Безбедноста е нешто со што се занимавам во последните 15-17 години. Колку и да знаете, секогаш ќе има некој попаметен, побрз или посилен. Сепак, постои збир на правила и принципи кои никогаш не треба да се прекршуваат. Искуството на Bybit беше особено илустративно за мене бидејќи вработените во берзата ги занемарија сите главни безбедносни пристапи - од основни и апстрактни принципи до конкретни, детални мерки. Така, ќе анализирам неколку клучни аспекти врз основа на овој хак. Нулта принцип на безбедност Пред неколку години, си го формулирав овој принцип: Ако хакирањето на вашиот систем донесе 1 милион долари, додека напаѓачот го чини само 10 илјади долари, системот дефинитивно ќе биде хакиран. Меѓутоа, ако хакирањето бара 1,1 милиони долари, тогаш се поставува прашањето: зошто да се мачиме? Освен, се разбира, мотивот не е да му наштети на конкурентот или да спроведе сајбер-напад спонзориран од државата. „Секој систем може да биде хакиран. Единственото прашање е време, пари и труд“. Токму овој принцип го прекршиле вработените во Бибит. Според првичните интервјуа, тие верувале дека нивниот систем е неранлив. Но, цената од 1,4 милијарди долари промени сè. Каде и да работите, мора да разберете дека може да се хакира, и . Единствените варијабли се пари, време и труд. Знаејќи го ова, да продолжиме напред… сè во секое време во секој случај Дали е безбеден хардверски паричник + Multisig? Да и не. Хардверските паричници отсекогаш биле напаѓани - и се најдобри примери. Другите брендови се уште полоши. Леџер Трезор Сепак, можете да ги ублажите ризиците и да ги намалите негативните влијанија кога користите хардверски/мултисиг паричници. Еве неколку препораки собрани од истражувачи и лично искуство: : Секогаш уверувајте се дека она што го гледате се совпаѓа со она што всушност го потпишувате или пренесувате. Ако забележите несогласувања, застанете, паузирајте и внимателно проценете ја ситуацијата. Потврдете го она што го потпишувате : зошто? Паричниците на прелистувачите имаат широки бази на податоци за договори и понекогаш може да обезбедат лажни позитиви, но тие ги истакнуваат интеракциите со нови и, особено, непроверени договори (што беше релевантно во овој случај). Врските со паричник базирани на прелистувачи се побезбедни од директните : инсталирајте само официјален фирмвер, освен ако не се занимавате со етичко хакирање. Можете да го потврдите ова на веб-страницата на производителот или преку хаш суми. Ажурирајте го фирмверот на вашиот паричник : Секогаш проверувајте за неочекувани промени. Клучните концепти овде се и . Симулирајте трансакции пред потпишување пред-проверка прекинување : Некои корисни алатки вклучуваат: Користете алтернативни извори за проверка Декодер за влез на податоци од етерскен (се користи по хакирањето на Bybit) Безбеден интерфејс PalmeraDAO (објаснето на поврзаната страница) CirclesTools SafeViewer Сејф воведе и алтернативни интерфејси: Апликација PalmeraDAO EternalSafe Апликација Onchainden Додај.: Безбедно API Безбедна документација Карактеристики на Трезор Овие мерки на претпазливост се само почеток. Сега, ајде да ги споредиме со лекциите научени од хакирањето Radiant: : Секоја аномалија, дури и мала, треба да предизвика безбедносен преглед. Повеќеслојна верификација на потписот : генерира кодови за потврда што се совпаѓаат со податоците од хардверскиот паричник. Независен уред за проверка на трансакции : Избегнувајте слепо потпишување за критични трансакции. Подобрена безбедност на Леџер/Трезор : Повторливите проблеми треба да предизвикаат целосна ревизија на трансакцијата. Ревизија на неуспеси на повторени трансакции : извлечете и декодирајте ги податоците за трансакцијата пред потпишувањето, осигурувајќи дека функциите и адресите одговараат на очекувањата. Рачна верификација на податоците за трансакцијата : Користете го водичот на Gnosis за да ги потврдите трансакциите на хардверските паричници. Двојна потврда за хаширање на пораките Дали Bybit спроведе нешто од овие? Според достапните податоци - бр. Човечки фактор: Најслабата алка Фишинг, социјален инженеринг и спам сочинуваат 80% од сајбер нападите. Случаите Bybit и Radiant го докажуваат тоа јасно. За да ги ублажите ризиците, спроведете поделба на улогите: . Ако имате повеќе потписници, тие мора да имаат независни канали за потврда . Промените на сопственоста треба да бидат посложени од одобренијата за трансакции (на пр. 1,5 милијарди долари е прекумерна за секоја размена). Ладните паричници никогаш не треба да складираат повеќе од прифатливи прагови за загуба . Секое несовпаѓање на трансакцијата треба стандардно да биде откажување, а не одобрување . Персоналот мора да добива постојана обука за безбедност - најмалку месечно со експертиза во мултисиг паричници и напредни безбедносни алатки. Назначете најмалку еден безбедносен проверувач Повторно, јавните податоци не потврдуваат дека Bybit следел некој од овие чекори. Мислења на истражувачите Многу експерти размислуваат за овој хак. Еве неколку клучни перспективи: @dhkleung @blainemalone @pcaversaccio Извештај SlowMist @koeppelmann Извештај за употреба на синџир Радијантна пост-мортем Клучот за носење? Иако нападот изгледаше многу технички, тој на крајот успеа поради наместо технолошки пропусти. човечка грешка Затоа, топло препорачувам да ги проучите и случаите Radiant и WazirX. Јасно е дека децата со скрипти ги прифаќаат овие техники, што значи дека следната ќе биде насочена не само размена, туку и поширок опсег на крипто проекти. Останете безбедни!
