Направленные ациклические графы (DAG) стали многообещающей альтернативой технологии блокчейн. В отличие от блокчейнов, DAG могут похвастаться уникальной структурой, в которой транзакции связаны направленным, нециклическим образом, с новыми способами достижения консенсуса. Это нововведение обещает более высокую скорость транзакций и более высокую децентрализацию, что делает их привлекательным выбором для криптоэнтузиастов. Однако они могут столкнуться со своими собственными проблемами безопасности. В конце концов, существуют программы вознаграждения за обнаружение ошибок не просто так. Киберпреступники будут атаковать наиболее уязвимые точки, обычно за пределами самой группы обеспечения доступности баз данных, но в любом случае нацелены на ее пользователей. Однако на данный момент можно сказать, что ни одна структура DAG не была взломана. С другой стороны, связанные с ними услуги, такие как социальные сети и даже смарт-контракты, — это совсем другая история. Далее мы углубимся в некоторые атаки с участием платформ DAG и расскажем о пяти случаях, когда связанные с ними службы становились жертвами попыток взлома. Кроме того, мы рассмотрим стратегии и лучшие практики, позволяющие защититься от таких угроз. Независимо от того, являетесь ли вы опытным инвестором или новичком, понимание необходим для защиты ваших цифровых активов во все более сложной криптоэкосистеме. эти проблемы Нано + БитГраиль В 2018 году мир криптовалют стал свидетелем серьезного нарушения безопасности, связанного с итальянской биржей криптовалют BitGrail и цифровой валютой Nano (ранее известной как Raiblocks). Эта валюта использует реестр, структурированный как DAG (точнее, блочная решетка), а ее система консенсуса очень похожа на блокчейн Proof-of-Stake (PoS). началось, когда BitGrail сообщил о пропаже значительного количества токенов Nano на своей платформе. Основатель биржи Франческо Фирано заявил, что взлом Инцидент привел к краже примерно 17 миллионов токенов Nano, что на тот момент эквивалентно примерно 170 миллионам долларов. Последствия взлома BitGrail ознаменовались спорным спором между руководством биржи и командой разработчиков Nano. Первоначально Фирано предположил, что за уязвимость ответственен код Nano, обвинив в краже разработчиков. Он потребовал от команды Nano провести спорный форк (обновление) (чтобы стереть взлом), но они отказались. Действительно, взлом произошел как раз вовремя, чтобы увидеть рост цен на Nano, а Фирано скрыл, что взломы происходили с 2017 года. BitGrail и Фирано получили как минимум и, в конечном итоге, Фирано был признан непосредственным виновником нападения. Дополнительные расследования позже показали, что меры безопасности и внутренний контроль BitGrail были неадекватными, что привело к компрометации средств пользователей. два коллективных иска В данном случае группа DAG не подверглась атаке, но пользователи доверяли не той компании. На централизованных биржах у вас нет закрытых ключей к вашим средствам. Вместо этого предоставляется только учетная запись с паролем, а средства находятся под полным хранением (контролем) этой компании. Если они проиграют (взломы, банкротство и т. д.), то проиграете и вы. Вот почему важно не использовать биржи в качестве постоянных кошельков. ЙОТА + Мунпей IOTA — это криптовалютная платформа, которая использует технологию направленного ациклического графа (DAG) для обеспечения более быстрых транзакций и ориентирована на сектор Интернета вещей (IoT). В отличие от блокчейнов, Tangle DAG от IOTA позволяет пользователям проверять транзакции, подтверждая другие, но для достижения консенсуса существует конечный узел-координатор. От него намерены (с 2016 года) избавиться, но пока координатор контролируется IOTA Foundation, а сеть централизована. Это было убедительно доказано в феврале 2020 года, когда вся сеть была заморожена координатором после серьезного взлома. ЙОТА произошло нарушение безопасности из-за сторонней зависимости от Moonpay (сервиса криптовалютных платежей), который поставил под угрозу исходные данные кошелька пользователей, загрузив незаконные версии Moonpay SDK с серверов Moonpay. Тогда хакеры украли 8,5 миллионов собственных токенов IOTA MIOTA непосредственно у пользователей — примерно 2 миллиона долларов на тот момент. кошелек Тринити Киберпреступник ждал новой версии Trinity, которая сможет перезаписывать кэшированные файлы и устранять следы. Фонд IOTA принял немедленные меры, включая остановку координатора и создание плана управления инцидентами с общедоступными обновлениями статуса. Атака включала перехват DNS, модификацию кода и неправильное использование ключа API. IOTA отреагировала на это разработкой инструментов миграции для пострадавших пользователей, усовершенствованием аналитических инструментов и сотрудничеством с экспертами по безопасности и правоохранительными органами. Trinity больше не используется, а MoonPay с ними, чтобы решить проблему. Итак, опять же, это был не взломанный DAG, а связанный с ним внешний сервис. сотрудничал Хедера Хэшграф Hedera Hashgraph — это система распределенного реестра, которая использует направленные ациклические графы (DAG) для достижения консенсуса. В Хедере , узлы делятся друг с другом новой информацией, постепенно достигая консенсуса посредством нескольких раундов обмена. Эта история событий обмена информацией представлена в виде хэшграфа — типа DAG. протокол сплетен Эта система запатентована, но она не безошибочна. 9 марта 2023 года сеть Hedera Hashgraph к эксплойту смарт-контракта, приводящему к краже различных токенов с децентрализованных бирж (DEX), таких как Pangolin, SaucerSwap и HeliSwap. Учетные записи розничных пользователей и кошельки Hedera остались незатронутыми, но пал жертвой злоумышленнику удалось украсть токены на сумму почти 600 000 долларов США. В их число вошли DAI Stablecoin, Tether USD, USD Coin и Wrapped HBAR. Для смягчения атаки были приняты срочные меры. DEX и мосты объединили усилия, чтобы остановить поток токенов через мост в течение часа после получения предупреждения о взломе. Команда Hedera отключила прокси-доступ к основной сети Hedera (благодаря тому, что сеть централизована, как IOTA), предотвратив дальнейший доступ пользователей и злоумышленника. Исправление было быстро разработано, протестировано и внедрено в течение 41 часа с момента обнаружения уязвимости. В отличие от предыдущих атак на другие группы обеспечения доступности баз данных, на этот раз фактически была скомпрометирована собственная система, а именно ее уровень смарт-контрактов. Команда быстро приняла меры, чтобы смягчить ситуацию. Суй Сеть + Дискорд Sui Network — это распределенный реестр, запущенный в мае 2023 года. Он разделяет транзакции на простые (например, отправка денег) и сложные (например, онлайн-аукционы). Простые транзакции не требуют консенсуса, но использовать валидаторы Proof-of-Stake (PoS) и высокопроизводительный протокол консенсуса на основе DAG под названием Bullshark. сложные транзакции Эта сеть доказала, что профилактика важна, особенно когда речь идет о новых технологиях. Незадолго до выпуска основной сети охранная фирма CertiK обнаружила в системе критическую ошибку. Уязвимость заключалась в ошибке бесконечного цикла в коде Суи, которая могла быть вызвана вредоносным смарт-контрактом. Этот тип атаки, известный как «атака HamsterWheel», не приводит к сбою узлов, а вместо этого заставляет их работать бесконечно без обработки новых транзакций, что делает сеть неработоспособной. Как только ошибка Разработчики Sui быстро внедрили исправления, чтобы смягчить его воздействие, и CertiK подтвердила, что эти исправления уже развернуты. Фонд Sui наградил CertiK 500 000 долларов в качестве вознаграждения за обнаружение ошибок. Однако это была не единственная угроза, с которой столкнулась эта платформа. был идентифицирован Еще до потенциальной ошибки, в августе 2022 года, Объявление было опубликовано , где несколько пользователей пожаловались на потерю средств из-за события. В инциденте хакеры поделились ссылкой на предполагаемую раздачу на канале объявлений сервера. С тех пор они усилили процессы безопасности и проверки в чате. сервер Discord компании Mysten Labs (создатели Sui) был взломан. в Твиттере Лавина + DeFi Avalanche — еще один криптопротокол, который использует структуры DAG вместо блокчейнов. Он включает в себя : цепочка контрактов (C-Chain) для смарт-контрактов, цепочка обмена (X-Chain) для быстрых переводов средств с низкими комиссиями и цепочка платформ (P-Chain) для ставок и вознаграждений. В частности, X-Chain использует технологию DAG для достижения высокой пропускной способности и быстрой завершения транзакций. разные цепочки Несколько протоколов DeFi, основанных на Avalanche, за последние годы подверглись серьезным атакам. Первый громкий взлом произошел против кредитной платформы в сентябре 2021 года. Атака произошла потому, что они полагались на единственный источник информации о ценах (оракул), и этот источник не обрабатывал десятичные точки должным образом. Это позволило злоумышленнику манипулировать ценами и совершать сделки с парами, которыми не предполагалось торговать. Ви Финанс Впоследствии токены были подключены к Ethereum и остались во владении злоумышленника. Vee Finance приостановила контракты платформы и связанные с ней функции (что продемонстрировало, что платформа не настолько децентрализована, как подразумевает термин DeFi), активно предпринимая усилия по восстановлению активов. Однако это было не все для Avalanche. Со временем придут новые атаки. Это привело к несанкционированному выводу 8804,7 ETH и 213,93 BTC (около 36 миллионов долларов на тот момент). В феврале 2023 года снова были взломаны еще два протокола DeFi: многоцепочный агрегатор Dexible и DEX Platypus. Злоумышленник использовал функцию selfSwap приложения, чтобы переместить криптовалюту на сумму более 2 миллионов долларов от пользователей, которые разрешили приложению доступ к своим токенам. Dexible приостановила свои контракты и посоветовала пользователям отозвать авторизацию токенов. В первом случае Хакер воспользовался контрактами активов протокола, используя вредоносный смарт-контракт с непроверенным исходным кодом. Теперь о трех случаях можно сказать, что некоторые ошибки ускользнули от разработчиков DeFi с самого начала, что привело к потере средств. Во втором случае Утконос потерялся 8,5 миллионов долларов в результате мгновенной кредитной атаки. Защитите себя от рисков DAG Для обычных пользователей платформ направленного ациклического графа (DAG) для снижения рисков можно применить несколько ключевых мер безопасности и защиты: Прежде чем использовать какие-либо сторонние сервисы, такие как кошельки или биржи, проведите исследование, чтобы убедиться, что они имеют хорошую репутацию в плане безопасности. Кроме того, не оставляйте большие суммы криптовалюты на биржах на длительный период времени. Используйте надежные сервисы. Если у вас есть кошельки, которые дают вам контроль над вашими личными ключами, используйте их. Это означает, что вы имеете прямой контроль над своими средствами. Холодные кошельки обеспечивают дополнительный уровень безопасности. Защитите свои личные ключи. При работе с любыми учетными записями, связанными с криптовалютой, используйте надежные и уникальные пароли. Рассмотрите возможность использования надежного менеджера паролей, чтобы обеспечить их безопасность. По возможности включите двухфакторную аутентификацию (2FA) в своих учетных записях. Используйте надежные пароли и включите 2FA. будьте в курсе последних новостей и событий, касающихся платформы DAG, которую вы используете. Понимание потенциальных уязвимостей может помочь вам принять превентивные меры. Будьте в курсе: Будьте осторожны с фишинговыми электронными письмами, сообщениями или веб-сайтами, целью которых является украсть ваши данные для входа или закрытые ключи. Всегда дважды проверяйте URL-адреса и источники. Остерегайтесь фишинга. Для приложений или служб, которые запрашивают разрешение на доступ к вашему кошельку или токенам, проверяйте и отзывайте эти разрешения, когда они больше не нужны. Регулярно проверяйте разрешения. Не помещайте все свои активы в одну криптовалюту или платформу. Диверсификация может помочь распределить риски. Диверсифицируйте свои инвестиции. До сих пор Obyte (также платформа крипто-DAG) не пострадала от громкого взлома своей системы или связанных с ней сервисов. Однако это не означает, что они невосприимчивы к атакам. активно работает на Immunefi, предлагая высокие награды опытным разработчикам. Однако всегда важно применять на свой кошелек и проведите собственное исследование для каждой платформы! Программа вознаграждения за ошибки лучшие меры безопасности Рекомендованное векторное изображение от Фрипик
