Təhlükəsizlik mənim son 15-17 il ərzində məşğul olduğum bir məsələdir. Nə qədər bildiyinizdən asılı olmayaraq, həmişə daha ağıllı, daha sürətli və ya daha güclü biri olacaq. Bununla belə, heç vaxt pozulmamalı olan bir sıra qaydalar və prinsiplər var. Bybit təcrübəsi mənim üçün xüsusilə illüstrativ oldu, çünki birjanın əməkdaşları fundamental və mücərrəd prinsiplərdən tutmuş konkret, təfərrüatlı tədbirlərə qədər bütün əsas təhlükəsizlik yanaşmalarına laqeyd yanaşırdılar. Beləliklə, mən bu hack əsasında bir neçə əsas aspekti təhlil edəcəyəm. Təhlükəsizlik Sıfır Prinsip İllər əvvəl mən özüm üçün bu prinsipi formalaşdırmışdım: Sisteminizi sındırmaq 1 milyon dollar qazandırarsa, təcavüzkara cəmi 10 min dollara başa gəlirsə, sistem mütləq sındırılacaq. Bununla belə, əgər hakerlik 1,1 milyon dollar tələb edirsə, o zaman sual yaranır: niyə narahat olursunuz? Təbii ki, məqsəd rəqibə zərər vermək və ya dövlət tərəfindən dəstəklənən kiberhücum etmək deyilsə. "İstənilən sistem sındırıla bilər. Yeganə sual vaxt, pul və səydir". Bu prinsip Bybit işçilərinin pozduğu şey idi. İlkin müsahibələrə görə, onlar öz sistemlərinin toxunulmaz olduğuna inanırdılar. Lakin 1,4 milyard dollarlıq qiymət etiketi hər şeyi dəyişdi. Harada işləsəniz, başa düşməlisiniz ki, və sındırıla bilər. Yalnız dəyişənlər pul, vaxt və səydir. Bunu bilə-bilə irəli gedək... hər şey istənilən vaxt istənilən halda Hardware Wallet + Multisig Təhlükəsizdirmi? Bəli və yox. Avadanlıq pul kisələri həmişə hücuma məruz qalıb - və ən yaxşı nümunələrdir. Digər markalar daha da pisdir. Ledger Trezor Bununla belə, siz hardware/multisiq cüzdanlardan istifadə edərkən riskləri azalda və mənfi təsirləri azalda bilərsiniz. Tədqiqatçılardan və şəxsi təcrübədən toplanmış bəzi tövsiyələr bunlardır: : Həmişə gördüklərinizin əslində imzaladığınız və ya köçürdüyünüzlə uyğun olduğundan əmin olun. Uyğunsuzluqlar görsəniz, dayandırın, fasilə verin və vəziyyəti diqqətlə qiymətləndirin. Nəyi imzaladığınızı yoxlayın : Niyə? Brauzer pul kisələri geniş müqavilə verilənlər bazasına malikdir və bəzən yanlış pozitivlər təqdim edə bilər, lakin onlar yeni və xüsusilə təsdiqlənməmiş müqavilələrlə qarşılıqlı əlaqəni vurğulayır (bu, bu halda aktual idi). Brauzer əsaslı pul kisəsi əlaqələri birbaşa bağlantılardan daha təhlükəsizdir : Etik sındırma ilə məşğul olmasanız, yalnız rəsmi proqram təminatı quraşdırın. Bunu istehsalçının saytında və ya hash məbləğləri vasitəsilə yoxlaya bilərsiniz. Pul kisəsinin proqram təminatını yeniləyin : Həmişə gözlənilməz dəyişiklikləri yoxlayın. Burada əsas anlayışlar və . İmzalamadan əvvəl əməliyyatları simulyasiya edin əvvəlcədən yoxlama kəsmədir : Bəzi faydalı vasitələrə aşağıdakılar daxildir: Alternativ doğrulama mənbələrindən istifadə edin Etherscan Giriş Məlumat Dekoderi (Bybit hackindən sonra istifadə olunur) PalmeraDAO Safe Interface (əlaqəli səhifədə izah olunur) CirclesTools SafeViewer Safe həmçinin alternativ interfeyslər təqdim etdi: PalmeraDAO Tətbiqi EternalSafe Onchainden Tətbiqi Əlavə et.: Təhlükəsiz API Təhlükəsiz Sənədləşdirmə xüsusiyyətləri Trezor Bu ehtiyat tədbirləri sadəcə başlanğıcdır. İndi gəlin onları Radiant hackindən öyrənilən dərslərlə müqayisə edək: : İstənilən anomaliya, hətta kiçik olsa da, təhlükəsizlik yoxlamasına səbəb olmalıdır. Çoxqatlı imza yoxlanışı : Aparat pul kisəsi məlumatlarına uyğun gələn doğrulama kodları yaradır. Müstəqil əməliyyat yoxlama cihazı : Kritik əməliyyatlar üçün kor-koranə imzalamaqdan çəkinin. Təkmilləşdirilmiş Ledger/Trezor təhlükəsizliyi : Təkrarlanan problemlər tam əməliyyat auditini işə salmalıdır. Təkrarlanan əməliyyat uğursuzluqlarını yoxlayın : İmzalanmadan əvvəl əməliyyat məlumatlarını çıxarın və deşifrə edin, funksiyaların və ünvanların gözləntilərə uyğun olmasını təmin edin. Əməliyyat məlumatlarının əl ilə yoxlanılması : Aparat cüzdanlarında əməliyyatları yoxlamaq üçün Gnosis təlimatından istifadə edin. İkili mesaj hash təsdiqi Bybit bunlardan hər hansı birini həyata keçiribmi? Mövcud məlumatlara görə - yox. İnsan faktoru: ən zəif əlaqə Fişinq, sosial mühəndislik və spam kiberhücumların 80%-ni təşkil edir. Bybit və Radiant halları bunu açıq şəkildə sübut edir. Riskləri azaltmaq üçün rol bölgüsü həyata keçirin: . Bir neçə imzalayanınız varsa, onların müstəqil yoxlama kanalları olmalıdır . Mülkiyyət dəyişiklikləri əməliyyatın təsdiqindən daha mürəkkəb olmalıdır (məsələn, hər hansı bir mübadilə üçün 1,5 milyard dollar həddindən artıqdır). Soyuq pul kisələri heç vaxt məqbul itki həddindən artıq saxlamamalıdır . İstənilən əməliyyat uyğunsuzluğu təsdiqlə deyil, defolt olaraq ləğv edilməlidir . İşçilər ən azı ayda bir dəfə davamlı təhlükəsizlik təlimi almalıdırlar Multisig pul kisələri və qabaqcıl təhlükəsizlik alətlərində təcrübəsi olan . ən azı bir təhlükəsizlik yoxlayıcı təyin edin Yenə də ictimai məlumatlar Bybit-in bu addımlardan hər hansı birinə əməl etdiyini təsdiqləmir. Tədqiqatçı Rəyləri Bir çox mütəxəssis bu hacklə bağlı fikir mübadiləsi aparıb. Burada bəzi əsas perspektivlər var: @dhkleung @blainemalone @pcaversaccio SlowMist Hesabatı @koeppelmann Zəncirdən Sui-istifadə Hesabatı Radiant Post-Mortem Əsas paket? Hücum yüksək texniki xarakterli görünsə də, son nəticədə texnoloji zəifliklərdən daha çox sayəsində uğur qazandı. insan səhvi Buna görə də mən Radiant və WazirX hallarını öyrənməyi çox tövsiyə edirəm. Aydındır ki, skript uşaqları bu üsulları mənimsəyir, yəni bundan sonra təkcə mübadilələr deyil, daha geniş spektrli kripto layihələri də hədəflənəcək. Təhlükəsiz qalın!
