Узлом біржы Bybit коштам 1,4 мільярда долараў - гэта натуральны гром. Па-першае, колькасць скрадзенай криптовалюты ашаламляе. Па-другое, сістэмы бяспекі буйных платформаў CEX лічацца даволі надзейнымі і прадуманымі, але здаецца, што гэта не так. Цэлыя кампаніі ( ) і асобныя эксперты ( ) шукаюць прыкметы знешняга ўплыву і шлях сродкаў, каб даведацца, да каго прывядуць сродкі. А пакуль ананімны эксперт па бяспецы , аўтар і кіраўнік а , зазірнуў глыбей у саму атаку і што ахоўны механізм на самай справе не быў такім надзейным і што нехта ўнутры Bybit мог быць датычны да ўзлому. Аркхэм ZachXBT Дэксаран ERC-223 Ethereum Commonwealth выяўлены Multisig апынуўся ненадзейным. Пераважная большасць біржаў выкарыстоўваюць кашалькі для захоўвання актываў. Па сутнасці, гэта спецыяльны смарт-кантракт, дзейнічаць па якім можна толькі ў тым выпадку, калі асобы, якія ўдзельнічаюць у кіраванні, зацвердзяць прапанаванае дзеянне сваімі подпісамі. Такія разумныя кантракты могуць быць , г.зн. ёсць пакет проксі-кантракту, які захоўвае даныя, і кантракта на рэалізацыю - логіка, якую трэба выканаць. мультысіг абнаўляемы Дэксаран у адным са сваіх пастоў дае адрас ст атакаванага халоднага кашалька Bybit з выкарыстаннем Gnosis Safe у якасці кантракту на рэалізацыю, справядліва адзначыўшы, што гэта даволі складаны кантракт з 1080 радкоў. Цалкам можа быць, што каманда Bybit ніколі не выкарыстала поўную функцыянальнасць Gnosis Safe. Хутчэй за ўсё, на выбар смарт-кантракту з некалькімі подпісамі паўплывала шырокае распаўсюджванне Gnosis Safe. Між тым, складанасць часта прыводзіць да празмернасці і неразумення паводзінаў кода ў складаных сітуацыях, можна ўспомніць некарэктнага карыстальніка з Gnosis Safe і стратай 25 мільёнаў долараў. дагавор даверанасці узаемадзеянне Ахілесавай пятой выкарыстоўванага мультысіга апынуліся сігнатуры, дакладней, тое, як і з дапамогай чаго яны генеруюцца. Як дэксаран , подпісы вельмі складаныя і нечытэльныя для людзей, што азначае, што, хутчэй за ўсё, для іх стварэння выкарыстоўваецца праграмнае забеспячэнне, а сам працэс аднолькавы для ўсіх удзельнікаў, мяркуе даследчык. нататкі Таму іншыя члены каманды Bybit нічога не падазравалі, бо ўсё выглядала , і яны не змаглі прачытаць замену гарачага кашалька Bybit на кашалёк хакера з-за складанасці подпісу, дадзенага хакерам. як звычайна Няма прычын не давяраць вопыту Dexaran. Ён мае вялікі вопыт аўдыту смарт-кантрактаў пасля падзелу Ethereum. Ён мультысіг-кашалёк для Ethereum Classic, распрацавала стандарт ERC-223 і камунікацыйную мадэль смарт-кантракту для вырашэння . рэвізавана Праблема ERC-20 Навошта хакеру знаходзіцца ўнутры Bybit? Безумоўна, кантракт Gnosis Safe і кантракт проксі правяраюцца ў блокавым браўзеры Etherscan, кожны можа прачытаць код, хакер можа быць проста разумным хлопцам. Тым не менш, той факт, што ён дакладна ведае, як ствараюцца подпісы, з'яўляецца альбо рэдкім супадзеннем і шчаслівым выпадкам для хакера, альбо ён проста ведае пра ўнутраную працу сістэмы бяспекі Bybit са сваіх прамых службовых абавязкаў або ад інфарматара. Акрамя таго, хакер не проста прайшоў міма, ён два экзэмпляры мэтавага дагавора на практыку напярэдадні. разгорнуты Хакерскія сцежкі Даследчык пад нікам ZachXBT паток сродкаў на адрас, які акумуляваў сродкі ад . Гэты факт бярэцца як доказ удзел ва ўзломе Bybit. Улічваючы, што хакер або група хакераў знішчалі сродкі і выводзілі іх праз розныя масты і міксеры, даследчык выканаў геркулесавую задачу. прасочваецца Ўзлом Phemex Група Лазара \У сваю чаргу, дэксаран Звярніце ўвагу на ланцужок адрасоў, праз якія адрасы хакера папаўняліся для аплаты газу для званкоў для тэставання кантрактаў і адпраўкі транзакцыі з подпісам для вываду сродкаў з халоднага кашалька біржы. Аказваецца, хакер фінансаваў свае адрасы праз біржу Binance. Binance цалкам адпавядае правілам KYC/AML і цалкам гатовы супрацоўнічаць з рознымі праваахоўнымі органамі. Вядома, хакеры выкарыстоўваюць так званага «грашовага мула», але гэта ўсё ж падказка, калі біржа супрацоўнічае з праваахоўнымі органамі. малюе Рэакцыя супольнасці. Заклік да адмены дэцэнтралізацыі. Як толькі стала вядома, што біржа была ўзламаная і была выведзена астранамічная колькасць ETH, рынак адчуў ціск продажаў. Трэйдары, відавочна, паспяшаліся падстрахавацца ад сваіх ставак, мяркуючы, што хакеры абнаявіць скрадзеныя грошы. CoinMarketCap Пасля адкрыцця вываду з біржы карыстальнікі таксама кінуліся выводзіць свае сродкі, што прывяло да адтоку $5,3 млрд ( ). Лама DeFi Розныя кампаніі атрымалі у пазначэнні скрадзеных сродкаў і абмежаванні магчымасці хакераў выкарыстоўваць розныя платформы для змешвання і перадачы сродкаў паміж блокчейнами. Tether - эмітэнт USDt - блакуе сродкі хакераў ( ). задзейнічаны Паола Ардоіна Аднак не ўсе рухаюцца дружна. Cryptomixer eXch адмовіўся супрацоўнічаць з біржай. «У святле гэтых абставінаў мы хацелі б атрымаць тлумачэнне, чаму мы павінны супрацоўнічаць з арганізацыяй, якая актыўна ганьбіць нашу рэпутацыю», — напісаў eXch у адказе, размешчаным на форуме . Bitcointalk Дзіўна, але ёсць людзі, якія заклікаюць да адкату блокчейна Ethereum, каб вярнуць сродкі Bybit, адзін з іх . Генеральны дырэктар Jan3 Самсон Моў Некалькі дзіўна гучаць гэтыя заклікі, калі звычайных карыстальнікаў, якія губляюць свае сродкі, абвінавачваюць у халатнасці. Нярэдкія выпадкі, калі карыстальнікі памылкова адпраўляюць сродкі на біржу з няправільнай сеткі EVM, і ўсё, што трэба зрабіць біржы, гэта выкарыстоўваць публічны вузел, каб адправіць сродкі карыстальніка назад, але ў 99,9% выпадкаў яны адмаўляюцца. Акрамя таго, Bybit запэўніў, што мае дастаткова рэзерваў, каб пакрыць усе страты. Гэтыя людзі несвядома заклікаюць пахаваць усе намаганні блокчейн-індустрыі, цалкам адмяніўшы дэцэнтралізацыю, зводзячы тым самым каштоўнасць публічнай тэхналогіі блокчейн да нуля. На шчасце, самі распрацоўшчыкі Ethereum супраць такога кроку, і сваю пазіцыю больш чым апраўдалі. напрыклад, распрацоўшчык ядра . Цім Бейко І ў іх дастаткова прыхільнікаў у гэтым пытанні, якія выступаюць за дэцэнтралізацыю і філасофію крыптапанку, такія як . Джасцін Бонс Сам Bybit праграма ўзнагароджання, такім чынам абвяшчаючы паляванне на хакераў, якія маюць дачыненне да ўзлому. запушчаны Заключэнне Супольнасць прывыкла да перыядычных узломаў пратаколаў DeFi. На гэтых платформах распрацоўшчыкі часта грэбуюць працэдурамі тэсціравання і аўдытам, выбіраюць модулі, код і логіку якіх яны да канца не ведаюць. Усё на карысць хуткасці развіцця і страху прапусціць хвалю. Вось чаму ўзлом CEX, асабліва буйны, - гэта заўсёды гучная падзея, якая пакідае незабыўнае ўражанне ва ўсёй індустрыі. Распрацоўшчыкі на ўсіх узроўнях не павінны забываць, што гонка абарончых механізмаў і інструментаў узлому ідзе без прыпынку і павінна быць напагатове.