paint-brush
泄露的私钥:主要目标和即将到来的解决方案经过@hackless
13,874 讀數
13,874 讀數

泄露的私钥:主要目标和即将到来的解决方案

经过 Hackless5m2023/02/15
Read on Terminal Reader

太長; 讀書

泄露的私钥可能会在 DeFi 的各个层面造成严重损失。这可能发生在任何人身上,这就是为什么任何进入 DeFi 的人都需要了解问题的规模和可用的解决方案。在 Hackless,我们正在设计一款名为 Wallet Rescue 的产品——一种在加密钱包被黑客攻击时派上用场的解决方案。
featured image - 泄露的私钥:主要目标和即将到来的解决方案
Hackless HackerNoon profile picture

泄露的私钥可能会在 DeFi 的各个级别以及对各种赞助人——鲸鱼、开发人员和普通用户——造成严重损失。任何参与 Defi 的人都可以处理这个问题。这就是为什么组织和个人赞助人都需要了解问题的规模和可用的解决方案。

Hackless,我们正在设计一款名为 Wallet Rescue 的产品——当加密钱包被黑客入侵并且您需要将资金安全地转移到新创建的地址时,该解决方案会派上用场。

为什么需要这个解决方案,谁可以从中受益?

在仔细观察最近发生的与加密钱包有关的黑客攻击时,我们注意到主要原因总是被泄露的私钥——平台的热钱包、管理员的密钥或个人用户的密钥。我们正在深入研究这种类型的漏洞利用,以及 Hackless 即将推出的 Wallet Rescue 如何发挥作用!首先,让我们来看看一些警示故事。

通过泄露的私钥被黑客入侵的 DeFi 项目

1.浪人网络,6.24亿美元

在加密历史上最大的黑客攻击之一 Ronin exploit 中,9 个验证器中有 5 个的密钥被泄露。这是在客户试图进行合法提款时发现的。正如该团队宣布的那样,攻击者已经获得了对交易进行身份验证所需的私钥的所有权。不良行为者设法将 173,600 ETH 和 2550 万美元的 USDC 偷到了他们的钱包里。

2.和谐桥,1亿美元

Harmony bridge 通过其multisig的私钥被盗用了 1 亿美元。该桥只需要两个验证帐户来批准交易。黑客设法破坏了私钥,并能够批准将资金转移到他们的账户。

3.镭鼎,440万美元

这个 DEX 损失了 440 万美元的加密货币,成为攻击者的受害者,该攻击者设法利用智能合约漏洞允许管理员撤回整个流动资金池。攻击者甚至在没有 LP 令牌的情况下就获得了对管理池私钥的控制权并耗尽了 LP 池。该团队不确定这个私钥究竟是如何获得的,但他们假设木马程序感染了持有该密钥的虚拟机。

用户私钥暴露的 DeFi 项目

1. Wintermute,1.6 亿美元

做市商 Wintermute 永久损失了 1.6 亿美元,因为他们的热钱包通过使用 Profanity 创建的虚荣地址受到损害。 Wintermute 的热钱包和 DeFi 金库合约似乎都有 Profanity 虚荣地址。热钱包的私钥很可能被利用并被用来清空金库。虽然亵渎生成地址的安全漏洞已经为社区所知了一段时间,但似乎并没有引起重视。

2.Slope钱包,600万美元

基于 Solana 的移动钱包 Slope 遭到黑客攻击,影响了 8,000 多个独特的钱包,并导致 600 万美元的资金损失。事实证明,用户的私钥信息被无意中传输到 Slope 应用程序监控服务,导致暴露。

鲸鱼和区块链开发者也不能幸免

虽然 DeFi 协议和项目管理员是黑客的主要受害者,但像鲸鱼这样的知名加密用户甚至区块链开发人员也是目标。为什么不呢?有时,奖励可能是一笔钱,如下文所述。

1.比特币开发商,360 万美元

即使是比特币开发人员也可能难以保证密钥的安全。这就是早期比特币开发者 Luke Dashjr 的遭遇。由于密钥被盗,他损失了 360 万美元的 BTC。 Dashjr 在推特上说他的 PGP 密钥被泄露了,他不知道这一切是怎么发生的。

2. GMX 鲸鱼,350 万美元

黑客控制了属于知名代币持有者的 82,519 个 GMX 代币。进一步调查确定只有一个帐户受到影响,这使得盗窃的可能原因是私钥受损。

 If DeFi teams and advanced crypto investors cannot secure their assets, does the general public have any hope?

普通的 DeFi 用户总是在黑客的监视范围内

黑客通常倾向于攻击更大的钱包,但个人也是目标。让我们看看黑客发明了哪些方法和策略来破坏个人用户的钱包:

  • 恶意空投——用户收到一封电子邮件、短信或社交媒体消息,表明某种代币已通过空投添加到他们的钱包中。然后,他们被要求将他们的钱包地址连接到攻击者的网站。一旦连接,他们所有的资金都会被耗尽。
  • 助记词网络钓鱼——用户经常受到帐户暂停的威胁,并被要求提供助记词作为帐户验证或恢复过程的一部分。
  • Ice 网络钓鱼——这种类型的点击劫持方案诱使用户将用户硬币的批准委托给坏人。通常,攻击者通过向其中注入恶意脚本来修改智能合约 UI。
  • 恶意电子邮件、网站和消息——克隆网站、社交媒体帐户和欺诈性电子邮件每天都在出现,它们通过传播虚假新闻来欺骗用户,并通过欺诈性促销和活动来误导他们。

如果需要拯救加密钱包怎么办?

当 DeFi 协议或个人钱包被黑客攻击时,攻击者会密切关注它。这意味着他们会看到您可能使用钱包进行的任何活动。此外,如果他们知道自己已经被发现,他们就可以调整他们的技术,使他们的攻击更加有效。

但是,如果你有与这个钱包相关联的股份或既得硬币并且你想转移它们怎么办?然后,Hackless 的 Wallet Rescue 开始发挥作用。以前称为Conductor的 Wallet Rescue 已经证明对我们的一些客户有效, 帮助他们节省了大约 70 万美元的加密货币。

借助 Wallet Rescue,您将能够以黑客不可见的方式安全地从被黑钱包中迁移资产。这可以通过以下步骤通过私有挖矿功能来完成:

  1. 为私人挖矿创建一揽子交易。
  2. 模拟这些交易以确保一切顺利。
  3. 通过受信任的提供商将先前创建、模拟和签名的交易包私下发送给矿工。

 First and foremost – Hackless does not have any access to assets of the protocol's users or their private keys.

Wallet Rescue 是一款方便直观的工具,任何加密货币投资者都可以自己使用。该应用程序仅接收来自用户和协议所有者的已签名交易,然后将其发送给私人挖矿,以确保交易在一个区块内执行。但所有权是你的。

钱包救援即将推出测试版

我们的团队即将完成 Wallet Rescue Web 应用程序,该应用程序很快将可供早期 Beta 测试人员使用。你可以成为其中之一。您需要做的就是填写一份测试版用户表格,一旦我们使用该产品,我们就会与您联系。