TL;DR-Aufschlüsselung
- Die Flut, mit der Hacker Krypto- und DeFi Protokolle treffen, steigt weiter an.
- Über 7 Milliarden Dollar Verlust durch Angriffe auf die Kryptoindustrie im Jahr 2021.
- Warum Hacker weiterhin auf die Crypto-Industrie abzielen.
Die Flut, mit der Hacker die DeFi -Weltraum- und Kryptowährungsindustrie durch Ausweitung getroffen haben, gibt der Branche weiterhin Anlass zur Sorge.
Berichten zufolge 169 Blockchain -Hacking-Vorfälle dent , bei denen fast 7 Milliarden US-Dollar an Geldern an Hacker verloren gegangen sind. Im vergangenen Monat wurden nicht weniger als fünf Fälle von Krypto-Hacks gemeldet, wobei DeFi Protokoll Cream Finance zuletzt von diesen Hackern getroffen wurde. Über 130 Millionen Dollar sollen gestohlen worden sein.
Stattdessen sprach Cryptopolitan mit Dmitry Mishunin, CEO und Gründer von HashEx, einem F&E-Unternehmen, das sich auf die Blockchain-Integration in Geschäftsprozesse und Cybersicherheit . Dmitry verfügt über einen tron technischen Hintergrund in den Bereichen Cybersicherheit und dezentrale Anwendungen sowie beeindruckende Erfahrung in der Entwicklung von Informationssicherheitssystemen.
Nachfolgend finden Sie Auszüge aus dem Interview
F: Sind Sie von der Anzahl der Hacks und Exploits überrascht, mit denen Benutzer in letzter Zeit konfrontiert sind?
Leider nicht. Wir sehen, dass immer mehr Menschen ihre Smart trac . Aber oft verfügen sie nicht über ausreichende Programmierkenntnisse und ein gutes Verständnis von Solidity – derzeit die einzige Programmiersprache, die mit Ethereum . Ein gutes Verständnis der Programmiersprache ist ein Muss, um ein zuverlässiges DeFi Protokoll zu erstellen, und einige seiner Nuancen nicht zu kennen, kann leicht zu Exploits und gestohlenen Geldern führen.
F: Wie kann das Akzeptieren oder Unterzeichnen eines Smart trac , der schädlichen Code enthält, dazu führen, dass Ihre Vermögenswerte gestohlen werden?
Jeder Benutzer sollte wissen, dass Blockchain-Transaktionen irreversibel sind: Sobald Sie einen bestimmten Betrag eines ERC-20-Tokens für einen ERC-20-Smart-Vertrag genehmigen trac darauf übertragen. Ein kann verifizierten Quellcode ohne Exploits enthalten, aber auch eine nicht verifizierte Bibliothek als Abhängigkeit trac Die Genehmigung von Token für einen solchen trac ist ein großes Risiko, da Sie nicht überprüfen können, wie die Bibliothek funktioniert.
Das war beim StableMarket-Projekt der Fall, als Benutzergelder im Wert von mindestens 27 Millionen Dollar gestohlen wurden. Die StableMarket-Projektverträge trac einen geprüften Code, wurden aber mit einer nicht geprüften Bibliothek bereitgestellt. Diese Bibliothek war bösartig und stahl die im Protokoll gespeicherten Token der Benutzer.
trac Smart-Vertrag : Ein solcher kann automatisch matic Code aktualisiert werden und die genehmigten Token stehlen trac
Häufig genehmigen Frontend-Apps maximale Token-Beträge für einen trac , nicht nur die Token-Menge, die verwendet werden soll. Es wird getan, um das Gas in einer einzigen Transaktion zu bezahlen. Wenn ein Benutzer Token in einen Vertrag trac , muss er zusätzlich für das Gas bezahlen. Wenn ein trac handelt, kann er in diesem Fall eine beliebige Menge an Token aus der Brieftasche ziehen.
Die Best Practice für maximale Sicherheit besteht also darin, den Genehmigungsbetrag immer zu prüfen und nur den Betrag zu genehmigen, der für den trac erforderlich ist.
F: Werden Hacker klüger oder werden Benutzer von Kryptowährungen weniger vorsichtig mit ihren Cybersicherheitsverfahren?
Beide Aussagen sind wahr. Hacker haben ernsthafte Fortschritte bei der Nutzung von Flash-Kreditplattformen zusammen mit verschiedenen Protokollen gemacht, um Schwachstellen zu erstellen und auszunutzen. Für sich genommen sind diese anderen Plattformen die meiste Zeit sicher, aber Flash-Darlehen schaffen mehr strukturelle Komplexität, wodurch Schwachstellen häufiger auftreten.
Solche Angriffe sind sehr komplex.
Schon ihre Analyse nimmt viel Zeit in Anspruch. Außerdem gibt es viele Hacks von Projekten, die nur schlechten Code mit einfachen Fehlern enthalten, die höchstwahrscheinlich beseitigt würden, wenn Tests durchgeführt würden oder der Code ordnungsgemäß geprüft würde. Ein Teil der Schuld liegt auch bei den Benutzern, denn viele von ihnen kennen die sicheren Praktiken, die die Risiken minimieren, wie zum Beispiel die Kühllagerung. Aber sie ignorieren sie oft und verlieren den Kopf über eine Gelegenheit, die ihnen einen mehrfachen ROI bringen kann. Manchmal verlieren sie einfach ihr Geld.
F: Wie können Benutzer ihre Assets auf Metamask und zugehörigen Dapps wie OpenSea und DeFi besser schützen?
Der beste Schutz besteht darin, nicht alle Vermögenswerte in Hot Wallets zu speichern, sondern sie an Cold Wallets zu senden: Letztere haben keinen Internetzugang.
Es ist am besten, nur eine kleine Menge an Vermögenswerten, die für den Betrieb benötigt werden, in Hot Wallets aufzubewahren und den Rest im Cold Storage aufzubewahren. Darüber hinaus sollten Benutzer die Standardsicherheitsregeln befolgen: Verwenden Sie Antivirenprogramme, vermeiden Sie das Öffnen verdächtiger Links in E-Mails und verwenden Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung.
F: Glauben Sie, dass Hacks und Exploits häufiger werden, wenn die Branche wächst?
Wenn die Branche wächst und mehr Projekte gestartet werden, werden immer mehr von ihnen dem Risiko ausgesetzt sein, gehackt zu werden. Sie können nicht alle Fehler in allen Projekten beseitigen, aber Blockchain-Sicherheitsunternehmen arbeiten ständig daran, sie zu minimieren. Dazu gehört nicht nur die Prüfung des Quellcodes von Projekten, sondern auch die Entwicklung von Analysewerkzeugen, die helfen, das Auftreten von Fehlern ganz zu verhindern oder sie zumindest in den frühen Phasen der Entwicklung zu finden.
F: Welche Rolle spielt HashEx bei der Expansion der Kryptowährungsindustrie?
Wir klären die Menschen über die Transparenz und Sicherheit der Nutzung dezentraler Anwendungen auf. Die Logik ihrer Arbeit ist zu komplex und unklar, als dass ein durchschnittlicher Benutzer sie verstehen könnte. Außerdem würde kein vernünftiger Mensch sein Geld etwas anvertrauen, das er nicht versteht, wie Pinocchio auf dem Feld der Wunder. Wir erklären komplexe Sachverhalte in einfachen Worten und zeigen die Fallstricke auf, die Menschen kennen und vermeiden sollten, und wir helfen auch potenziellen Anlegern, eine fundierte Entscheidung für ihre Fonds zu treffen.
Aber in erster Linie sind wir eine Wirtschaftsprüfungsgesellschaft, die sich auf DeFi und Kryptowährungen konzentriert. Das bedeutet, dass wir viele Audits von Smart trac durchführen und so Krypto-Projekten helfen, das Vertrauen der Investoren zu gewinnen, da Investoren den Projekten besser vertrauen können, die gut vor kostspieligen Fehlern geschützt sind, die ihre Investoren finanziell treffen könnten.
F: Was halten Sie sowohl von der G7 als auch von US- dent Joe Biden zu seinen Maßnahmen zur Beendigung von Ransomware, Cybersicherheit und häufigen Krypto-Hacks?
Die ständige Verbesserung der Sicherheitsstandards ist Teil unserer Routine und Unternehmensphilosophie. Wir versuchen, Vertrauen in den vertrauenswürdigen DeFi -Raum zu bringen. Und dieses Problem ist in jedem IT-Bereich von entscheidender Bedeutung, nicht nur DeFi . Mit dem schnellen Aufkommen neuer Softwareprodukte wird dem Aspekt der Cybersicherheit leider nicht genügend Aufmerksamkeit geschenkt, was Hackern Möglichkeiten eröffnet, diese auszunutzen. Dafür gibt es zwei Hauptgründe: „Mausklick-Programmierung“ und eine minderwertige Arbeitskraft, der unnötig hohe Löhne angeboten werden.
Dies ist ein Nachteil schnell wachsender IT-Unternehmen. In diesem hektischen Umfeld versuchen Unternehmen, sich gegenseitig einen Schritt voraus zu sein, bieten neue Produkte an und verschließen trotz ihrer Bedeutung oft die Augen vor Sicherheitsproblemen. Infolgedessen erhalten wir manchmal große Systeme, die von einer großen Anzahl von Kunden verwendet werden, während sie immer noch Fehler enthalten, die zum Verlust von Benutzergeldern führen können. Manchmal können die Folgen dieser Fehler sogar kontinentweit sein.
Aus dieser Sicht ist staatliches Eingreifen durchaus gerechtfertigt. Wenn sich die Landesregierungen nicht mit diesen Themen befassen würden, wer würde dann gegen gierige Geschäftsleute vorgehen und sie davon überzeugen, sich um Sicherheitsmaßnahmen und die Entwicklung von Software auf vernünftige Weise zu bemühen?
Wenn Leute anfangen, Hacks an Regierungsbehörden zu melden, wird sich das positiv auswirken. Rechtzeitige Information kann dazu beitragen, die Folgen eines möglichen Ausfalls zu minimieren, indem Reservekanäle aktiviert werden können (als gutes Beispiel für diese Praxis kann die Situation bei der Ölversorgung der US-Ostküste angesehen werden).
Branchenweit einheitliche Sicherheitsstandards würden auch gut tun, wenn sie von Experten und nicht von Außenstehenden entwickelt werden. Bereits in der derzeitigen frühen Phase der DApp-Entwicklung sehen wir, dass solche Standards von den führenden Wirtschaftsprüfern implementiert werden. Die Integration solcher Protokolle wird allen helfen: Es wird das Programmieren einfacher, Codes sicherer machen und auch die Gelder der Benutzer schützen.
F: Diese Hacks sprechen über ihre Auswirkungen auf die Kryptowährungsindustrie
Feedback für die Kryptoindustrie ist ein Versuch, die gestohlenen Gelder zu kontrollieren. Ich denke, es ist eine gute Sache. Derzeit können Sie nicht alle Annehmlichkeiten der realen Welt über Kryptowährung erhalten. Diese Situation ändert sich von Tag zu Tag, aber sie ist noch lange nicht perfekt. Daher benötigen Hacker immer noch eine Brücke zwischen Krypto- und Fiat-Geldern, um illegal erworbene Gelder abzuheben.
In diesem Stadium können dent identifiziert werden. Je mehr von ihnen gefunden werden, desto weniger werden bereit sein, es erneut zu versuchen. Man kann sich daran erinnern, wie man in den östlichen Kulturen Körperteile zum Diebstahl abhackte. Solche Eingriffe von Strafverfolgungsbehörden haben einen durchweg positiven Einfluss auf die Kryptoindustrie und ihren Ruf. Durch diese Maßnahmen fühlen sich die Menschen sicherer.
F: Schlechte Schauspieler/Spieler hinter vielen dieser Krypto-Hacks, welche Sanktionen würden Sie ihnen empfehlen, um andere abzuschrecken?
Wie ich bereits gesagt habe, bin ich dafür, solche Personen zu bestrafen. Ich würde solche Operationen als Finanzbetrug unterschiedlichen Schweregrades ansehen und entsprechende rechtliche Schritte einleiten. Ich würde zum jetzigen Zeitpunkt nicht versuchen, neue Gesetze auszuarbeiten.
F: Eine Krypto-Welt ohne Hacks ist fast unmöglich zu erreichen, wie können Krypto-Stakeholder, politische Entscheidungsträger und alle anderen Angriffe auf das Nötigste reduzieren?
Keine IT-Domäne ist ohne Cyberbedrohungen denkbar. Aber wenn wir über gewöhnliche Unternehmen sprechen, sehen wir nur die Spitze des Eisbergs, nicht das ganze Bild. Es finden noch viele weitere Hacks statt, die ins Auge fallen, da Unternehmen ihren Ruf untergraben könnten, wenn solches Wissen öffentlich wird. Bei Kryptowährungen ist alles transparent und öffentlich bekannt, daher schreiben die Massenmedien häufiger über diese Dinge.
Cybersicherheit ist eine multidimensionale Praxis, die regulatorische Rahmenbedingungen an Krypto-zu-Fiat-Ausgangs- und Einstiegspunkten, Benutzerschulung, Cybersicherheitsteams, die den Code überprüfen, usw. umfasst. Diese Branche ist noch jung, was eine hervorragende Gelegenheit bietet, sie auf die richtigen Vektoren zu lenken der Entwicklung. Auf diese Weise können wir von Anfang an sicherere Praktiken anwenden, anstatt zu versuchen, irgendwo später Löcher zu flicken.
