Аюулгүй байдал бол миний сүүлийн 15-17 жилийн хугацаанд тулгамдсан асуудал юм. Хичнээн ихийг мэддэг байсан хамаагүй илүү ухаалаг, илүү хурдан, илүү хүчтэй хүн байх болно. Гэсэн хэдий ч хэзээ ч зөрчиж болохгүй олон дүрэм, зарчим байдаг. Биржийн ажилтнууд үндсэн болон хийсвэр зарчмаас эхлээд тодорхой, нарийвчилсан арга хэмжээ хүртэл аюулгүй байдлын бүх гол арга барилыг үл тоомсорлодог байсан тул Bybit-ийн туршлага надад маш тод харагдаж байсан. Тиймээс би энэ хакерд тулгуурлан хэд хэдэн гол зүйлийг шинжлэх болно. Аюулгүй байдлын тэг зарчим Хэдэн жилийн өмнө би өөртөө энэ зарчмыг томъёолсон: Хэрэв таны системийг хакердахад 1 сая долларын ашиг олж байхад халдагчид ердөө 10 мянган долларын хохирол учруулах юм бол системийг хакердах нь гарцаагүй. Гэсэн хэдий ч, хэрэв хакердах нь 1.1 сая доллар шаарддаг бол асуулт гарч ирнэ: яагаад санаа зовдог вэ? Мэдээжийн хэрэг, зорилго нь өрсөлдөгчөө хохироох эсвэл төрийн дэмжлэгтэй кибер халдлага хийхгүй бол. "Ямар ч системийг хакердаж болно. Ганц асуулт бол цаг хугацаа, мөнгө, хүчин чармайлт юм." Энэ зарчмыг Bybit-ийн ажилтнууд яг таг зөрчсөн. Эхний ярилцлагын дагуу тэд өөрсдийн системээ халдашгүй гэдэгт итгэж байсан. Гэвч 1.4 тэрбум долларын үнэ бүх зүйлийг өөрчилсөн. Та хаана ч ажиллаж байсан , хакердуулж болно гэдгийг ойлгох ёстой. Цорын ганц хувьсагч нь мөнгө, цаг хугацаа, хүчин чармайлт юм. Үүнийг мэдсээр байж урагшилцгаая... бүх зүйлийг хэзээ ч ямар ч тохиолдолд Техник хангамжийн түрийвч + Multisig нь аюулгүй юу? Тийм, үгүй. Техник хангамжийн түрийвч үргэлж халдлагад өртөж байсан- , бол хамгийн сайн жишээ юм. Бусад брэндүүд үүнээс ч дор байна. Леджер Трезор нар Гэсэн хэдий ч та техник хангамж/олон сийлбэртэй түрийвч ашиглахдаа эрсдэлийг бууруулж, сөрөг нөлөөллийг бууруулж чадна. Судлаачид болон хувийн туршлагаас цуглуулсан зарим зөвлөмжийг энд оруулав. : Таны харж буй зүйл таны гарын үсэг зурж буй эсвэл шилжүүлж буй зүйлтэй тохирч байгаа эсэхийг үргэлж шалгаарай. Хэрэв та зөрүүг анзаарсан бол зогсоож, түр зогсоож, нөхцөл байдлыг сайтар үнэл. Гарын үсэг зурж буй зүйлээ шалгана уу : Яагаад? Хөтөч түрийвч нь өргөн хүрээний гэрээний мэдээллийн сантай бөгөөд заримдаа худал эерэг мэдээлэл өгдөг боловч шинэ, ялангуяа баталгаажуулаагүй гэрээнүүдтэй харилцах харилцааг онцлон тэмдэглэдэг (энэ нь энэ тохиолдолд хамааралтай байсан). Хөтөч дээр суурилсан түрийвчний холболт нь шууд холболтоос илүү аюулгүй байдаг : Хэрэв та ёс суртахуунтай хакердаагүй бол зөвхөн албан ёсны программ хангамжийг суулгаарай. Та үүнийг үйлдвэрлэгчийн вэбсайт эсвэл хэш нийлбэрээр баталгаажуулж болно. Түрийвчнийхээ программ хангамжийг шинэчлэх : Гэнэтийн өөрчлөлтийг үргэлж шалга. Энд байгаа гол ойлголтууд бол , юм. Гарын үсэг зурахаас өмнө гүйлгээг загварчлах урьдчилан шалгах таслах явдал : Зарим хэрэгтэй хэрэгслүүд орно: Баталгаажуулах өөр эх сурвалжийг ашиглах Etherscan оролтын өгөгдлийн декодер (Bybit хакердсаны дараа ашиглагддаг) PalmeraDAO Safe Interface (холбогдсон хуудсанд тайлбарласан) CirclesTools SafeViewer Safe нь өөр интерфейсүүдийг нэвтрүүлсэн: PalmeraDAO програм Мөнхийн аюулгүй Onchainden програм Нэмэх.: Аюулгүй API Аюулгүй баримт бичиг онцлог Trezor Эдгээр урьдчилан сэргийлэх арга хэмжээ нь зөвхөн эхлэл юм. Одоо тэдгээрийг Radiant хакераас авсан сургамжтай харьцуулъя: : Аливаа гажиг, тэр ч байтугай бага зэрэг нь аюулгүй байдлын шалгалтыг өдөөх ёстой. Олон давхаргат гарын үсгийн баталгаажуулалт : Техник хангамжийн түрийвчний өгөгдөлтэй тохирох баталгаажуулах кодыг үүсгэдэг. Бие даасан гүйлгээ шалгах төхөөрөмж : Чухал гүйлгээнд сохроор гарын үсэг зурахаас зайлсхий. Сайжруулсан Ledger/Trezor аюулгүй байдал : Байнгын асуудал нь гүйлгээний бүрэн аудитыг эхлүүлэх ёстой. Дахин давтагдсан гүйлгээний бүтэлгүйтэлд аудит хийх : Гарын үсэг зурахаас өмнө гүйлгээний өгөгдлийг задлах, тайлах, функцууд болон хаягууд нь хүлээлттэй нийцэж байгаа эсэхийг баталгаажуулах. Гүйлгээний өгөгдлийг гараар баталгаажуулах : Техник хангамжийн түрийвч дээрх гүйлгээг шалгахын тулд Gnosis-ийн гарын авлагыг ашиглана уу. Хос мессежийн хэш баталгаажуулалт Байбит эдгээрийн аль нэгийг хэрэгжүүлсэн үү? Боломжтой мэдээллээр - үгүй. Хүний хүчин зүйл: Хамгийн сул холбоос Фишинг, нийгмийн инженерчлэл, спам нь кибер халдлагын 80%-ийг эзэлдэг. Үүнийг Bybit болон Radiant-ийн тохиолдлууд тод нотолж байна. Эрсдэлийг бууруулахын тулд үүрэг хуваарилалтыг хэрэгжүүлнэ үү: . Хэрэв танд олон гарын үсэг зурсан бол тэд бие даасан баталгаажуулах сувагтай байх ёстой . Өмчлөлийн өөрчлөлт нь гүйлгээний зөвшөөрлөөс илүү төвөгтэй байх ёстой (жишээ нь, 1.5 тэрбум доллар ямар ч солилцоонд хэтрүүлсэн). Хүйтэн түрийвч нь хүлээн зөвшөөрөгдөх алдагдлын босго хэмжээнээс илүүг хадгалах ёсгүй . Аливаа гүйлгээний зөрүү нь зөвшөөрлийг бус харин цуцлах ёстой . Ажилтнууд аюулгүй байдлын байнгын сургалтанд хамрагдах ёстой - дор хаяж сар бүр Multisig түрийвч болон дэвшилтэт хамгаалалтын хэрэгслүүдийн талаар мэдлэгтэй . , дор хаяж нэг аюулгүй байдлын баталгаажуулагчийг томил Дахин хэлэхэд, олон нийтийн өгөгдөл нь Bybit эдгээр алхмуудын аль нэгийг нь дагасан гэдгийг батлахгүй. Судлаачдын санал бодол Олон шинжээчид энэ хакердалтыг анхаарч үзсэн. Энд зарим гол хэтийн төлөв байна: @dhkleung @blainemalone @pcaversaccio SlowMist тайлан @koeppelmann Гинжин хүчирхийллийн тайлан Үхлийн дараах цацраг Гол арга хэмжээ? Энэ халдлага нь өндөр техникийн шинжтэй мэт санагдаж байсан ч эцсийн дүндээ технологийн эмзэг байдлаас бус болж амжилттай болсон. хүний буруугаас Тиймээс би Radiant болон WazirX-ийн хэргийг судлахыг зөвлөж байна. Скриптийн хүүхдүүд эдгээр техникийг ашиглаж байгаа нь тодорхой байна, энэ нь зөвхөн солилцоо төдийгүй илүү өргөн хүрээний крипто төслүүдийг дараагийн зорилтот түвшинд хүргэх болно. Аюулгүй байгаарай!