A biztonsággal az elmúlt 15–17 évben foglalkoztam. Nem számít, mennyit tudsz, mindig lesz valaki okosabb, gyorsabb vagy erősebb. Ennek ellenére vannak szabályok és elvek, amelyeket soha nem szabad megszegni. A Bybit tapasztalata különösen szemléltető volt számomra, mert a tőzsde alkalmazottai figyelmen kívül hagyták az összes fontosabb biztonsági megközelítést – az alapvető és elvont elvektől a konkrét, részletes intézkedésekig. Így e hack alapján több kulcsfontosságú szempontot fogok elemezni. A biztonság nulla elve Évekkel ezelőtt megfogalmaztam magamnak ezt az elvet: Ha a rendszer feltörése 1 millió dollárt hoz, miközben a támadónak csak 10 000 dollárba kerül, a rendszert biztosan feltörik. Ha azonban a hackeléshez 1,1 millió dollárra van szükség, akkor felmerül a kérdés: minek foglalkozni vele? Kivéve persze, ha az indíték egy versenytárs megkárosítása vagy államilag támogatott kibertámadás. "Bármilyen rendszert fel lehet törni. A kérdés csak az idő, a pénz és az erőfeszítés." Pontosan ezt az elvet sértették meg a Bybit alkalmazottai. Az első interjúk szerint azt hitték, rendszerük sebezhetetlen. De az 1,4 milliárd dolláros árcédula mindent megváltoztatott. Bárhol is dolgozik, meg kell értenie, hogy fel lehet törni, és . Az egyetlen változó a pénz, az idő és az erőfeszítés. Ennek tudatában haladjunk előre… bármit bármikor egyébként is Biztonságos a hardveres pénztárca + Multisig? Igen és nem. A hardverpénztárcákat mindig is támadták – és kiváló példák erre. Más márkák még rosszabbul járnak. a Ledger a Trezor Mindazonáltal csökkentheti a kockázatokat és csökkentheti a negatív hatásokat, ha hardveres/multisig pénztárcákat használ. Íme néhány kutatók és személyes tapasztalat alapján összeállított ajánlás: : Mindig győződjön meg arról, hogy amit lát, az megegyezik azzal, amit éppen aláír vagy átad. Ha eltéréseket észlel, álljon meg, álljon meg, és alaposan értékelje a helyzetet. Ellenőrizze, hogy mit ír alá : Miért? A böngészőpénztárcák kiterjedt szerződéses adatbázisokkal rendelkeznek, és néha hamis pozitív eredményeket adnak, de kiemelik az új és különösen a nem ellenőrzött szerződésekkel való interakciókat (ami ebben az esetben releváns volt). A böngésző alapú pénztárcakapcsolatok biztonságosabbak, mint a közvetlenek : Csak hivatalos firmware-t telepítsen, hacsak nem szereti az etikus hackelést. Ezt ellenőrizheti a gyártó webhelyén vagy hash összegekkel. Frissítse pénztárcája firmware-jét : Mindig ellenőrizze a váratlan változásokat. A kulcsfogalmak itt és . A tranzakciók szimulálása aláírás előtt az előzetes ellenőrzés a megszakítás : Néhány hasznos eszköz: Használjon alternatív ellenőrzési forrásokat Etherscan bemeneti adat dekóder (a Bybit feltörése után használatos) PalmeraDAO biztonságos interfész (magyarázat a linkelt oldalon) CirclesTools SafeViewer A Safe alternatív felületeket is bevezetett: PalmeraDAO alkalmazás EternalSafe Onchainden App Hozzáad.: Biztonságos API Biztonságos dokumentáció jellemzői Trezor Ezek az óvintézkedések csak a kezdet. Most pedig hasonlítsuk össze őket a Radiant hack tanulságaival: : Bármilyen anomáliának, akár kisebbnek is, biztonsági felülvizsgálatot kell kiváltania. Többrétegű aláírás-ellenőrzés : A hardveres pénztárca adatainak megfelelő ellenőrző kódokat generál. Független tranzakció-ellenőrző eszköz : Kerülje el a kritikus tranzakciók vak aláírását. Továbbfejlesztett Ledger/Trezor biztonság : Az ismétlődő problémáknak teljes tranzakció-auditálást kell kiváltaniuk. Ismételt tranzakciós hibák ellenőrzése : A tranzakciós adatok kibontása és dekódolása az aláírás előtt, így biztosítva, hogy a funkciók és a címek megfeleljenek az elvárásoknak. A tranzakciós adatok kézi ellenőrzése : A Gnosis útmutatója segítségével ellenőrizze a hardveres pénztárcákon végrehajtott tranzakciókat. Kettős üzenet hash megerősítése A Bybit megvalósította ezek közül valamelyiket? A rendelkezésre álló adatok szerint – nem. Az emberi tényező: A leggyengébb láncszem Az adathalászat, a közösségi manipuláció és a spam a kibertámadások 80%-áért felelős. A Bybit és a Radiant esetek ezt egyértelműen igazolják. A kockázatok csökkentése érdekében hajtsa végre a szerepek szétválasztását: . Ha több aláírója van, akkor független ellenőrző csatornákkal kell rendelkezniük . A tulajdonjog megváltoztatásának összetettebbnek kell lennie, mint a tranzakció jóváhagyásának (pl. 1,5 milliárd dollár túlzott minden csere esetén). A hideg pénztárcák soha nem tárolhatnak az elfogadható veszteségi küszöbnél többet . A tranzakciós eltérések alapértelmezés szerint a törlés, nem pedig a jóváhagyás jelentik . A személyzetnek folyamatos biztonsági képzésen kell részt vennie – legalább havonta aki jártas a multisig pénztárcák és a fejlett biztonsági eszközök terén. Jelöljön ki legalább egy biztonsági ellenőrt, A nyilvános adatok ismét nem erősítik meg, hogy a Bybit követte volna ezen lépések bármelyikét. Kutatói vélemények Sok szakértő mérlegelte ezt a hackelést. Íme néhány kulcsfontosságú szempont: @dhkleung @blainemalone @pcaversaccio SlowMist jelentés @koeppelmann Chainabuse jelentés Radiant Post Mortem A kulcs elvihető? Bár a támadás rendkívül technikai jellegűnek tűnt, végül inkább , mint technológiai sebezhetőség miatt sikerült. emberi hiba Ezért nagyon ajánlom a Radiant és a WazirX esetek tanulmányozását is. Nyilvánvaló, hogy a script kiddyek alkalmazzák ezeket a technikákat, ami azt jelenti, hogy nem csak a cseréket, hanem a kriptoprojektek szélesebb körét célozzák meg legközelebb. Maradj biztonságban!