Chaves privadas comprometidas podem causar sérias perdas em todos os níveis de DeFi e para todos os tipos de usuários - baleias, desenvolvedores e usuários em geral. Qualquer pessoa envolvida no Defi pode lidar com esse problema. É por isso que as organizações e os usuários individuais precisam estar cientes da escala do problema e das soluções disponíveis.  Na   estamos projetando um produto chamado Wallet Rescue – uma solução que é útil quando uma carteira criptográfica é invadida e você precisa migrar fundos com segurança para um endereço recém-criado. Hackless,   Por que essa solução é necessária e quem pode se beneficiar dela?  Ao examinar mais de perto os hacks recentes que aconteceram em relação às carteiras criptográficas, notamos que a causa principal são sempre as chaves privadas comprometidas - da carteira ativa da plataforma, chave do administrador ou chave individual do usuário. Estamos nos aprofundando nesse tipo de exploração e em como o próximo Wallet Rescue da Hackless pode ser útil! Primeiro, vamos dar uma olhada em alguns contos de advertência.   Projetos DeFi que foram hackeados por meio de chaves privadas comprometidas  1. Rede Ronin, US$ 624 milhões  Em um dos maiores hacks da história das criptomoedas, o exploit Ronin, as chaves de 5 dos 9 validadores foram comprometidas. Isso foi descoberto quando um cliente tentou fazer uma retirada legítima. Conforme anunciado pela equipe, um invasor obteve a propriedade das chaves privadas necessárias para autenticar as transações. Os maus atores conseguiram roubar 173.600 ETH e 25,5 milhões de USDC para suas carteiras.  2. ﻿Ponte Harmony, US$ 100 milhões  A ponte Harmony foi drenada em $ 100 milhões por meio de chaves privadas comprometidas de seu   . A ponte precisava apenas de duas contas de validação para aprovar as transações. Os hackers conseguiram comprometer as chaves privadas e aprovar a transferência de fundos para suas contas. multisig  3. ﻿Raydium, US$ 4,4 milhões  Este DEX perdeu US$ 4,4 milhões em cripto, sendo vítima de um invasor que conseguiu explorar uma vulnerabilidade de contrato inteligente que permitia que pools de liquidez inteiros fossem retirados pelos administradores. O invasor obteve controle sobre uma chave privada do pool de administração e drenou pools de LP sem nem mesmo ter tokens de LP. A equipe não tem certeza de como exatamente essa chave privada foi obtida, mas eles assumem que um programa trojan infectou a máquina virtual que continha a chave.   Projetos DeFi com chaves privadas dos usuários expostas  1. ﻿Wintermute, US$ 160 milhões  O formador de mercado, Wintermute, perdeu $ 160 milhões para sempre, pois sua carteira quente foi comprometida por meio de um endereço falso criado com palavrões. Tanto a carteira quente de Wintermute quanto o contrato de cofre DeFi parecem ter endereços de vaidade de palavrões. A chave privada da carteira quente provavelmente foi explorada e usada para drenar o cofre. Embora a falha de segurança dos endereços gerados por palavrões já fosse conhecida da comunidade há algum tempo, parece que isso não foi levado a sério.  2.  Carteira Slope, US$ 6 milhões  O enorme hack de uma carteira móvel baseada em Solana, Slope, afetou mais de 8.000 carteiras únicas e resultou na perda de US$ 6 milhões em fundos. Como se viu, as informações de chave privada dos usuários foram inadvertidamente transmitidas para um serviço de monitoramento de aplicativos Slope, o que resultou em exposição.   Baleias e desenvolvedores de blockchain não estão imunes  Embora os protocolos DeFi e os administradores de projetos sejam as principais vítimas de hackers, usuários criptográficos de alto nível, como baleias e até mesmo desenvolvedores de blockchain, também são alvos. Por que não? Às vezes, a recompensa pode ser uma quantia em dinheiro, como nos casos descritos abaixo.  1. ﻿Desenvolvedor de Bitcoin, US$ 3,6 milhões  Mesmo um desenvolvedor Bitcoin pode ter problemas para manter as chaves seguras. Foi o que aconteceu com Luke Dashjr, um dos primeiros desenvolvedores de Bitcoin. Ele perdeu $ 3,6 milhões em BTC devido a um hack de chave. Dashjr twittou que sua chave PGP foi comprometida e que ele não tinha ideia de como tudo aconteceu.  2.  Baleia GMX, US$ 3,5 milhões  Os hackers assumiram o controle de 82.519 tokens GMX que pertenciam a um detentor de token de alto perfil. Uma investigação mais aprofundada determinou que apenas uma única conta foi afetada, tornando a provável causa do roubo uma chave privada comprometida.   If DeFi teams and advanced crypto investors cannot secure their assets, does the general public have any hope?   Usuários DeFi regulares estão sempre no radar do hacker  Os hackers normalmente tendem a atacar carteiras maiores, no entanto, os indivíduos também são alvos. Vamos ver quais abordagens e táticas os hackers inventam para comprometer as carteiras dos usuários individuais:    – os usuários recebem um e-mail, texto ou mensagem de mídia social informando que uma determinada moeda foi adicionada à carteira por meio de um airdrop. Em seguida, eles são solicitados a conectar o endereço de sua carteira ao site de um invasor. Uma vez conectado, todos os seus fundos são drenados. Airdrops maliciosos    – os usuários geralmente são ameaçados com suspensão de conta e solicitados a fornecer suas frases iniciais como parte da verificação da conta ou do processo de recuperação. Phishing de frase inicial    – esse tipo de esquema de clickjacking engana os usuários para que deleguem a aprovação da moeda do usuário a um agente mal-intencionado. Frequentemente, os invasores modificam a IU do contrato inteligente injetando um script malicioso nela. Ice phishing    – sites clonados, contas de mídia social e e-mails fraudulentos aparecem todos os dias, enganando os usuários ao espalhar notícias falsas e enganando-os por meio de promoções e campanhas fraudulentas. E-mails, sites e mensagens maliciosos   E se uma carteira criptográfica precisar ser resgatada?  Quando um protocolo DeFi ou uma carteira individual está sendo hackeado, o invasor fica de olho nele. Isso significa que eles veem todas as atividades que você pode realizar com a carteira. Além disso, se eles perceberem que foram descobertos, poderão ajustar sua tecnologia para tornar seu ataque ainda mais eficaz.  Mas e se você tiver apostas ou moedas adquiridas conectadas a esta carteira e quiser transferi-las? O Wallet Rescue da Hackless entra em ação. Anteriormente conhecido como   , o Wallet Rescue já provou ser eficaz para alguns de nossos clientes,   em criptografia. Conductor ajudando-os a economizar cerca de US$ 700.000  Com o Wallet Rescue, você poderá migrar com segurança os ativos da carteira invadida de maneira invisível para um hacker. Isso pode ser feito por meio do recurso de mineração privada nas seguintes etapas:  Crie um pacote de transações para mineração privada.  Simule essas transações para garantir que tudo corra bem.  Envie de forma privada um pacote de transações previamente criado, simulado e assinado diretamente para mineradores por meio de provedores confiáveis.   First and foremost – Hackless does not have any access to assets of the protocol's users or their private keys.  O Wallet Rescue é uma ferramenta prática e intuitiva para qualquer investidor criptográfico usar sozinho. O aplicativo recebe apenas transações assinadas de usuários e proprietários de protocolos e as envia para mineração privada para garantir a execução das transações dentro de um bloco. Mas a propriedade é toda sua.   O Wallet Rescue estará disponível em breve na versão beta  Nossa equipe está concluindo o aplicativo da Web Wallet Rescue, que em breve estará disponível para os primeiros testadores beta. E você pode ser um deles. Tudo o que você precisa fazer é   e entraremos em contato com você assim que lançarmos o produto. preencher um formulário de usuário beta

Secure your DeFi and make them Hack Less 

Este áudio é produzido no idioma original da história!

Chaves privadas comprometidas: alvos principais e soluções futuras

About Author

COMENTARIOS

Rótulos

ESTE ARTIGO FOI APRESENTADO EM

Related Stories

Navegando pelas águas: desenvolvendo aplicações RAG de nível de produção com data lakes

Digital Nomads Ouçam: O que você precisa saber sobre o novo visto DTV da Tailândia

Como melhorar seu fluxo de trabalho em 10 vezes: 17 aplicativos essenciais

Quer ganhar um concurso de redação do HackerNoon? Aqui está o que os vencedores do concurso #crypto-api recomendam

Navegando pelas águas: desenvolvendo aplicações RAG de nível de produção com data lakes

Digital Nomads Ouçam: O que você precisa saber sobre o novo visto DTV da Tailândia

Como melhorar seu fluxo de trabalho em 10 vezes: 17 aplicativos essenciais

Quer ganhar um concurso de redação do HackerNoon? Aqui está o que os vencedores do concurso #crypto-api recomendam

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps