Siguria është diçka me të cilën jam marrë gjatë 15-17 viteve të fundit. Pavarësisht se sa e dini, gjithmonë do të ketë dikë më të zgjuar, më të shpejtë ose më të fortë. Megjithatë, ka një sërë rregullash dhe parimesh që nuk duhet të shkelen kurrë. Përvoja e Bybit ishte veçanërisht ilustruese për mua, sepse punonjësit e bursës neglizhuan të gjitha qasjet kryesore të sigurisë - nga parimet themelore dhe abstrakte deri te masat konkrete dhe të detajuara. Kështu, unë do të analizoj disa aspekte kryesore bazuar në këtë hak. Parimi Zero i Sigurisë Vite më parë, unë formulova këtë parim për veten time: Nëse hakimi i sistemit tuaj jep 1 milion dollarë ndërsa sulmuesit i kushton vetëm 10 mijë dollarë, sistemi patjetër do të hakerohet. Sidoqoftë, nëse hakimi kërkon 1.1 milion dollarë, atëherë lind pyetja: pse të shqetësoheni? Me përjashtim të rastit kur, sigurisht, motivi është dëmtimi i një konkurrenti ose kryerja e një sulmi kibernetik të sponsorizuar nga shteti. "Çdo sistem mund të hakerohet. Pyetja e vetme është koha, paratë dhe mundi." Ky parim ishte pikërisht ai që shkelën punonjësit e Bybit. Sipas intervistave fillestare, ata besonin se sistemi i tyre ishte i paprekshëm. Por çmimi prej 1.4 miliardë dollarësh ndryshoi gjithçka. Kudo që të punoni, duhet të kuptoni se mund të hakohet, dhe . Variablat e vetëm janë paratë, koha dhe mundi. Duke e ditur këtë, le të ecim përpara… çdo gjë në çdo kohë gjithsesi A është i sigurt një portofol harduerësh + Multisig? po dhe jo. Kuletat e harduerit janë sulmuar gjithmonë dhe janë shembujt kryesorë. Markat e tjera shkojnë edhe më keq. - Ledger Trezor Megjithatë, ju mund të zbusni rreziqet dhe të zvogëloni ndikimet negative kur përdorni kuletat harduerike/shumë-sigmatike. Këtu janë disa rekomandime të përpiluara nga studiuesit dhe përvoja personale: : Sigurohuni gjithmonë që ajo që shihni përputhet me atë që po nënshkruani ose transferoni në të vërtetë. Nëse vëreni mospërputhje, ndaloni, ndaloni dhe vlerësoni situatën me kujdes. Verifikoni atë që po nënshkruani : Pse? Kuletat e shfletuesve kanë baza të të dhënave të gjera të kontratave dhe ndonjëherë mund të japin rezultate false, por ato theksojnë ndërveprimet me kontrata të reja dhe veçanërisht të paverifikuara (gjë që ishte e rëndësishme në këtë rast). Lidhjet e portofolit të bazuara në shfletues janë më të sigurta se ato të drejtpërdrejta : Instaloni vetëm firmware zyrtar, përveç nëse jeni në hakerimin etik. Ju mund ta verifikoni këtë në faqen e internetit të prodhuesit ose nëpërmjet shumave hash. Përditësoni firmware-in e portofolit tuaj : Kontrolloni gjithmonë për ndryshime të papritura. Konceptet kryesore këtu janë dhe . Simuloni transaksionet përpara nënshkrimit kontrolli paraprak ndërprerja : Disa mjete të dobishme përfshijnë: Përdorni burime alternative të verifikimit Dekoderi i të dhënave të hyrjes Etherscan (përdoret pas hakimit të Bybit) Ndërfaqja e sigurt PalmeraDAO (shpjeguar në faqen e lidhur) CirclesTools SafeViewer Safe ka prezantuar gjithashtu ndërfaqe alternative: Aplikacioni PalmeraDAO EternalSafe Aplikacioni Onchainden Shtoni.: API e sigurt Dokumentacion i sigurt Karakteristikat e Trezor Këto masa paraprake janë vetëm një fillim. Tani, le t'i krahasojmë ato me mësimet e nxjerra nga hakimi Radiant: : Çdo anomali, qoftë edhe e vogël, duhet të shkaktojë një rishikim sigurie. Verifikimi i nënshkrimit me shumë shtresa : Gjeneron kode verifikimi që përputhen me të dhënat e portofolit të harduerit. Pajisja e pavarur e verifikimit të transaksionit : Shmangni nënshkrimet e verbëra për transaksione kritike. Siguria e përmirësuar e Ledger/Trezor : Çështjet e përsëritura duhet të shkaktojnë një auditim të plotë të transaksionit. Auditimi i dështimeve të transaksioneve të përsëritura : Ekstraktoni dhe deshifroni të dhënat e transaksionit përpara nënshkrimit, duke siguruar që funksionet dhe adresat të përputhen me pritjet. Verifikimi manual i të dhënave të transaksionit : Përdorni udhëzuesin e Gnosis për të verifikuar transaksionet në kuletat e harduerit. Konfirmimi i hash-it të mesazheve të dyfishta A zbatoi Bybit ndonjë nga këto? Sipas të dhënave në dispozicion - nr. Faktori Njerëzor: Lidhja më e dobët Phishing, inxhinieri sociale dhe mesazhet e padëshiruara përbëjnë 80% të sulmeve kibernetike. Rastet Bybit dhe Radiant e vërtetojnë këtë qartë. Për të zbutur rreziqet, zbatoni ndarjen e roleve: . Nëse keni shumë nënshkrues, ata duhet të kenë kanale të pavarura verifikimi . Ndryshimet e pronësisë duhet të jenë më komplekse sesa miratimet e transaksioneve (p.sh. 1.5 miliardë dollarë është e tepërt për çdo shkëmbim). Kuletat e ftohta nuk duhet të ruajnë kurrë më shumë se pragjet e pranueshme të humbjes . Çdo mospërputhje transaksioni duhet të paracaktohet për anulim, jo për miratim . Stafi duhet të marrë trajnime të vazhdueshme për sigurinë - të paktën çdo muaj me ekspertizë në portofolat multisig dhe mjete të avancuara sigurie. Emëroni të paktën një verifikues sigurie Përsëri, të dhënat publike nuk konfirmojnë që Bybit ndoqi ndonjë nga këto hapa. Mendimet e studiuesve Shumë ekspertë kanë peshuar mbi këtë hak. Këtu janë disa këndvështrime kryesore: @dhkleung @blainemalone @pcaversaccio Raporti SlowMist @koeppelmann Raporti i përdorimit të zinxhirit Pas vdekjes rrezatuese Arsyeja kryesore? Ndërsa sulmi dukej shumë teknik, ai përfundimisht pati sukses për shkak të dhe jo për shkak të dobësive teknologjike. gabimit njerëzor Prandaj, unë rekomandoj shumë të studioni edhe rastet Radiant dhe WazirX. Është e qartë se fëmijët e skriptit po i miratojnë këto teknika, që do të thotë se jo vetëm shkëmbimet, por një gamë më e gjerë e projekteve kriptomake do të synohen më pas. Qëndroni të sigurt!