ຄວາມປອດໄພແມ່ນບາງສິ່ງທີ່ຂ້າພະເຈົ້າໄດ້ຮັບການແກ້ໄຂສໍາລັບການທີ່ຜ່ານມາ 15-17 ປີ. ບໍ່ວ່າເຈົ້າຮູ້ຫຼາຍປານໃດ, ຈະມີຄົນທີ່ສະຫຼາດກວ່າ, ໄວກວ່າ, ຫຼືເຂັ້ມແຂງກວ່າສະເໝີ. ຢ່າງໃດກໍຕາມ, ມີຂໍ້ກໍານົດແລະຫຼັກການພື້ນຖານທີ່ບໍ່ຄວນຖືກລະເມີດ. ປະສົບການຂອງ Bybit ເປັນຕົວຢ່າງໂດຍສະເພາະສໍາລັບຂ້ອຍເພາະວ່າພະນັກງານຂອງການແລກປ່ຽນໄດ້ລະເລີຍວິທີການຄວາມປອດໄພທີ່ສໍາຄັນທັງຫມົດ - ຈາກຫຼັກການພື້ນຖານແລະບໍ່ມີຕົວຕົນໄປສູ່ມາດຕະການລະອຽດ. ດັ່ງນັ້ນ, ຂ້າພະເຈົ້າຈະວິເຄາະລັກສະນະທີ່ສໍາຄັນຈໍານວນຫນຶ່ງໂດຍອີງໃສ່ການ hack ນີ້. ຫຼັກການສູນຄວາມປອດໄພ ຫລາຍປີກ່ອນ, ຂ້າພະເຈົ້າໄດ້ສ້າງຫຼັກການນີ້ສໍາລັບຕົນເອງ: ຖ້າການແຮັກລະບົບຂອງທ່ານໃຫ້ຜົນຕອບແທນ $1M ໃນຂະນະທີ່ໃຫ້ຜູ້ໂຈມຕີພຽງແຕ່ $10K, ລະບົບຈະຖືກແຮັກແນ່ນອນ. ຢ່າງໃດກໍຕາມ, ຖ້າການ hacking ຕ້ອງການ $ 1.1 ລ້ານ, ຫຼັງຈາກນັ້ນຄໍາຖາມຈະກາຍເປັນ: ເປັນຫຍັງ bother? ເວັ້ນເສຍແຕ່, ແນ່ນອນ, ສິ່ງລະດົມໃຈແມ່ນເພື່ອທໍາຮ້າຍຄູ່ແຂ່ງຫຼືດໍາເນີນການໂຈມຕີທາງອິນເຕີເນັດໂດຍລັດ. "ລະບົບໃດກໍ່ຕາມສາມາດຖືກ hack ໄດ້. ຄໍາຖາມດຽວແມ່ນເວລາ, ເງິນ, ແລະຄວາມພະຍາຍາມ." ຫຼັກການນີ້ແມ່ນແນ່ນອນສິ່ງທີ່ພະນັກງານຂອງ Bybit ລະເມີດ. ອີງຕາມການສໍາພາດໃນເບື້ອງຕົ້ນ, ພວກເຂົາເຈົ້າເຊື່ອວ່າລະບົບຂອງເຂົາເຈົ້າ invulnerable. ແຕ່ປ້າຍລາຄາ $1.4B ໄດ້ປ່ຽນແປງທຸກຢ່າງ. ບໍ່ວ່າທ່ານຈະເຮັດວຽກຢູ່ໃສ, ທ່ານຕ້ອງເຂົ້າໃຈວ່າ ສາມາດຖືກແຮັກໄດ້, , ແລະ . ຕົວແປພຽງແຕ່ແມ່ນເງິນ, ເວລາ, ແລະຄວາມພະຍາຍາມ. ຮູ້ແນວນີ້, ຂໍໃຫ້ກ້າວໄປຂ້າງຫນ້າ ... ສິ່ງໃດ ທຸກເວລາ ຢ່າງໃດກໍ່ຕາມ ເປັນ Hardware Wallet + Multisig ປອດໄພບໍ? ແມ່ນ ແລະ ບໍ່. ກະເປົາເງິນຮາດແວໄດ້ຖືກໂຈມຕີຢູ່ສະເໝີ ແລະ ແມ່ນຕົວຢ່າງຫຼັກ. ຍີ່ຫໍ້ອື່ນໆມີລາຄາຮ້າຍແຮງກວ່າເກົ່າ. — Ledger Trezor ຢ່າງໃດກໍຕາມ, ທ່ານສາມາດຫຼຸດຜ່ອນຄວາມສ່ຽງແລະຫຼຸດຜ່ອນຜົນກະທົບທາງລົບໃນເວລາທີ່ການນໍາໃຊ້ hardware/multisig wallets. ນີ້ແມ່ນບາງຄໍາແນະນໍາທີ່ລວບລວມຈາກນັກຄົ້ນຄວ້າແລະປະສົບການສ່ວນຕົວ: : ໃຫ້ແນ່ໃຈວ່າສິ່ງທີ່ທ່ານເຫັນກົງກັບສິ່ງທີ່ທ່ານກຳລັງເຊັນ ຫຼືໂອນຍ້າຍຕົວຈິງຢູ່ສະເໝີ. ຖ້າທ່ານສັງເກດເຫັນຄວາມແຕກຕ່າງ, ຢຸດ, ຢຸດຊົ່ວຄາວ, ແລະປະເມີນສະຖານະການຢ່າງລະມັດລະວັງ. ຢືນຢັນສິ່ງທີ່ທ່ານກຳລັງເຊັນ : ເປັນຫຍັງ? ກະເປົາເງິນຂອງຕົວທ່ອງເວັບມີຖານຂໍ້ມູນສັນຍາຢ່າງກວ້າງຂວາງແລະບາງຄັ້ງສາມາດສະຫນອງຜົນບວກທີ່ບໍ່ຖືກຕ້ອງ, ແຕ່ພວກເຂົາເນັ້ນໃສ່ການໂຕ້ຕອບກັບສັນຍາໃຫມ່ແລະ, ໂດຍສະເພາະ, ສັນຍາທີ່ບໍ່ໄດ້ຮັບການຢືນຢັນ (ເຊິ່ງກ່ຽວຂ້ອງໃນກໍລະນີນີ້). ການເຊື່ອມຕໍ່ wallet ທີ່ອີງໃສ່ຕົວທ່ອງເວັບແມ່ນປອດໄພກວ່າການເຊື່ອມຕໍ່ໂດຍກົງ : ຕິດຕັ້ງພຽງແຕ່ເຟີມແວທີ່ເປັນທາງການ, ເວັ້ນເສຍແຕ່ວ່າທ່ານຢູ່ໃນການແຮັກດ້ານຈັນຍາບັນ. ທ່ານສາມາດກວດສອບນີ້ຢູ່ໃນເວັບໄຊທ໌ຂອງຜູ້ຜະລິດຫຼືຜ່ານ hash sums. ອັບເດດເຟີມແວກະເປົາເງິນຂອງທ່ານ : ກວດເບິ່ງການປ່ຽນແປງທີ່ບໍ່ຄາດຄິດສະເຫມີ. ແນວຄວາມຄິດທີ່ສໍາຄັນຢູ່ທີ່ນີ້ແມ່ນ ແລະ . ຈໍາລອງການເຮັດທຸລະກໍາກ່ອນທີ່ຈະເຊັນ ການກວດສອບກ່ອນ ການຂັດຂວາງ : ບາງເຄື່ອງມືທີ່ເປັນປະໂຫຍດລວມມີ: ໃຊ້ແຫຼ່ງຢັ້ງຢືນທາງເລືອກ ຕົວຖອດລະຫັດການປ້ອນຂໍ້ມູນ Etherscan (ໃຊ້ຫຼັງຈາກການ hack Bybit) PalmeraDAO Safe Interface (ອະທິບາຍໃນຫນ້າທີ່ເຊື່ອມຕໍ່) CirclesTools SafeViewer Safe ຍັງໄດ້ນໍາສະເຫນີການໂຕ້ຕອບທາງເລືອກ: ແອັບ PalmeraDAO EternalSafe ແອັບ Onchainden ເພີ່ມ: API ປອດໄພ ເອກະສານປອດໄພ ລັກສະນະ Trezor ການລະມັດລະວັງເຫຼົ່ານີ້ແມ່ນພຽງແຕ່ການເລີ່ມຕົ້ນ. ດຽວນີ້, ໃຫ້ປຽບທຽບພວກມັນກັບບົດຮຽນທີ່ຖອດຖອນໄດ້ຈາກການ hack Radiant: : ຄວາມຜິດປົກກະຕິໃດໆ, ເຖິງແມ່ນວ່າເລັກນ້ອຍ, ຄວນກະຕຸ້ນໃຫ້ມີການກວດສອບຄວາມປອດໄພ. ການຢັ້ງຢືນລາຍເຊັນຫຼາຍຊັ້ນ : ສ້າງລະຫັດກວດສອບທີ່ກົງກັບຂໍ້ມູນ wallet ຮາດແວ. ອຸປະກອນການຢືນຢັນການເຮັດທຸລະກໍາເອກະລາດ : ຫຼີກເວັ້ນການເຊັນຊື່ຕາບອດສໍາລັບການເຮັດທຸລະກໍາທີ່ສໍາຄັນ. ປັບປຸງ Ledger/Trezor ຄວາມປອດໄພ : ບັນຫາທີ່ເກີດຂຶ້ນເລື້ອຍໆຄວນຈະເຮັດໃຫ້ມີການກວດສອບທຸລະກຳຢ່າງເຕັມທີ່. ກວດສອບຄວາມລົ້ມເຫຼວທີ່ເຮັດທຸລະກຳຊ້ຳແລ້ວຊ້ຳອີກ : ສະກັດແລະຖອດລະຫັດຂໍ້ມູນການເຮັດທຸລະກໍາກ່ອນທີ່ຈະເຊັນ, ຮັບປະກັນຫນ້າທີ່ແລະທີ່ຢູ່ກົງກັບຄວາມຄາດຫວັງ. ການກວດສອບຂໍ້ມູນການເຮັດທຸລະກໍາດ້ວຍມື : ໃຊ້ຄູ່ມື Gnosis ເພື່ອກວດສອບການເຮັດທຸລະກໍາໃນຮາດແວ wallets. ການຢືນຢັນ hash ຂໍ້ຄວາມຄູ່ Bybit ປະຕິບັດສິ່ງເຫຼົ່ານີ້ບໍ? ອີງຕາມຂໍ້ມູນທີ່ມີຢູ່ - ບໍ່ມີ. ປັດໄຈຂອງມະນຸດ: ການເຊື່ອມໂຍງທີ່ອ່ອນແອທີ່ສຸດ Phishing, ວິສະວະກໍາສັງຄົມ, ແລະ spam ກວມເອົາ 80% ຂອງການໂຈມຕີທາງອິນເຕີເນັດ. ກໍລະນີ Bybit ແລະ Radiant ພິສູດໄດ້ຢ່າງຊັດເຈນ. ເພື່ອຫຼຸດຜ່ອນຄວາມສ່ຽງ, ປະຕິບັດການແຍກບົດບາດ: . ຖ້າທ່ານມີຜູ້ລົງນາມຫຼາຍຄົນ, ພວກເຂົາຕ້ອງມີຊ່ອງທາງການຢັ້ງຢືນເອກະລາດ . ການປ່ຽນແປງຄວາມເປັນເຈົ້າຂອງຄວນຈະສະລັບສັບຊ້ອນຫຼາຍກ່ວາການອະນຸມັດການເຮັດທຸລະກໍາ (ເຊັ່ນ: $1.5B ແມ່ນຫຼາຍເກີນໄປສໍາລັບການແລກປ່ຽນໃດໆ). ກະເປົ໋າເງິນເຢັນບໍ່ຄວນເກັບຫຼາຍກວ່າເກນການສູນເສຍທີ່ຍອມຮັບໄດ້ . ຄວາມແຕກຕ່າງຂອງທຸລະກໍາໃດໆຄວນຈະເປັນຄ່າເລີ່ມຕົ້ນທີ່ຈະຍົກເລີກ, ບໍ່ແມ່ນການອະນຸມັດ . ພະນັກງານຕ້ອງໄດ້ຮັບການຝຶກອົບຮົມດ້ານຄວາມປອດໄພຢ່າງຕໍ່ເນື່ອງ—ຢ່າງໜ້ອຍທຸກເດືອນ ທີ່ມີຄວາມຊໍານານໃນກະເປົາເງິນແບບ multisig ແລະເຄື່ອງມືຄວາມປອດໄພຂັ້ນສູງ. ແຕ່ງຕັ້ງຜູ້ກວດສອບຄວາມປອດໄພຢ່າງໜ້ອຍໜຶ່ງຄົນ ອີກເທື່ອຫນຶ່ງ, ຂໍ້ມູນສາທາລະນະບໍ່ໄດ້ຢືນຢັນວ່າ Bybit ປະຕິບັດຕາມຂັ້ນຕອນເຫຼົ່ານີ້. ຄວາມຄິດເຫັນຂອງນັກຄົ້ນຄວ້າ ຜູ້ຊ່ຽວຊານຫຼາຍຄົນໄດ້ຊັ່ງນໍ້າຫນັກກ່ຽວກັບການ hack ນີ້. ນີ້ແມ່ນບາງທັດສະນະຫຼັກໆ: @dhkleung @blainemalone @pcaversaccio ບົດລາຍງານ SlowMist @koeppelmann ບົດລາຍງານ Chainabuse Radiant Post-mortem ກຸນແຈ takeaway? ໃນຂະນະທີ່ການໂຈມຕີປະກົດວ່າມີເຕັກນິກສູງ, ໃນທີ່ສຸດມັນກໍ່ປະສົບຜົນສໍາເລັດຍ້ອນ ແທນທີ່ຈະເປັນຄວາມອ່ອນແອທາງດ້ານເຕັກໂນໂລຢີ. ຄວາມຜິດພາດຂອງມະນຸດ ດັ່ງນັ້ນ, ຂ້າພະເຈົ້າຂໍແນະນໍາໃຫ້ສຶກສາກໍລະນີ Radiant ແລະ WazirX ເຊັ່ນກັນ. ມັນເປັນທີ່ຊັດເຈນວ່າ kiddies script ກໍາລັງປະຕິບັດເຕັກນິກເຫຼົ່ານີ້, ຊຶ່ງຫມາຍຄວາມວ່າບໍ່ພຽງແຕ່ການແລກປ່ຽນແຕ່ໂຄງການ crypto ກວ້າງກວ່າຈະຖືກເປົ້າຫມາຍຕໍ່ໄປ. ປອດໄພ!