TL;DR Разбивка
- Количество атак хакеров на криптографию и протоколы DeFi продолжает расти.
- Более 7 миллиардов долларов было потеряно в результате атак на криптоиндустрию в 2021 году.
- Почему хакеры продолжают атаковать криптоиндустрию.
Всплеск атак хакеров на DeFi и индустрию криптовалют продолжает вызывать беспокойство в отрасли.
По сообщениям в 2021 году произошло 169 dent со взломом блокчейна За последний месяц было зарегистрировано не менее пяти случаев крипто-взлома с DeFi Cream Finance, последними из которых стали эти хакеры. Сообщалось, что было украдено более 130 миллионов долларов.
Вместо этого Cryptopolitan поговорил с Дмитрием Мишуниным, генеральным директором и основателем HashEx, R&D-компании, занимающейся интеграцией блокчейна в бизнес-процессы и кибербезопасностью . Дмитрий обладает tron техническим опытом в области кибербезопасности и децентрализованных приложений, а также впечатляющим опытом разработки систем информационной безопасности.
Ниже выдержки из интервью
В: Вас удивляет количество взломов и эксплойтов, с которыми в последнее время сталкиваются пользователи?
К сожалению нет. Мы видим, что все больше и больше людей пишут свои смарт- trac . Но зачастую у них нет достаточных навыков программирования и хорошего понимания Solidity — на данный момент единственного языка программирования, совместимого с Ethereum . Хорошее понимание языка программирования является обязательным условием для создания надежного DeFi , а незнание некоторых его нюансов может легко привести к эксплойтам и краже средств.
В: Как принятие или подписание смарт- trac , содержащего вредоносный код, может привести к краже ваших активов?
Каждый пользователь должен знать, что блокчейн-транзакции необратимы: как только вы утвердите определенное количество токена ERC-20 в смарт-контракте ERC-20 trac оно будет необратимо переведено на него. Контракт trac некоторую непроверенную библиотеку в качестве зависимости. Одобрение токенов к такому контракту trac большой риск, потому что вы не можете проверить, как работает библиотека.
Так было в случае с проектом StableMarket, когда были украдены средства пользователей на сумму не менее 27 миллионов долларов. trac проекта StableMarket имели проверенный код, но были развернуты с непроверенной библиотекой. Эта библиотека была вредоносной и похищала токены пользователей, хранящиеся в протоколе.
Еще одним риском для пользователей является одобрение токенов в обновляемом смарт- trac : такой контракт trac быть автоматически matic вредоносным кодом и украсть утвержденные токены.
Часто внешние приложения утверждают максимальное количество токенов для контракта trac а не только то количество токенов, которое будет использоваться. Это делается для оплаты газа одной транзакцией. Если пользователь вносит токены на контракт trac ему нужно будет дополнительно заплатить за газ. Но если контракт trac злонамеренно, то в этом случае он может вывести любое количество токенов из кошелька.
Таким образом, лучший способ обеспечить максимальную безопасность — всегда проверять сумму утверждения и утверждать только ту сумму, которая требуется для операции по trac .
В: Хакеры становятся умнее или пользователи криптовалюты становятся менее осторожными в своих процедурах кибербезопасности?
Оба утверждения верны. Хакеры добились серьезного прогресса в использовании платформ флэш-кредитов в тандеме с различными протоколами для создания и использования уязвимостей. Сами по себе эти другие платформы в большинстве случаев безопасны, но быстрые кредиты создают более структурную сложность, что делает уязвимости более частыми.
Такие атаки очень сложны.
Даже их анализ занимает много времени. А также есть много взломов проектов, которые просто имеют плохой код с простыми ошибками, которые, скорее всего, были бы устранены, если бы были проведены тесты или код был должным образом проверен. Часть вины также лежит на пользователях, потому что многие из них знают о безопасных методах минимизации рисков, таких как, например, холодное хранение. Но они часто игнорируют их, теряя голову из-за возможности, которая может принести им многократную рентабельность инвестиций. Иногда они заканчивают тем, что просто теряют свои деньги.
В: Как пользователи могут лучше защитить свои активы в Metamask и связанных с ними децентрализованных приложениях, таких как OpenSea и DeFi ?
Лучшая защита — не хранить все активы на горячих кошельках, а отправлять их на холодные: у последних нет доступа в интернет.
Лучше всего хранить только небольшое количество активов, необходимых для операций, на горячих кошельках, а остальное хранить в холодном хранилище. Кроме того, пользователи должны соблюдать стандартные правила безопасности: использовать антивирусы, не открывать подозрительные ссылки в электронных письмах и по возможности использовать двухфакторную аутентификацию.
В: Считаете ли вы, что взломы и эксплойты станут более распространенными по мере роста отрасли?
По мере роста отрасли и запуска новых проектов все больше из них будут подвергаться риску взлома. Вы не можете устранить все ошибки во всех проектах, но компании, занимающиеся безопасностью блокчейна, постоянно работают над их минимизацией. Это включает в себя не только аудит исходного кода проектов, но и разработку аналитических инструментов, которые помогут не допустить появления багов совсем или, по крайней мере, найти их на ранних стадиях разработки.
В: Какую роль играет HashEx в расширении индустрии криптовалют?
Мы просвещаем людей о прозрачности и безопасности использования децентрализованных приложений. Логика их работы слишком сложна и непонятна обычному пользователю. Также ни один здравомыслящий человек не доверит свои деньги тому, чего не понимает, вроде Пиноккио на Поле Чудес. Мы объясняем сложные понятия простыми словами и выявляем подводные камни, о которых люди должны знать и стараться избегать, а также помогаем потенциальным инвесторам принять взвешенное решение относительно своих средств.
Но в первую очередь мы являемся аудиторской фирмой, которая сосредоточена на DeFi и криптовалютах. Это означает, что мы проводим множество проверок смарт- trac и, таким образом, помогаем криптопроектам завоевывать доверие инвесторов, поскольку инвесторы больше доверяют проектам, которые хорошо защищены от дорогостоящих ошибок, которые могут ударить по их инвесторам в финансовом отношении.
Вопрос: Что вы думаете о G7 и dent США Джо Байдене о его шагах по прекращению программ-вымогателей, кибербезопасности и частых взломов криптовалют?
Постоянное совершенствование стандартов безопасности является частью нашей повседневной и корпоративной идеологии. Мы стремимся привнести доверие в ненадежное пространство DeFi . И этот вопрос имеет решающее значение в любой сфере ИТ, а не только DeFi . С быстрым появлением новых программных продуктов аспекту кибербезопасности, к сожалению, не уделяется достаточного внимания, что создает возможности для использования хакерами. Этому есть две основные причины: «программирование по щелчку мыши» и низкокачественная рабочая сила, которой предлагают неоправданно большую заработную плату.
Это обратная сторона быстрорастущего ИТ-бизнеса. В этой бешеной среде предприятия пытаются опередить друг друга, предлагая новые продукты и часто закрывая глаза на проблемы безопасности, несмотря на их важность. В результате иногда мы получаем большие системы, которыми пользуется большое количество клиентов, но при этом имеющие в них баги, которые могут привести к потере средств пользователей. Иногда последствия этих ошибок могут распространяться даже на весь континент.
С этой точки зрения государственное вмешательство вполне оправдано. Если бы правительства штатов не занимались этими вопросами, кто еще стал бы подавлять жадных бизнесменов и убеждать их посвятить усилия мерам безопасности и разумной разработке программного обеспечения?
Если люди начнут сообщать о взломе в государственные органы, это будет иметь положительный эффект. Своевременная информация может способствовать минимизации последствий потенциальной аварии, позволяя задействовать резервные каналы (наглядный пример такой практики — ситуация с поставками нефти на Восточное побережье США).
Единые отраслевые стандарты безопасности также принесут пользу, если они будут разработаны экспертами, а не посторонними. Даже на текущем раннем этапе разработки DApp мы видим, что такие стандарты внедряются ведущими аудиторами. Интеграция таких протоколов поможет всем: упростит программирование, надежнее кодирует, а также защитит средства пользователей.
В: Эти взломы говорят об их влиянии на криптовалютную индустрию.
Отзыв для криптоиндустрии — это попытка контролировать украденные средства. Я думаю, что это хорошо. В настоящее время вы не можете получить все прелести реального мира через криптовалюту. Эта ситуация меняется день ото дня, но она далека от совершенства. Поэтому хакерам по-прежнему требуется мост между крипто- и фиатными средствами для вывода средств, полученных незаконным путем.
Это этап, на котором преступники могут быть dent . Чем больше их будет найдено, тем меньше будет желающих попытаться сделать это снова. Можно вспомнить, как в восточных культурах отрубали части тела за воровство. Такое вмешательство правоохранительных органов оказывает исключительно положительное влияние на криптоиндустрию и ее репутацию. Эти действия заставляют людей чувствовать себя в большей безопасности.
В: Злоумышленники/игроки, стоящие за многими из этих крипто-взломов, какие санкции вы бы порекомендовали для них, чтобы удержать других?
Как я уже говорил, я за то, чтобы наказывать таких людей. Я бы расценил такие операции как финансовое мошенничество разной степени тяжести и применил бы к ним соответствующие правовые меры. Я бы не стал сейчас разрабатывать новые законы.
В: Криптомир без взломов почти невозможно создать. Как заинтересованные стороны в криптовалюте, политики и все остальные могут свести атаки к минимуму?
Любая ИТ-сфера немыслима без киберугроз. Но когда мы говорим об обычном бизнесе, мы видим лишь верхушку айсберга, а не всю картину. Происходит гораздо больше взломов, которые бросаются в глаза, потому что компании могут подорвать свою репутацию, если такая информация станет достоянием общественности. С криптовалютами все прозрачно и общеизвестно, поэтому СМИ чаще пишут об этом.
Кибербезопасность — это многогранная практика, которая включает в себя нормативно-правовую базу в точках входа и выхода из крипто-фиата, обучение пользователей, команды по кибербезопасности, проверяющие код и т. д. Эта отрасль еще молода, что дает прекрасную возможность направить ее по правильному вектору. развития. Таким образом, мы можем с самого начала использовать более безопасные методы вместо того, чтобы пытаться залатать дыры где-то в будущем.
