Безопасность активов в блокчейне вызывает следование, в крипторынке часто происходят крупные кражи.
С ростом децентрализованных финансов ( DeFi ) и невзаимозаменяемых токенов ( NFT ) и других продуктов в блокчейне, активы пользователей постепенно перемещаются из традиционных централизованных каналов в децентрализованные кошельки, кроссчейн-мосты и платформы кредитования. Однако эта тенденция также привела к новым угрозам безопасности, случаи кражи активов пользователей и проектов в блокчейне становятся все более частыми, что заставляет сообщество часто шутить, что блокчейн — это "банкомат" для хакеров.
В этих кражах есть как технические проблемы, вызванные уязвимостями в коде, так и немало случаев, вызванных человеческой халатностью. 20 сентября криптовалютный маркет-мейкер Wintermute понес огромные убытки в размере 160 миллионов долларов из-за человеческой ошибки.
Один дорогостоящий человеческий фактор
После атаки основатель компании сообщил в социальных сетях, что централизованные финансовые и внебиржевые сделки компании не пострадали, а оставшийся капитал вдвое превышает долг, средства клиентов, имеющих соглашения о маркетмейкинге с Wintermute, находятся в безопасности. Из 90 активов, взломанных хакерами, только два имеют номинальную стоимость более 1 миллиона долларов, поэтому маловероятно, что произойдет массовая распродажа. Компания быстро общается с пострадавшими сторонами.
Компания Salus Security по безопасности блокчейна быстро локализовала адрес хакера. Источники средств на этом адресе включают услуги по смешиванию монет и крупные выводы из нескольких бирж. Анализ безопасности предполагает, что атака может быть связана с использованием инструмента с красивым номером Profanity компанией Wintermute для создания EOA-кошелька.
Основатель Wintermute затем признал, что компания действительно использовала Profanity и внутренние инструменты для создания адресов кошельков в июне, с целью оптимизации комиссий, а не для получения красивых номеров. На прошлой неделе, узнав о наличии уязвимости в Profanity, компания ускорила отказ от старых ключей, но из-за внутренней ошибки вызвала неправильную функцию и не смогла вовремя удалить права подписи с затронутых адресов.
Что касается украденных средств, основатель заявил, что если они будут полностью возвращены, будет выплачено вознаграждение в размере 10%, то есть 16 миллионов долларов. Он подчеркнул, что данная атака затронула только хранилище эфира, используемое для сделок в блокчейне DeFi, и компания не будет сокращать рабочие места, менять стратегию, привлекать финансирование или прекращать DeFi бизнес.
Однако данные в блокчейне показывают, что у Wintermute есть DeFi-долги перед несколькими контрагентами более 200 миллионов долларов, из которых самая большая сумма - 92 миллиона долларов в виде займа USDT с датой погашения в октябре. Если украденные средства не будут своевременно возвращены, компания может столкнуться с риском долгового кризиса.
Wintermute однажды потеряла 20 миллионов токенов из-за человеческой ошибки
На самом деле, это не первый случай, когда Wintermute понесла убытки из-за человеческого фактора. В июне этого года компания уже теряла 20 миллионов токенов из-за ошибки при предоставлении ликвидностных услуг для токена определенной публичной цепи.
В то время Wintermute был приглашен предоставить ликвидность для токена этой публичной цепи и получил временный грант в 20 миллионов токенов. Однако адрес, предоставленный компанией для получения, был мультиподписным адресом основной сети Ethereum и не был развернут на целевой цепи. Поскольку Wintermute не мог напрямую контролировать кросс-цепочные активы, он попытался развернуть мультиподписной контракт на том же адресе целевой цепи, но его опередил злоумышленник.
К счастью, хакер затем вернул 17 миллионов токенов, а Wintermute пообещал вернуть оставшиеся 2 миллиона. Этот инцидент снова подчеркивает сложность и риски кросс-цепочечных операций.
Как индивидуальным пользователям избежать риска кражи активов
Организации часто несут огромные убытки из-за человеческих ошибок. Как индивидуальным пользователям защитить свою безопасность активов? Вот несколько советов:
Избегайте использования сторонних инструментов для создания кошельков. Такие инструменты могут иметь уязвимости безопасности и легко подвергаться злонамеренному мониторингу. Следует придерживаться использования родных шифрованных кошельков.
Используйте мультиподпись для основных кошельков активов. Хотя это не подходит для высокочастотной торговли, но для большинства пользователей является эффективной мерой безопасности.
Никогда не копируйте и не вставляйте для сохранения приватный ключ. Многие устройства и приложения могут украсть содержимое буфера обмена, что приведет к утечке приватного ключа.
При авторизации операций внимательно проверяйте адрес контракта. Предотвращайте фишинговые сайты и взломанные фронтенды.
Ограничьте сумму авторизации и своевременно отмените неиспользуемую авторизацию. Неограниченная авторизация может привести к потенциальным рискам, поэтому ее следует отменить после использования.
Блокчейн-активы, как правило, трудно вернуть после кражи и часто не находятся под юридической защитой. Пользователи должны всегда быть бдительными и принимать необходимые меры для обеспечения безопасности активов. При выполнении операций в блокчейне необходимо действовать осторожно, чтобы свести риски к минимуму.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
8 Лайков
Награда
8
6
Поделиться
комментарий
0/400
FOMOmonster
· 08-02 15:49
Снова человеческая ошибка? Давайте, будьте внимательнее, друзья.
Посмотреть ОригиналОтветить0
WalletWhisperer
· 08-02 15:40
Вижу, что кто-то снова стал жертвой неудачников. Не легко, а.
Посмотреть ОригиналОтветить0
rugpull_ptsd
· 08-02 15:40
Раньше говорили использовать аппаратный кошелек, кто за это ответит?
Посмотреть ОригиналОтветить0
StakeOrRegret
· 08-02 15:33
Снова новые неудачники принесли дары, даже не умея хранить Кошелек.
Посмотреть ОригиналОтветить0
StrawberryIce
· 08-02 15:31
Снова начали выводить средства, технические про всегда больше, чем служба поддержки.
Посмотреть ОригиналОтветить0
DeFiVeteran
· 08-02 15:29
Жизнь такая магическая, разыгрывайте людей как лохов.
Wintermute подвергся хакерской атаке на 160 миллионов долларов. Человеческая ошибка снова вызывает тревогу по поводу безопасности активов в блокчейне.
Безопасность активов в блокчейне вызывает следование, в крипторынке часто происходят крупные кражи.
С ростом децентрализованных финансов ( DeFi ) и невзаимозаменяемых токенов ( NFT ) и других продуктов в блокчейне, активы пользователей постепенно перемещаются из традиционных централизованных каналов в децентрализованные кошельки, кроссчейн-мосты и платформы кредитования. Однако эта тенденция также привела к новым угрозам безопасности, случаи кражи активов пользователей и проектов в блокчейне становятся все более частыми, что заставляет сообщество часто шутить, что блокчейн — это "банкомат" для хакеров.
В этих кражах есть как технические проблемы, вызванные уязвимостями в коде, так и немало случаев, вызванных человеческой халатностью. 20 сентября криптовалютный маркет-мейкер Wintermute понес огромные убытки в размере 160 миллионов долларов из-за человеческой ошибки.
Один дорогостоящий человеческий фактор
После атаки основатель компании сообщил в социальных сетях, что централизованные финансовые и внебиржевые сделки компании не пострадали, а оставшийся капитал вдвое превышает долг, средства клиентов, имеющих соглашения о маркетмейкинге с Wintermute, находятся в безопасности. Из 90 активов, взломанных хакерами, только два имеют номинальную стоимость более 1 миллиона долларов, поэтому маловероятно, что произойдет массовая распродажа. Компания быстро общается с пострадавшими сторонами.
Компания Salus Security по безопасности блокчейна быстро локализовала адрес хакера. Источники средств на этом адресе включают услуги по смешиванию монет и крупные выводы из нескольких бирж. Анализ безопасности предполагает, что атака может быть связана с использованием инструмента с красивым номером Profanity компанией Wintermute для создания EOA-кошелька.
Основатель Wintermute затем признал, что компания действительно использовала Profanity и внутренние инструменты для создания адресов кошельков в июне, с целью оптимизации комиссий, а не для получения красивых номеров. На прошлой неделе, узнав о наличии уязвимости в Profanity, компания ускорила отказ от старых ключей, но из-за внутренней ошибки вызвала неправильную функцию и не смогла вовремя удалить права подписи с затронутых адресов.
Что касается украденных средств, основатель заявил, что если они будут полностью возвращены, будет выплачено вознаграждение в размере 10%, то есть 16 миллионов долларов. Он подчеркнул, что данная атака затронула только хранилище эфира, используемое для сделок в блокчейне DeFi, и компания не будет сокращать рабочие места, менять стратегию, привлекать финансирование или прекращать DeFi бизнес.
Однако данные в блокчейне показывают, что у Wintermute есть DeFi-долги перед несколькими контрагентами более 200 миллионов долларов, из которых самая большая сумма - 92 миллиона долларов в виде займа USDT с датой погашения в октябре. Если украденные средства не будут своевременно возвращены, компания может столкнуться с риском долгового кризиса.
Wintermute однажды потеряла 20 миллионов токенов из-за человеческой ошибки
На самом деле, это не первый случай, когда Wintermute понесла убытки из-за человеческого фактора. В июне этого года компания уже теряла 20 миллионов токенов из-за ошибки при предоставлении ликвидностных услуг для токена определенной публичной цепи.
В то время Wintermute был приглашен предоставить ликвидность для токена этой публичной цепи и получил временный грант в 20 миллионов токенов. Однако адрес, предоставленный компанией для получения, был мультиподписным адресом основной сети Ethereum и не был развернут на целевой цепи. Поскольку Wintermute не мог напрямую контролировать кросс-цепочные активы, он попытался развернуть мультиподписной контракт на том же адресе целевой цепи, но его опередил злоумышленник.
К счастью, хакер затем вернул 17 миллионов токенов, а Wintermute пообещал вернуть оставшиеся 2 миллиона. Этот инцидент снова подчеркивает сложность и риски кросс-цепочечных операций.
Как индивидуальным пользователям избежать риска кражи активов
Организации часто несут огромные убытки из-за человеческих ошибок. Как индивидуальным пользователям защитить свою безопасность активов? Вот несколько советов:
Избегайте использования сторонних инструментов для создания кошельков. Такие инструменты могут иметь уязвимости безопасности и легко подвергаться злонамеренному мониторингу. Следует придерживаться использования родных шифрованных кошельков.
Используйте мультиподпись для основных кошельков активов. Хотя это не подходит для высокочастотной торговли, но для большинства пользователей является эффективной мерой безопасности.
Никогда не копируйте и не вставляйте для сохранения приватный ключ. Многие устройства и приложения могут украсть содержимое буфера обмена, что приведет к утечке приватного ключа.
При авторизации операций внимательно проверяйте адрес контракта. Предотвращайте фишинговые сайты и взломанные фронтенды.
Ограничьте сумму авторизации и своевременно отмените неиспользуемую авторизацию. Неограниченная авторизация может привести к потенциальным рискам, поэтому ее следует отменить после использования.
Блокчейн-активы, как правило, трудно вернуть после кражи и часто не находятся под юридической защитой. Пользователи должны всегда быть бдительными и принимать необходимые меры для обеспечения безопасности активов. При выполнении операций в блокчейне необходимо действовать осторожно, чтобы свести риски к минимуму.