Articolo scritto da: SafePal
La "foresta oscura", un concetto derivato dalla sociologia dell'universo (Trisolaris), è anche la descrizione più cruda del contesto attuale della sicurezza nel settore Web3: ci sono ampie possibilità di immaginazione e innovazione on-chain, ma è anche come una "foresta oscura", piena di sanguinose e brutali competizioni a somma zero, in cui gli investitori comuni sono principalmente nel ruolo di "cacciati" in una situazione di asimmetria informativa.
Il 16 novembre, diversi utenti della comunità hanno segnalato che il terminale di trading on-chain DEXX era stato rubato. Le analisi post-evento hanno dimostrato che la gestione delle chiavi private di DEXX presentava evidenti vulnerabilità, al punto da essere state trasmesse e memorizzate in forma di testo semplice. Fino ad ora, il totale delle perdite stimate è superiore a 20 milioni di dollari.
In questo contesto, come possono gli utenti comuni migliorare i meccanismi di autoprotezione on-chain è diventato un argomento di grande interesse. Veronica, co-fondatrice e CEO di SafePal, ha partecipato all'evento 𝕏 Space organizzato da 137Labs "Riflessioni sulla sicurezza sollevate dall'incidente DEXX: come evitare le 'trappole' negli investimenti crittografici", discutendo insieme a Andy, fondatore di BlockSec, il trader esperto ClubBro e il ricercatore di 137Labs OneOne sull'incidente di sicurezza DEXX e fornendo consigli pratici di sicurezza per gli investitori crittografici.
Questo articolo è un riassunto testuale delle preziose condivisioni dei relatori durante il Twitter Space, organizzato per i lettori.
Il "peso insopportabile" degli strumenti Bot per lo sprint
In investimenti crittografici, è spesso difficile bilanciare alti rendimenti e sicurezza assoluta. Strumenti come DEXX e Unibot, sebbene guadagnino la preferenza degli utenti grazie a funzioni di copy trading e trasferimenti rapidi di fondi, questa comodità si basa su un'architettura centralizzata che richiede agli utenti di autorizzare fondi o fornire accesso al portafoglio, aumentando significativamente il rischio per gli asset.
Tuttavia, gli utenti sottovalutano generalmente i requisiti di sicurezza di questi strumenti di trading, abituandosi a fidarsi dei grandi scambi e ignorando i rischi associati a strumenti più piccoli. L'incidente DEXX ha esposto vulnerabilità fatali nella gestione delle chiavi private di alcuni strumenti di trading: un vero "portafoglio non custodito" deve garantire che le chiavi private siano memorizzate solo sui dispositivi degli utenti, e non dipendere da server centralizzati. Anche se le chiavi private sono crittografate, la mancanza di supporto tecnico per la sicurezza a livello di memoria (come TEE o enclave) non può ancora evitare la possibilità di furto.
Nel frattempo, questo attacco ha presentato metodi complessi, con gli hacker che disperdevano e trasferivano fondi per aumentare la difficoltà di tracciamento. Ciò non solo ha reso più difficile il recupero dei fondi, ma prefigura che eventi simili in futuro potrebbero essere più complessi e difficili da prevenire. Questo ha portato due possibilità: o la piattaforma viene violata a causa di vulnerabilità tecniche, oppure ci sono furti interni o infiltrazioni profonde; e se è quest'ultima, i rischi futuri potrebbero essere ancora più gravi.
I dati di Dune mostrano che attualmente i primi cinque Bot per volume di transazioni sono: Trojan, BonkBot, Maestro, Banana Gun, Sol Trading Bot, con un volume di transazioni settimanale superiore a 100 milioni di dollari e un numero totale di utenti superiore a 300.000. Proprio per questo, l'atteggiamento di "o guadagni enormemente, o perdi tutto" ha portato la maggior parte degli utenti a ignorare i potenziali enormi rischi.
Fonte dell'immagine: Dune
Veronica crede che quasi tutti questi strumenti di "sprint" di trading possano affrontare rischi di sicurezza simili. Questi Bot possono eseguire transazioni on-chain super veloci e evitare di dover firmare manualmente ogni volta, perché sacrificano parte della sicurezza e delle caratteristiche non custodite:
Di solito, sia che si utilizzi un portafoglio hardware, un'app wallet o un portafoglio come estensione del browser, gli utenti devono impiegare alcuni secondi per confermare manualmente la firma. Tuttavia, per aumentare la velocità delle transazioni e ottimizzare l'esperienza utente, questi bot spesso scendono a compromessi, riducendo al minimo la sicurezza delle chiavi private per realizzare transazioni più rapide.
Questo design non è completamente errato e non si può semplicemente affermare che questi progetti siano insicuri. Tuttavia, ciò pone davvero requisiti eccellenti per le capacità di protezione della sicurezza del team di sviluppo. Per garantire un'esperienza fluida, se il team di sviluppo non può assicurare una forte capacità di difesa e attacco di sicurezza, una volta attaccato, le conseguenze possono essere estremamente gravi, e sia gli utenti che le parti del progetto potrebbero affrontare enormi perdite.
Inoltre, attualmente la maggior parte dei trading Bot presenta un rischio di sicurezza significativo: per realizzare transazioni automatiche, solitamente generano e custodiscono chiavi private per ogni utente. Sebbene questo approccio faciliti l'automazione, porta anche a un alto rischio di sicurezza. Se un attaccante riesce a violare la piattaforma, tutte le chiavi private memorizzate degli utenti potrebbero essere esposte, causando perdite di asset.
Fonte dell'immagine: Pagina di "Gestione portafoglio" di DEXX
Tuttavia, in realtà esiste una struttura di trading più sicura che può realizzare transazioni automatiche senza utilizzare le chiavi private degli utenti:
Questa architettura si basa su contratti intelligenti, creando un "account PDA" associato all'account dell'utente, completando le transazioni senza la firma della chiave privata dell'utente. La piattaforma può utilizzare un "account operativo" limitato per eseguire le istruzioni di transazione, ma i diritti di questo account operativo sono rigorosamente controllati e possono solo eseguire operazioni di trading, senza poter trasferire liberamente gli asset degli utenti.
Questo design guidato da contratti intelligenti può significativamente aumentare la sicurezza, poiché le chiavi private degli utenti rimangono sempre in loro possesso e non vengono memorizzate su server centralizzati. Sebbene questo design sia più complesso e richieda capacità ingegneristiche e competenze di sicurezza superiori al team, è completamente fattibile e più sicuro.
Attualmente, la maggior parte degli utenti non è chiara sulle differenze tra questi due modelli di design, o persegue la comodità ignorando la sicurezza. Ma con la frequenza degli eventi di sicurezza, sia gli utenti che i team di sviluppo potrebbero prestare sempre maggiore attenzione a strutture più sicure, e questo avanzato piano di design potrebbe gradualmente diffondersi in futuro, riducendo l'incidenza di eventi simili a DEXX.
Dalla autorizzazione delle transazioni alla protezione delle chiavi private: la catena di sicurezza Web3
OneOne ritiene che attualmente i rischi di sicurezza on-chain possano essere suddivisi in due grandi categorie, coprendo vari aspetti dalla gestione delle autorizzazioni di trading alla protezione delle chiavi private.
Il primo comune metodo di attacco è il "Frode di Approvazione". Ad esempio, simile a un "attacco di polvere" che invia una piccola quantità di asset crittografici o airdrop di NFT, inducendo gli utenti a cliccare e autorizzare transazioni. Questa operazione potrebbe consentire all'attaccante di ottenere i diritti di accesso al portafoglio dell'utente, rubando così gli asset dell'utente (inclusi criptovalute e NFT). Gli utenti devono trattare con cautela i token e gli airdrop di origine sconosciuta e evitare di autorizzare facilmente.
Il furto delle chiavi private avviene solitamente in diversi modi:
Il primo è l'"attacco di malware", ad esempio alcuni attaccanti fingono di invitare gli utenti a testare nuovi progetti, inducendo gli utenti a scaricare file eseguibili contenenti virus Trojan. Una volta infettati, le chiavi private e le password dell'account degli utenti possono essere facilmente rubate;
Il secondo è il "clipboard", in cui gli attaccanti ottengono l'accesso alla clipboard degli utenti attraverso siti di phishing. Quando gli utenti copiano e incollano le chiavi private, queste informazioni sensibili possono essere intercettate e utilizzate dagli attaccanti;
Inoltre, ci sono alcuni casi di "attacchi di controllo remoto", come ad esempio controllare il computer dell'utente tramite software malevolo, rubando direttamente le chiavi private mentre l'utente è in pausa. Ad esempio, i "browser fingerprint" comunemente usati dagli utenti per gli airdrop di solito coinvolgono funzionalità di archiviazione cloud. Se violati, gli asset dell'utente possono essere facilmente rubati. Molti utenti che utilizzano questi strumenti non hanno impostato la verifica in due passaggi (2FA), aggravando ulteriormente il rischio;
Infine, c'è anche il "rischio della tastiera", poiché molti utenti amano utilizzare tastiere intelligenti, ma queste potrebbero raccogliere i dati di input degli utenti e memorizzarli nel cloud, aumentando così il rischio di esposizione delle chiavi private. Si consiglia agli utenti di utilizzare preferibilmente la tastiera predefinita del sistema, anche se presenta meno funzionalità, ma è più sicura;
In generale, gli utenti devono adottare ulteriori misure di sicurezza durante le transazioni on-chain, specialmente quando usano applicazioni DeFi o strumenti di trading. La gestione delle autorizzazioni è un problema da prendere molto sul serio: poiché il meccanismo di Ethereum richiede agli utenti di concedere autorizzazioni ai token per i contratti intelligenti, gli attaccanti possono sfruttare questo meccanismo per operazioni dannose. Pertanto, gli utenti dovrebbero controllare frequentemente l'elenco delle autorizzazioni del portafoglio e revocare tempestivamente quelle non più necessarie, specialmente quelle autorizzazioni iniziali che potrebbero essere state dimenticate, per ridurre il rischio.
Inoltre, quando gli utenti scelgono piattaforme DeFi, dovrebbero esaminare le misure di sicurezza della piattaforma, comprese relazioni di audit complete, monitoraggio continuo della sicurezza automatizzato e se la piattaforma aggiorna e ripara regolarmente le vulnerabilità. Inoltre, quando utilizzano Trading Bot, si consiglia agli utenti di diversificare la gestione degli asset e non depositare grandi somme negli account controllati dai robot di trading; dopo aver realizzato profitti, gli utenti dovrebbero trasferire rapidamente i fondi in portafogli più sicuri per ridurre le possibili perdite.
ClubBro ha affermato che, come trader, è fondamentale conoscere gli strumenti di trading e i meccanismi della piattaforma. Nell'attuale ambiente di trading di token emergenti, molti si concentrano solo sulle fluttuazioni estreme e ignorano i rischi di sicurezza degli strumenti di trading. Gli utenti dovrebbero impostare avvisi di sicurezza, come avvisi di svuotamento del pool o di liquidazione, per tenere sotto controllo i rischi.
Veronica ha enfatizzato un principio semplice ma importante: c'è sempre un compromesso tra una caccia efficiente al profitto e la sicurezza totale. Pertanto, il consiglio più cruciale è quello di mantenere l'isolamento dei fondi. Se ti rendi conto che sei ansioso e non riesci a dormire a causa di posizioni di investimento troppo grandi, e controlli frequentemente il telefono, è probabile che tu abbia superato la tua capacità di tolleranza al rischio.
Quali strumenti pratici di verifica della sicurezza on-chain esistono?
Veronica consiglia agli utenti di utilizzare strumenti di sicurezza integrati nei portafogli non custoditi come SafePal, come la funzione di controllo delle autorizzazioni - gli utenti possono esaminare tutti i loro record di autorizzazione su più catene e revocare con un clic le autorizzazioni non necessarie per ridurre il rischio di sfruttamento da parte degli hacker.
Fonte dell'immagine: Funzione "Approval Manager" di SafePal
Inoltre, attualmente i truffatori spesso si travestono da indirizzi di trasferimento degli utenti attraverso piccole transazioni per ingannare i fondi. Attualmente, portafogli mainstream come OKX Web3 e SafePal hanno già implementato servizi di blocco delle transazioni a rischio per prevenire attacchi di "attacco all'inizio e alla fine". Inoltre, l'uso combinato di portafogli hardware e frasi segrete (Passphrase) è una funzione poco conosciuta ma molto pratica, particolarmente adatta per gli utenti con più conti di trading:
La frase segreta come 13° parola, combinata con le 12 parole mnemoniche originali, genera un nuovo indirizzo di portafoglio. Anche se qualcuno ottiene le tue parole mnemoniche, senza la frase segreta non può accedere agli asset. Ciò significa che gli utenti possono creare più conti di portafoglio in questo modo, garantendo la sicurezza.
Questo metodo non solo aumenta la sicurezza delle chiavi private, ma consente anche agli utenti di gestire flessibilmente gli asset tra più conti, e la frase segreta può esistere solo nella mente dell'utente, aumentando ulteriormente la sicurezza.
Andy ha anche sottolineato che molte volte gli utenti che subiscono eventi di sicurezza, oltre ai rischi intrinseci del progetto, potrebbero anche avere a che fare con la scarsa consapevolezza della sicurezza. Anche se l'utente è consapevole di avere molti asset crittografici o riconosce i rischi degli investimenti, spesso le cattive abitudini espongono gli asset a pericoli.
Si consiglia agli utenti di mantenere la consapevolezza e le abitudini di sicurezza isolate, come ad esempio memorizzare grandi somme in portafogli freddi, utilizzandoli solo per interazioni e non per trasferimenti diretti di fondi, mentre si utilizza un telefono dedicato (come un iPhone) per gestire gli asset crittografici, utilizzandolo solo per trading di criptovalute o gestione delle chiavi private. Non installare altri software o svolgere altre attività su questo dispositivo riduce significativamente il rischio di esposizione delle chiavi private.
Conclusione
L'incidente di sicurezza DEXX ha rivelato il dilemma centrale nel campo degli strumenti di trading on-chain: come trovare un equilibrio tra comodità e sicurezza?
Mentre si cerca di garantire transazioni efficienti e una buona esperienza utente, la progettazione della sicurezza della piattaforma non può diventare una vittima. Sia la memorizzazione centralizzata delle chiavi private che la mancanza di protezione a livello di memoria rappresentano punti deboli tecnologici che espongono gli asset degli utenti a rischi elevati.
"C'è sempre un compromesso tra alti rendimenti e sicurezza assoluta". Per gli investitori, comprendere la logica dei rischi dietro gli strumenti di trading e sviluppare buone abitudini di sicurezza è fondamentale per attraversare la "foresta oscura" on-chain. In questo ecosistema decentralizzato e instabile, solo controllando le proprie chiavi private si può veramente controllare i propri asset, contribuendo a uno sviluppo più sano dell'intero ecosistema on-chain.