TL;DR 细分
- 黑客攻击加密货币和DeFi协议的事件持续激增。
- 2021 年加密行业遭受的攻击损失超过 70 亿美元。
- 为什么黑客继续针对加密行业。
黑客对DeFi领域和加密货币行业的大量攻击仍然引起该行业的担忧。
据报道, 2021年已发生区块链黑客dent 在过去的一个月里,据报道不少于五起加密货币黑客案例,其中DeFi协议 Cream Finance是最新遭受黑客攻击的案例。 据称超过 1.3 亿美元被盗。
除此之外,Cryptopolitan 与 HashEx 的首席执行官兼创始人 Dmitry Mishunin 进行了交谈,HashEx 是一家专注于业务流程和网络安全。 Dmitry 在网络安全和去中心化应用方面拥有tron的技术背景,并且在开发信息安全系统方面拥有丰富的经验。
以下是采访摘录
问:您对用户最近面临的黑客攻击和漏洞利用的数量感到惊讶吗?
不幸的是,没有。 我们看到越来越多的人正在编写他们的智能trac。 但他们往往没有足够的编程知识,也没有很好地理解 Solidity——目前唯一与Ethereum。 充分理解编程语言是创建可靠的DeFi协议的必要条件,不了解其一些细微差别可能很容易导致漏洞利用和资金被盗。
问:接受或签署包含恶意代码的智能trac如何导致您的资产被盗?
每个用户都应该知道区块链交易是不可逆的:一旦您将一定数量的 ERC-20 代币批准到 ERC-20 智能合约中,trac不可逆地转移到其中。 合约可能已经验证了没有漏洞的源代码,但也可能有一些未经验证的库作为依赖项trac 批准这样的合约的代币trac一个很大的风险,因为你无法检查库是如何工作的。
StableMarket 项目就是这种情况,当时至少价值 2700 万美元的用户资金被盗。 StableMarket 项目合约trac经过审计的代码,但部署时使用了未经验证的库。 该库是恶意的,它窃取了协议中存储的用户令牌。
用户面临的另一个风险是批准可升级智能合约的代币trac此类合约trac会使用恶意代码自动matic并窃取已批准的代币。 trac
的最大代币数量,而不仅仅是将要使用的代币数量。 这是为了在单笔交易中支付天然气费用。 如果用户将代币存入合约trac他将需要额外支付gas费用。 但如果合约trac恶意行为,在这种情况下它可以从钱包中提取任意数量的代币。
因此,获得最大安全性的最佳实践是始终检查审批金额并仅批准trac操作所需的金额。
问:黑客是否变得更加聪明,或者加密货币用户是否对其网络安全程序变得不那么谨慎?
两种说法都是正确的。 黑客在利用闪贷平台与不同协议来创建和利用漏洞方面取得了重大进展。 就其本身而言,这些其他平台在大多数情况下都是安全的,但闪电贷会带来更多的结构复杂性,从而使漏洞更加频繁。
此类攻击非常复杂。
甚至他们的分析也需要很多时间。 此外,还有很多项目的黑客攻击只有糟糕的代码和简单的错误,如果进行了测试或对代码进行了适当的审核,这些错误很可能会被消除。 部分责任也在于用户,因为他们中的许多人都知道可以最大限度地降低风险的安全做法,例如冷藏。 但他们常常忽视这些,对能给他们带来数倍投资回报率的机会失去理智。 有时,他们最终只是赔了钱。
问:用户如何更好地保护自己在 Metamask 以及 OpenSea、 DeFi等相关 dapp 上的资产?
最好的保护不是将所有资产存储在热钱包中,而是将它们发送到冷钱包:后者无法访问互联网。
最好只将操作所需的少量资产存放在热钱包中,其余的存放在冷库中。 最重要的是,用户应该遵循标准的安全规则:使用防病毒软件,避免打开电子邮件中的可疑链接,并尽可能使用双因素身份验证。
问:您认为随着行业的发展,黑客攻击和漏洞利用会变得更加普遍吗?
随着行业的发展和更多项目的推出,更多的项目将面临被黑客攻击的风险。 你不可能消除所有项目中的所有错误,但区块链安全公司正在不断努力最大限度地减少它们。 这不仅包括对项目源代码的审计,还包括开发分析工具,以帮助防止错误完全出现,或者至少在开发的早期阶段找到它们。
问:HashEx 在加密货币行业的扩张中扮演什么角色?
我们启发人们使用去中心化应用程序的透明度和安全性。 他们的工作逻辑过于复杂和不清楚,普通用户无法理解。 而且,任何明智的人都不会把他或她的钱托付给他们不理解的东西,就像奇迹田里的匹诺曹一样。 我们用通俗易懂的语言解释复杂的概念,揭示人们应该意识到并尽量避免的陷阱,并且我们同样帮助潜在投资者对其基金做出明智的决定。
但我们首先是一家以DeFi和加密货币为中心的审计公司。 这意味着我们对智能trac进行了大量的审计,从而帮助加密货币项目赢得投资者的信任,因为投资者更好地信任这些项目,这些项目得到了很好的保护,避免了可能对投资者造成经济损失的代价高昂的错误。
问:七国集团和美国dent乔·拜登对结束勒索软件、网络安全和频繁的加密货币黑客攻击的举措有何看法?
不断提高安全标准是我们日常工作和企业理念的一部分。 我们寻求将信任带入无需信任的DeFi领域。 而这个问题在任何 IT 领域都至关重要,而不仅仅是DeFi 。 不幸的是,随着新软件产品的迅速出现,网络安全方面并未得到足够的重视,这为黑客提供了可乘之机。 造成这种情况的主要原因有两个:“鼠标点击编程”和低素质的劳动力被提供不必要的高工资。
这是快速增长的 IT 业务的一个缺点。 在这种竞争激烈的环境中,企业试图争先恐后,提供新产品,并且常常对安全问题视而不见,尽管它们很重要。 因此,有时我们会得到被大量客户使用的大型系统,但其中仍然存在错误,可能导致用户资金损失。 有时,这些错误的后果甚至可能遍及整个大陆。
从这个角度来看,政府的干预是完全合理的。 如果不是州政府介入这些问题,还有谁会压制贪婪的商界人士并说服他们以明智的方式致力于安全措施和开发软件?
如果人们开始向政府机构报告黑客行为,将会产生积极的影响。 及时的信息可以通过允许利用储备渠道来帮助最大限度地减少潜在故障的后果(向美国东海岸供应石油的情况可以被视为这种做法的一个很好的例子)。
如果整个行业的统一安全标准是由专家而不是外部人士制定的,那么它们也会有好处。 即使在目前 DApp 开发的早期阶段,我们也看到领先的审计机构正在实施此类标准。 这些协议的集成将帮助每个人:它将使编程更容易,代码更安全,并且也将保护用户的资金。
问:这些黑客事件对加密货币行业的影响
对加密行业的反馈是控制被盗资金的尝试。 我认为这是一件好事。 目前,您无法通过加密货币获得现实世界的所有便利设施。 这种情况每天都在发生变化,但还远未达到完美。 因此,黑客仍然需要在加密货币和法定资金之间建立桥梁来提取非法获得的资金。
这是可以dent犯罪分子的阶段。 被发现的人越多,愿意再次尝试的人就越少。 人们可以回想一下,在东方文化中,人们是如何砍下身体部位来盗窃的。 执法机构的此类干预对加密货币行业及其声誉产生了完全积极的影响。 这些行动让人们感到更安全。
问:许多加密货币黑客攻击背后都有不良行为者/参与者,您会建议他们采取哪些制裁措施来阻止其他人?
正如我之前所说,我完全赞成惩罚此类人。 我会将此类行为视为不同程度的财务欺诈行为,并对其采取相应的法律行动。 我现在不会试图制定新的法律。
问:没有黑客的加密世界几乎是不可能实现的,加密货币利益相关者、政策制定者和所有人如何将攻击减少到最低限度?
任何 IT 领域都离不开网络威胁。 但当我们谈论普通企业时,我们看到的只是冰山一角,而不是全貌。 还有更多显而易见的黑客行为正在发生,因为如果这些知识被公开,公司可能会损害他们的声誉。 对于加密货币,一切都是透明且公开的,因此大众媒体更频繁地报道这些事情。
网络安全是一种多维实践,包括加密货币到法定货币出口和入口点的监管框架、用户教育、检查代码的网络安全团队等。这个行业还很年轻,这提供了引导其走向正确方向的绝佳机会的发展。 这样,我们就可以从一开始就采用更安全的做法,而不是试图在路上修补漏洞。
