної фрази.

Різниця між цією подією та викраденням на платформі

Зазвичай крадіжка облікового запису на біржі відбувається в двох випадках: обліковий запис користувача на платформі було незаконно доступлено, що призвело до переміщення активів, або сама платформа зазнала атак хакерів, внаслідок чого активи з гарячого гаманця були безпосередньо виведені, навіть ключі або мнемонічні фрази холодного гаманця були вкрадені.

У цьому інциденті залучена платформа використала подібну централізовану структуру облікових записів, що дозволяє користувачам створювати адреси на платформі та ділитися правами на операції. Однак, на відміну від централізованих бірж, ця платформа не зосередила кошти користувачів в декількох адресах для безпечного управління, таких як ізоляція холодних та гарячих гаманців або управління з мультипідписом. Такий підхід створив умови для виникнення єдиної точки відмови.

Як знизити ризик управління

1. Балансування безпеки та зручності: хоча традиційні кроки в ланцюгу транзакцій є досить численними, нехтування цими кроками в гонитві за можливостями торгівлі може збільшити ризики. Рекомендується користувачам помірно використовувати послуги управління, добре усвідомлюючи ризики, щоб контролювати ризики в межах прийнятного рівня.

2. Будьте обережні: не передавайте права доступу до адреси іншим особам або стороннім інструментам. У повсякденному використанні слід обережно управляти правами доступу, уникати використання додатків з незрозумілим походженням або натискання на підозрілі посилання.

3. Вивчення знань про безпеку Web3: ознайомлення з поширеними шахрайськими методами може допомогти інвесторам уникнути більшості потенційних ризиків. Більше звертайте увагу на безпекові рекомендації Web3, опубліковані авторитетними організаціями, щоб підвищити свою обізнаність про безпеку та здатність до запобігання.

Підсумок

Ця подія ще раз нагадує нам, що, насолоджуючись зручностями, які приносить технологія блокчейн, ми повинні завжди залишатися насторожі. Глибше розуміючи ризики, пов'язані з кастодіальними гаманцями, та вживаючи відповідні запобіжні заходи, інвестори можуть краще захистити безпеку своїх цифрових активів.