مقابلة: لماذا يستمر المتسللون في الوصول إلى بروتوكولات وحلول DeFi

TL ؛ انهيار DR

• الوفرة التي يصل بها المتسللون إلى التشفير ، وتستمر بروتوكولات DeFi في الارتفاع.
• خسر أكثر من 7 مليارات دولار في الهجمات على صناعة العملات الرقمية في عام 2021.
• لماذا يواصل المتسللون استهداف صناعة التشفير.

الكم الهائل من المتسللين في DeFi كمصدر قلق للصناعة.

وبحسب ما ورد ، حدثت dent قرصنة على blockchain خلال الشهر الماضي ، تم الإبلاغ عن ما لا يقل عن خمس حالات لاختراق تشفير باستخدام بروتوكول DeFi ، وهي أحدث حالات تعرض لها هؤلاء المتسللون. وقيل إن أكثر من 130 مليون دولار قد سُرقت.

بدلاً من ذلك ، تحدثت Cryptopolitan مع Dmitry Mishunin ، الرئيس التنفيذي والمؤسس في HashEx ، وهي شركة R&D تركز على تكامل blockchain في العمليات التجارية والأمن السيبراني . يتمتع ديمتري tron ​​g في مجال الأمن السيبراني والتطبيقات اللامركزية بالإضافة إلى خبرة رائعة في تطوير أنظمة أمن المعلومات.

فيما يلي مقتطفات من المقابلة

س: هل فوجئت بعدد الاختراقات والاستغلال التي يواجهها المستخدمون مؤخرًا؟

لسوء الحظ ، لا. نحن نرى أن المزيد والمزيد من الناس يكتبون مخالفاتهم trac . لكن في كثير من الأحيان ليس لديهم برمجة كافية وفهم جيد لـ Solidity - حاليًا لغة البرمجة الوحيدة المتوافقة مع Ethereum . يعد الفهم الجيد للغة البرمجة أمرًا ضروريًا لإنشاء DeFi ، وقد يؤدي عدم معرفة بعض الفروق الدقيقة إلى استغلال الأموال وسرقة الأموال.

س: كيف يمكن أن يؤدي قبول أو التوقيع على trac ذكي يحتوي على تعليمات برمجية ضارة إلى سرقة أصولك؟

يجب أن يعرف كل مستخدم أن معاملات blockchain لا رجوع فيها: بمجرد الموافقة على مبلغ معين من رمز ERC-20 إلى ERC-20 smart con trac t ، سيتم نقله إليه بشكل لا رجوع فيه. trac المحتوى قد تحقَّق من الكود المصدري دون وجود ثغرات ، ولكن يمكن أن يحتوي أيضًا على بعض المكتبات التي لم يتم التحقق منها باعتبارها تبعية. تعد الموافقة على الرموز المميزة لمثل هذا التعقب trac كبيرة لأنه لا يمكنك التحقق من كيفية عمل المكتبة.
كان هذا هو الحال في مشروع StableMarket ، عندما تمت سرقة ما لا يقل عن 27 مليون دولار من أموال المستخدمين. لمشروع StableMarket con trac ts رمز مدقق ولكن تم نشره مع مكتبة لم يتم التحقق منها. كانت هذه المكتبة ضارة ، وقد سرقت الرموز المميزة للمستخدمين المخزنة في البروتوكول.

هناك خطر آخر يواجه المستخدمين وهو الموافقة على الرموز المميزة لخدعة ذكية قابلة trac قد يكون هذا الخداع trac matic تمت ترقيته برمز ضار وسرقة الرموز المميزة المعتمدة.
غالبًا ما توافق تطبيقات الواجهة الأمامية على الحد الأقصى من الرموز المميزة للخطأ trac وليس فقط مبلغ الرمز المميز الذي سيتم استخدامه. يتم ذلك لدفع ثمن الغاز في معاملة واحدة. إذا قام المستخدم بإيداع الرموز المميزة في عملية ما trac فسيحتاج إلى دفع ثمن الغاز بشكل إضافي. ولكن إذا تصرفت عملية تتبع trac ضار ، فيمكنها في هذه الحالة سحب أي مبلغ من الرموز المميزة من المحفظة.

لذلك ، فإن أفضل ممارسة لتحقيق أقصى قدر من الأمان هي دائمًا التحقق من مبلغ الموافقة والموافقة على المبلغ المطلوب فقط لعملية trac .

س: هل يصبح المتسللون أكثر ذكاءً أم أن مستخدمي العملات المشفرة أصبحوا أقل حذرًا في إجراءات الأمن السيبراني الخاصة بهم؟

كلا العبارتين صحيحان. حقق المتسللون تقدمًا جادًا في استغلال منصات القروض السريعة جنبًا إلى جنب مع بروتوكولات مختلفة لإنشاء واستغلال الثغرات الأمنية. هذه المنصات الأخرى آمنة في معظم الأحيان ، لكن القروض السريعة تخلق المزيد من التعقيد الهيكلي ، مما يجعل نقاط الضعف أكثر تكرارًا.

مثل هذه الهجمات معقدة للغاية.
حتى تحليلهم يستغرق الكثير من الوقت. وأيضًا هناك الكثير من الاختراقات للمشاريع التي تحتوي فقط على تعليمات برمجية رديئة بها أخطاء بسيطة يمكن التخلص منها على الأرجح إذا تم إجراء الاختبارات أو تم تدقيق الكود بشكل صحيح. جزء من اللوم يقع أيضًا على عاتق المستخدمين ، لأن العديد منهم يعرفون الممارسات الآمنة التي تقلل من المخاطر ، مثل التخزين البارد ، على سبيل المثال. لكنهم غالبًا ما يتجاهلونهم ، ويفقدون رؤوسهم بسبب فرصة يمكن أن تحقق لهم عائد استثمار متعدد الأوجه. في بعض الأحيان ، ينتهي بهم الأمر ببساطة إلى خسارة أموالهم.

س: كيف يمكن للمستخدمين حماية أصولهم بشكل أفضل على Metamask و dapps المرتبطة به مثل OpenSea و DeFi ؟

أفضل حماية هي عدم تخزين جميع الأصول في محافظ ساخنة ولكن إرسالها إلى محافظ باردة: الأخيرة لا تتمتع بإمكانية الوصول إلى الإنترنت.
من الأفضل تخزين كمية صغيرة فقط من الأصول اللازمة للعمليات في محافظ ساخنة والاحتفاظ بالباقي في التخزين البارد. علاوة على ذلك ، يجب على المستخدمين اتباع قواعد الأمان القياسية: استخدام برامج مكافحة الفيروسات ، وتجنب فتح الروابط المشبوهة في رسائل البريد الإلكتروني ، واستخدام المصادقة الثنائية عندما يكون ذلك ممكنًا.

س: هل تعتقد أن الاختراقات والاستغلال ستصبح أكثر شيوعًا مع نمو الصناعة؟

مع نمو الصناعة وإطلاق المزيد من المشاريع ، سيواجه المزيد منها خطر التعرض للاختراق. لا يمكنك القضاء على جميع الأخطاء في جميع المشاريع ، لكن شركات أمان blockchain تعمل باستمرار على تقليلها. لا يشمل ذلك عمليات تدقيق الكود المصدري للمشروع فحسب ، بل يشمل أيضًا تطوير أدوات تحليلية من شأنها أن تساعد في منع ظهور الأخطاء تمامًا ، أو على الأقل العثور عليها في المراحل الأولى من التطوير.

س: ما هو الدور الذي تلعبه HashEx في توسيع صناعة العملات المشفرة؟

ننير الناس حول الشفافية والأمان في استخدام التطبيقات اللامركزية. منطق عملهم معقد للغاية وغير واضح بحيث يفهمه المستخدم العادي. أيضًا ، لن يعهد أي شخص عاقل بأمواله إلى شيء لا يفهمونه ، مثل بينوكيو في مجال المعجزات. نفسر المفاهيم المعقدة بعبارات واضحة ونسلط الضوء على المزالق التي يجب أن يكون الناس على دراية بها ومحاولة تجنبها ، وبالمثل نساعد المستثمرين المحتملين على اتخاذ قرار مستنير بشأن أموالهم.

لكن في المقام الأول نحن شركة تدقيق تتمحور حول DeFi والعملات المشفرة. هذا يعني أننا نقوم بالكثير من عمليات تدقيق trac الذكية ، وبالتالي نساعد مشاريع التشفير على كسب ثقة المستثمرين حيث يثق المستثمرون بشكل أفضل في المشاريع المحمية جيدًا من الأخطاء المكلفة التي يمكن أن تلحق الضرر بمستثمريهم ماليًا.

س: ما هي أفكارك من قبل كل من G7 dent الأمريكي في جو بايدن بشأن تحركاته لإنهاء برامج الفدية والأمن السيبراني واختراقات التشفير المتكررة؟

يعد التحسين المستمر لمعايير الأمان جزءًا من أيديولوجيتنا الروتينية وشركاتنا. نسعى لجلب الثقة إلى مساحة DeFi غير الموثوقة. وهذه القضية مهمة في أي مجال من مجالات تكنولوجيا المعلومات ، وليس فقط DeFi . مع الظهور السريع لمنتجات البرمجيات الجديدة ، لسوء الحظ ، لم يتم إيلاء الاهتمام الكافي لجانب الأمن السيبراني ، مما يخلق فرصًا للمتسللين لاستغلالها. هناك سببان رئيسيان لهذا: "البرمجة بالنقر بالماوس" وقوة عاملة منخفضة الجودة يتم تقديمها بشكل غير ضروري إلى أجور كبيرة.

هذا هو الجانب السلبي لأعمال تكنولوجيا المعلومات سريعة النمو. في بيئة تأكل الكلاب هذه ، تحاول الشركات أن تتقدم على بعضها البعض ، وتقدم منتجات جديدة وغالبًا ما تغض الطرف عن المشكلات الأمنية على الرغم من أهميتها. نتيجة لذلك ، نحصل في بعض الأحيان على أنظمة كبيرة ، يستخدمها عدد كبير من العملاء ، بينما لا تزال لدينا أخطاء قد تؤدي إلى فقدان أموال المستخدمين. في بعض الأحيان ، يمكن أن تكون عواقب هذه الأخطاء على مستوى القارة.

من هذا المنطلق ، فإن التدخل الحكومي له ما يبرره تمامًا. إذا لم تكن حكومات الولايات تتدخل في هذه القضايا ، فمن الذي سيقمع رجال الأعمال الجشعين ويقنعهم بتكريس الجهود للتدابير الأمنية وتطوير البرامج بطريقة معقولة؟

إذا بدأ الناس في الإبلاغ عن الاختراقات للوكالات الحكومية ، فسيكون لذلك تأثير إيجابي. يمكن أن تساعد المعلومات في الوقت المناسب في تقليل عواقب الانهيار المحتمل من خلال السماح بإشراك قنوات الاحتياطي (يمكن اعتبار الموقف مع إمداد الساحل الشرقي للولايات المتحدة بالنفط مثالًا جيدًا على هذه الممارسة).

من شأن معايير الأمان الموحدة عبر الصناعة أن تكون جيدة أيضًا ، إذا تم تطويرها من قبل خبراء ، وليس من قبل جهات خارجية. حتى في المرحلة المبكرة الحالية من تطوير DApp ، نشهد تنفيذ هذه المعايير من قبل كبار المدققين. سيساعد تكامل مثل هذه البروتوكولات الجميع: سيجعل البرمجة أسهل ، والرموز أكثر أمانًا ، وسيحمي أموال المستخدمين أيضًا.

س: تحدث هذه الاختراقات عن تأثيرها على صناعة العملات المشفرة

التعليقات على صناعة التشفير هي محاولة للسيطرة على الأموال المسروقة. اظن ان هذا شيء جيد. في الوقت الحالي ، لا يمكنك الحصول على جميع وسائل الراحة في العالم الحقيقي من خلال العملة المشفرة. يتغير هذا الوضع يومًا بعد يوم ، لكنه بعيد كل البعد عن الكمال. لذلك ، لا يزال المتسللون بحاجة إلى جسر بين الأموال المشفرة والأموال الورقية لسحب الأموال المكتسبة بشكل غير قانوني.

هذه هي المرحلة التي يمكن أن يتم فيها dent المجرمين. كلما تم العثور على عدد أكبر منهم ، قل عدد المستعدين لمحاولة القيام بذلك مرة أخرى. يمكن للمرء أن يتذكر كيف اعتادوا على قطع أجزاء من الجسم للسرقة في الثقافات الشرقية. مثل هذه التدخلات من وكالات إنفاذ القانون لها تأثير إيجابي كلي على صناعة العملات المشفرة وسمعتها. هذه الإجراءات تجعل الناس يشعرون بأمان أكبر.

س: الجهات الفاعلة / اللاعبون السيئون الذين يقفون وراء العديد من عمليات اختراق التشفير هذه ، ما هي العقوبات التي توصي بها لردع الآخرين؟

كما قلت من قبل ، أنا أؤيد جميعًا معاقبة مثل هؤلاء الأفراد. أود أن أرى مثل هذه العمليات على أنها احتيال مالي بدرجات متفاوتة من الخطورة ، وأقوم بتطبيق الإجراءات القانونية المقابلة عليها. لن أحاول وضع قوانين جديدة في هذا الوقت.

س: يكاد يكون من المستحيل تحقيق عالم تشفير بدون اختراق ، فكيف يمكن لأصحاب المصلحة المشفرة وصانعي السياسات وغيرهم من الأشخاص تقليل الهجمات إلى الحد الأدنى؟

لا يمكن تصور أي مجال لتكنولوجيا المعلومات بدون تهديدات إلكترونية. لكن عندما نتحدث عن الأعمال العادية ، فإننا نرى فقط غيض من فيض ، وليس الصورة الكاملة. هناك العديد من الاختراقات التي تحدث وتلفت الأنظار لأن الشركات يمكن أن تقوض سمعتها إذا أصبحت هذه المعرفة عامة. مع العملات المشفرة ، كل شيء شفاف ومعروف للجمهور ، لذلك تكتب وسائل الإعلام عن هذه الأشياء في كثير من الأحيان.

الأمن السيبراني هو ممارسة متعددة الأبعاد ، والتي تشمل الأطر التنظيمية في نقاط الدخول والخروج من العملات المشفرة ، وتعليم المستخدم ، وفرق الأمن السيبراني التي تتحقق من الشفرة ، وما إلى ذلك. لا تزال هذه الصناعة حديثة العهد ، مما يوفر فرصة ممتازة لتوجيهها نحو الاتجاهات الصحيحة من التنمية. بهذه الطريقة ، يمكننا الاستفادة من ممارسات أكثر أمانًا من البداية ، بدلاً من محاولة سد الثغرات في مكان ما على الطريق.