TL;DR Uppdelning
- Storleken där hackare träffar krypto- och DeFi -protokoll fortsätter att öka.
- Över 7 miljarder dollar förlorade till attacker mot kryptoindustrin 2021.
- Varför hackare fortsätter att rikta in sig på kryptoindustrin.
Den ström då hackare drabbade DeFi rymd- och kryptovalutaindustrin i förlängningen har fortsatt att vara en källa till oro för branschen.
Enligt uppgift 169 blockchain- incidenter ägt rum 2021, med nästan 7 miljarder dollar i pengar förlorade till hackare dent Under den senaste månaden rapporterades inte mindre än fem fall av kryptohack med DeFi -protokollet Cream Finance, det senaste som drabbats av dessa hackare. Över 130 miljoner dollar ska ha stulits.
I stället för dessa pratade Cryptopolitan med Dmitry Mishunin, VD och grundare på HashEx, ett FoU-företag fokuserat på blockkedjeintegration i affärsprocesser och cybersäkerhet . Dmitry har en tron teknisk bakgrund inom cybersäkerhet och decentraliserade applikationer samt imponerande erfarenhet av att utveckla informationssäkerhetssystem.
Nedan följer utdrag från intervjun
F: Är du förvånad över antalet hacks och utnyttjande som användare ställs inför på sistone?
Tyvärr inte. Vi ser att fler och fler skriver sina smarta trac . Men ofta har de inte tillräckligt med programmeringsnous och en god förståelse för Solidity – för närvarande det enda programmeringsspråket som är kompatibelt med Ethereum . Att ha en god förståelse för programmeringsspråket är ett måste för att skapa ett tillförlitligt DeFi protokoll, och att inte känna till några av dess nyanser kan lätt leda till utnyttjande och stulna pengar.
F: Hur kan det att godkänna eller underteckna ett smart trac som innehåller skadlig kod leda till att dina tillgångar stjäls?
Varje användare bör veta att blockchain-transaktioner är oåterkalleliga: när du väl godkänner en viss mängd av en ERC-20-token till en ERC-20-smart kontrakt, trac den att överföras oåterkalleligt till den. En kontrakt trac ha verifierad källkod utan utnyttjande men kan också ha något overifierat bibliotek som ett beroende. Att godkänna polletter till en sådan kontrakt trac en stor risk eftersom man inte kan kontrollera hur biblioteket fungerar.
Det var fallet i StableMarket-projektet, när användarnas pengar till ett värde av minst 27 miljoner dollar stals. StableMarket-projektets trac hade en granskad kod men distribuerades med ett overifierat bibliotek. Det här biblioteket var skadligt och det stal användarnas tokens som lagrats i protokollet.
En annan risk för användarna är att godkänna tokens till en uppgraderbar smart trac : en sådan kontrakt trac automatiskt matic med skadlig kod och stjäla de godkända tokens.
Ofta godkänner frontend-appar maximala mängder tokens till en kontrakt, trac bara tokenbeloppet som kommer att användas. Det görs för att betala för gasen i en enda transaktion. Om en användare sätter in tokens till en kontrakt trac han betala ytterligare för gasen. Men om en kontrakt trac illvilligt kan den i så fall dra ut valfri mängd tokens från plånboken.
Så, den bästa praxisen för maximal säkerhet är att alltid kontrollera godkännandebeloppet och endast godkänna det belopp som krävs för trac .
F: Blir hackare smartare eller blir användare av kryptovaluta mindre försiktiga med sina cybersäkerhetsprocedurer?
Båda påståendena är sanna. Hackare har gjort allvarliga framsteg när det gäller att utnyttja flash-låneplattformar tillsammans med olika protokoll för att skapa och utnyttja sårbarheter. På egen hand är de andra plattformarna säkra för det mesta, men flashlån skapar mer strukturell komplexitet, vilket gör sårbarheter mer frekventa.
Sådana attacker är mycket komplexa.
Till och med deras analys tar mycket tid. Och det finns också många hack av projekt som bara har dålig kod med enkla buggar i den som med största sannolikhet skulle elimineras om tester gjordes eller koden granskades ordentligt. En del av skulden ligger också på användarna, eftersom många av dem känner till de säkra metoderna som minimerar riskerna, till exempel kylförvaring. Men de ignorerar dem ofta och tappar huvudet över en möjlighet som kan ge dem mångfaldig ROI. Ibland förlorar de helt enkelt sina pengar.
F: Hur kan användare bättre skydda sina tillgångar på Metamask och tillhörande dapps som OpenSea och DeFi ?
Det bästa skyddet är att inte lagra alla tillgångar i heta plånböcker utan att skicka dem till kalla: de senare har inte tillgång till internet.
Det är bäst att endast lagra en liten mängd tillgångar som behövs för verksamheten i varma plånböcker och förvara resten i kylförvaring. Utöver det bör användare följa standardsäkerhetsregler: använd antivirus, undvik att öppna misstänkta länkar i e-postmeddelanden och använd tvåfaktorsautentisering när det är möjligt.
F: Tror du att hacks och exploits kommer att bli vanligare i takt med att branschen växer?
När branschen växer och fler projekt lanseras, kommer fler av dem att riskera att bli hackade. Du kan inte eliminera alla buggar i alla projekt, men blockchain-säkerhetsföretag arbetar ständigt med att minimera dem. Det inkluderar inte bara granskningar av projektens källkod utan också utveckling av analytiska verktyg som hjälper till att förhindra att buggarna dyker upp helt och hållet, eller åtminstone hitta dem i de tidiga utvecklingsstadierna.
F: Vilken roll spelar HashEx i expansionen av kryptovalutaindustrin?
Vi upplyser folk om transparensen och säkerheten med att använda decentraliserade applikationer. Logiken i deras arbete är för komplex och otydlig för att en vanlig användare ska förstå. Dessutom skulle ingen förnuftig person anförtro sina pengar till något de inte förstår, som Pinocchio på Mirakelfältet. Vi förklarar komplexa begrepp i klartext och lyfter fram de fallgropar som människor bör vara medvetna om och försöka undvika, och vi hjälper också potentiella investerare att fatta ett välinformerat beslut om sina fonder.
Men i första hand är vi en revisionsbyrå som är centrerad kring DeFi och kryptovalutor. Det betyder att vi gör massor av revisioner av smarta trac och på så sätt hjälper kryptoprojekt att vinna investerarnas förtroende eftersom investerare litar bättre på projekten som är väl skyddade från kostsamma misstag som kan drabba deras investerare ekonomiskt.
F: Vad är dina tankar av både G7 och USA:s dent Joe Biden om hans åtgärder för att få slut på ransomware, cybersäkerhet och frekventa kryptohack?
Ständiga förbättringar av säkerhetsstandarder är en del av vår rutin och företagsideologi. Vi strävar efter att föra in förtroende i det tillitslösa DeFi utrymmet. Och den här frågan är avgörande inom alla IT-domäner, inte bara DeFi . Med den snabba uppkomsten av nya mjukvaruprodukter uppmärksammas tyvärr inte cybersäkerhetsaspekten tillräckligt, vilket skapar möjligheter för hackare att utnyttja. Det finns två huvudorsaker till detta: "musklicksprogrammering" och en lågkvalitativ arbetskraft som erbjuds onödigt höga löner.
Detta är en nackdel med snabbt växande IT-företag. I denna hundätande miljö försöker företag gå före varandra, erbjuda nya produkter och ofta blunda för säkerhetsfrågor trots deras betydelse. Som ett resultat får vi ibland stora system, som används av ett stort antal kunder, samtidigt som det fortfarande finns buggar i dem som kan leda till förlust av användarnas pengar. Ibland kan konsekvenserna av dessa buggar till och med vara hela kontinenten.
Ur denna synvinkel är statlig inblandning helt berättigad. Om det inte vore för delstatsregeringar som engagerar sig i dessa frågor, vem skulle annars slå ner på giriga affärsmän och övertyga dem om att ägna ansträngningar åt säkerhetsåtgärder och utveckla mjukvara på ett förnuftigt sätt?
Om folk börjar rapportera hacks till statliga myndigheter kommer det att ha en positiv effekt. Aktuell information kan hjälpa till att minimera konsekvenserna av ett potentiellt haveri genom att tillåta att anlita reservkanaler (situationen med leverans av olja till den amerikanska östkusten kan ses som ett bra exempel på denna praxis).
Enade säkerhetsstandarder över hela branschen skulle också göra bra, om de utvecklas av experter, snarare än utomstående. Även i det nuvarande tidiga skedet av DApp-utvecklingen ser vi att sådana standarder implementeras av de ledande revisorerna. Integreringen av sådana protokoll kommer att hjälpa alla: det kommer att göra programmering enklare, koder säkrare och det kommer att skydda användarnas pengar också.
F: Dessa hack talar om deras inverkan på kryptovalutaindustrin
Feedback för kryptoindustrin är ett försök att kontrollera de stulna medlen. Jag tycker att det är bra. För närvarande kan du inte få alla bekvämligheter i den verkliga världen via kryptovaluta. Den här situationen förändras för varje dag, men den är långt ifrån perfekt. Därför kräver hackare fortfarande en brygga mellan krypto- och fiat-medel för att ta ut olagligt förvärvade medel.
Detta är det stadium då brottslingar kan dent . Ju fler av dem som hittas, desto färre är villiga att försöka göra det igen. Man kan tänka tillbaka på hur man brukade hugga av kroppsdelar för stöld i de österländska kulturerna. Sådana ingripanden från brottsbekämpande myndigheter har en helt positiv inverkan på kryptoindustrin och dess rykte. Dessa åtgärder gör att människor känner sig säkrare.
F: Dåliga skådespelare/spelare bakom många av dessa kryptohack, vilka sanktioner skulle du rekommendera för att avskräcka andra?
Som jag har sagt tidigare är jag helt för att straffa sådana individer. Jag skulle se sådana operationer som ekonomiskt bedrägeri av olika svårighetsgrad och vidta motsvarande rättsliga åtgärder mot dem. Jag skulle inte försöka utarbeta nya lagar vid denna tidpunkt.
F: En kryptovärld utan hacks är nästan omöjlig att uppnå, hur kan kryptointressenter, beslutsfattare och allt möjligt reducera attacker till ett minimum?
Någon IT-domän är inte tänkbar utan cyberhot. Men när vi pratar om vanliga företag ser vi bara toppen av isberget, inte hela bilden. Det sker många fler hack som möter ögat eftersom företag kan undergräva deras rykte om sådan kunskap blir offentlig. Med kryptovalutor är allt transparent och allmänt känt, så massmedia skriver om dessa saker oftare.
Cybersäkerhet är en flerdimensionell praxis, som inkluderar regelverk vid utgångs- och ingångspunkter för krypto-till-fiat, användarutbildning, cybersäkerhetsteam som kontrollerar koden, etc. Den här branschen är fortfarande ung, vilket ger en utmärkt möjlighet att styra den ner på rätt vektorer av utveckling. På så sätt kan vi använda oss av säkrare metoder från början, istället för att försöka lappa upp hål någonstans på vägen.
