Bezpečnosť je niečo, čím sa zaoberám posledných 15 – 17 rokov. Bez ohľadu na to, koľko toho viete, vždy sa nájde niekto múdrejší, rýchlejší alebo silnejší. Napriek tomu existuje súbor pravidiel a zásad, ktoré by sa nikdy nemali porušovať. Skúsenosti s Bybitom boli pre mňa obzvlášť názorné, pretože zamestnanci burzy zanedbávali všetky hlavné bezpečnostné prístupy – od základných a abstraktných princípov až po konkrétne, podrobné opatrenia. Preto na základe tohto hacku analyzujem niekoľko kľúčových aspektov. Nulový princíp bezpečnosti Pred rokmi som si pre seba sformuloval tento princíp: Ak hacknutie vášho systému prinesie 1 milión USD a útočníka to bude stáť iba 10 000 USD, systém bude určite napadnutý. Ak však hackovanie vyžaduje 1,1 milióna dolárov, vyvstáva otázka: prečo sa obťažovať? Ak, samozrejme, nie je motívom poškodiť konkurenta alebo viesť štátom podporovaný kybernetický útok. "Akýkoľvek systém sa dá hacknúť. Jedinou otázkou je čas, peniaze a úsilie." Práve tento princíp zamestnanci Bybitu porušili. Podľa prvých rozhovorov verili, že ich systém je nezraniteľný. Ale cena 1,4 miliardy dolárov všetko zmenila. Nech pracujete kdekoľvek, musíte pochopiť, že môže byť hacknuté, a . Jedinými premennými sú peniaze, čas a úsilie. Keď to vieme, poďme ďalej… čokoľvek kedykoľvek akokoľvek Je hardvérová peňaženka + Multisig bezpečná? áno aj nie. Hardvérové peňaženky boli vždy napadnuté – a sú hlavnými príkladmi. Ostatné značky sú na tom ešte horšie. Ledger Trezor Pri používaní hardvérových/multisig peňaženiek však môžete zmierniť riziká a znížiť negatívne dopady. Tu je niekoľko odporúčaní zostavených od výskumníkov a osobných skúseností: : Vždy sa uistite, že to, čo vidíte, zodpovedá tomu, čo skutočne podpisujete alebo prenášate. Ak spozorujete nezrovnalosti, zastavte sa, zastavte sa a pozorne vyhodnoťte situáciu. Overte si, čo podpisujete : Prečo? Peňaženky prehliadačov majú rozsiahle databázy zmlúv a niekedy môžu poskytnúť falošné poplachy, ale zvýrazňujú interakcie s novými a najmä neoverenými zmluvami (čo bolo v tomto prípade relevantné). Pripojenie k peňaženke založené na prehliadači je bezpečnejšie ako priame pripojenie : Nainštalujte si iba oficiálny firmvér, pokiaľ nemáte záujem o etické hackovanie. Overiť si to môžete na stránke výrobcu alebo cez hash súčty. Aktualizujte si firmvér peňaženky : Vždy skontrolujte, či nedošlo k neočakávaným zmenám. Kľúčovými pojmami sú tu a . Simulujte transakcie pred podpisom predbežná kontrola prerušenie : Niektoré užitočné nástroje zahŕňajú: Použite alternatívne zdroje overenia Dekodér vstupných dát Etherscan (použité po hacknutí Bybit) Bezpečné rozhranie PalmeraDAO (vysvetlené na prepojenej stránke) CirclesTools SafeViewer Safe tiež zaviedol alternatívne rozhrania: Aplikácia PalmeraDAO EternalSafe Aplikácia Onchainden Pridať.: Bezpečné API Bezpečná dokumentácia Funkcie Trezor Tieto preventívne opatrenia sú len začiatkom. Teraz ich porovnajme s lekciami získanými z Radiant hacku: : Akákoľvek anomália, dokonca aj malá, by mala spustiť kontrolu zabezpečenia. Overenie viacvrstvového podpisu : Generuje overovacie kódy, ktoré zodpovedajú údajom hardvérovej peňaženky. Nezávislé zariadenie na overenie transakcií : Vyhnite sa slepému podpisovaniu kritických transakcií. Vylepšené zabezpečenie Ledger/Trezor : Opakujúce sa problémy by mali spustiť úplný audit transakcie. Audit opakovaných zlyhaní transakcií : Extrahujte a dekódujte údaje o transakciách pred podpísaním, čím sa zabezpečí, že funkcie a adresy zodpovedajú očakávaniam. Manuálne overenie údajov o transakciách : Použite príručku Gnosis na overenie transakcií na hardvérových peňaženkách. Potvrdenie hash duálnej správy Implementoval Bybit niečo z toho? Podľa dostupných údajov nie. Ľudský faktor: Najslabší článok Phishing, sociálne inžinierstvo a spam tvoria 80 % kybernetických útokov. Prípady Bybit a Radiant to jasne dokazujú. Na zmiernenie rizík implementujte oddelenie rolí: . Ak máte viacerých podpisovateľov, musia mať nezávislé overovacie kanály . Zmeny vlastníctva by mali byť zložitejšie ako schvaľovanie transakcií (napr. 1,5 miliardy USD je prehnané na akúkoľvek výmenu). Chladné peňaženky by nikdy nemali uchovávať viac, ako je prijateľná hranica straty . Akékoľvek nezrovnalosti transakcie by sa mali predvolene zrušiť, nie schválenie . Zamestnanci musia absolvovať priebežné bezpečnostné školenia – aspoň raz mesačne s odbornými znalosťami v oblasti multisig peňaženiek a pokročilých bezpečnostných nástrojov. Vymenujte aspoň jedného overovateľa zabezpečenia Verejné údaje opäť nepotvrdzujú, že Bybit vykonal niektorý z týchto krokov. Názory výskumníkov Mnoho odborníkov zvážilo tento hack. Tu je niekoľko kľúčových pohľadov: @dhkleung @blainemalone @pcaversaccio Správa SlowMist @koeppelmann Správa o reťazovom zneužívaní Radiant Post- Mortem Hlavná vec? Aj keď sa útok javil ako vysoko technický, nakoniec uspel skôr kvôli ako kvôli technologickej zraniteľnosti. ľudskej chybe Preto vrelo odporúčam preštudovať si aj prípady Radiant a WazirX. Je jasné, že script kiddies si osvojujú tieto techniky, čo znamená, že cieľom budú nielen výmeny, ale aj širšia škála krypto projektov. Zostaňte v bezpečí!