Jeśli z powodu zbyt dużej pozycji inwestycyjnej nie możesz spać i często sprawdzasz telefon, to oznacza, że twoje rozmieszczenie funduszy wyraźnie przekracza twoją zdolność do znoszenia ryzyka.
Autor: SafePal
"Ciemny las", to zasada socjologii kosmicznej wywodząca się z (Triumfu), jest również najbardziej bezpośrednim podsumowaniem obecnej sytuacji bezpieczeństwa w Web3: Na łańcuchu jest wystarczająco dużo przestrzeni na wyobraźnię i innowacyjne sposoby, ale jednocześnie jest to jak "ciemny las", pełen krwawych, brutalnych zerowych gier, gdzie zwykli inwestorzy często odgrywają rolę "ofiar" w nierównym dostępie do informacji.
16 listopada, wielu użytkowników społeczności zgłosiło, że terminal transakcji na łańcuchu DEXX został skradziony. Analiza po incydencie ujawniła wyraźne luki w zarządzaniu kluczami prywatnymi DEXX, które były przesyłane i przechowywane w formie jawnej. Do tej pory całkowite straty, według niepełnych danych, przekraczają 20 milionów dolarów.
W tym kontekście, jak zwykli użytkownicy mogą poprawić mechanizmy ochrony na łańcuchu, stało się ważnym tematem, który przyciąga uwagę wszystkich. Współzałożyciel i CEO SafePal, Veronica, wzięła udział w wydarzeniu 𝕏 Space zorganizowanym przez 137Labs, "Bezpieczeństwo związane z DEXX: Jak unikać pułapek w inwestycjach kryptograficznych" i wspólnie z założycielem BlockSec Andy'm, doświadczonym traderem Kolega z klubu oraz badaczem 137Labs OneOne omówili zdarzenia związane z bezpieczeństwem DEXX oraz udzielili praktycznych porad dotyczących bezpieczeństwa dla inwestorów kryptograficznych.
Ten artykuł jest podsumowaniem niesamowitych wypowiedzi gości podczas tego Twitter Space, które zostało specjalnie zorganizowane dla czytelników.
Nieznośny ciężar narzędzi Bot do wyścigów
W inwestycjach kryptograficznych, wysokie zyski i absolutne bezpieczeństwo często są trudne do pogodzenia. Narzędzia Trading Bot, takie jak DEXX, Unibot, zdobyły uznanie użytkowników dzięki jednej kliknięciu i szybkiemu transferowi funduszy, ale ta wygoda opiera się na centralizowanej architekturze, wymagającej od użytkowników autoryzacji funduszy lub udzielenia dostępu do portfela, co znacząco zwiększa ryzyko dla aktywów.
Jednak użytkownicy zazwyczaj niedoceniają wymagań bezpieczeństwa tych narzędzi transakcyjnych, ufając dużym giełdom, ale ignorując ryzyko mniejszych platform. Incydent DEXX ujawnił śmiertelne luki w zarządzaniu kluczami prywatnymi przez niektóre narzędzia transakcyjne - prawdziwe "niezarządzane portfele" powinny zapewnić, że klucze prywatne są przechowywane tylko na urządzeniach użytkowników, a nie polegać na serwerach centralizowanych. Nawet jeśli klucze prywatne są szyfrowane, brak technicznego wsparcia w zakresie bezpieczeństwa pamięci (takiego jak TEE lub enclave) wciąż nie eliminuje możliwości kradzieży.
W międzyczasie, metoda ataku była skomplikowana, a hakerzy rozpraszali fundusze, aby zwiększyć trudność ich śledzenia. To nie tylko utrudnia odzyskanie funduszy, ale również sugeruje, że przyszłe podobne incydenty mogą być jeszcze bardziej skomplikowane i trudne do obrony. W związku z tym mogą pojawić się dwie możliwości: albo platforma zostanie zaatakowana z powodu luk w technologii, albo wewnętrznie dojdzie do kradzieży lub głębokiej infiltracji, a jeśli to drugie, przyszłe ryzyko może być jeszcze poważniejsze.
Dane Dune pokazują, że pięć najlepszych botów pod względem wolumenu transakcji to: Trojan, BonkBot, Maestro, Banana Gun, Sol Trading Bot, a ich 7-dniowy wolumen transakcji przekracza 100 milionów dolarów, a liczba użytkowników wynosi ponad 300 tysięcy. Dlatego też, nastawienie "zarobić dużo lub stracić wszystko" sprawia, że większość użytkowników ignoruje potencjalne ogromne ryzyko.
Źródło grafiki: Dune
Veronica uważa, że niemal wszystkie tego rodzaju narzędzia do "wyścigów" mogą napotkać podobne zagrożenia bezpieczeństwa. Te boty mogą realizować superszybkie transakcje na łańcuchu, unikając każdorazowego ręcznego podpisywania, ponieważ poświęcają część bezpieczeństwa oraz cech niezarządzanych.
Zazwyczaj, niezależnie od tego, czy korzystasz z portfela sprzętowego, aplikacji portfelowej, czy portfela typu plugin w przeglądarce, użytkownicy muszą poświęcić kilka sekund na ręczne potwierdzenie podpisu. Jednak aby zwiększyć prędkość transakcji i zoptymalizować doświadczenie użytkownika, te boty często kompromitują bezpieczeństwo, obniżając bezpieczeństwo kluczy prywatnych do minimum, aby osiągnąć szybsze transakcje.
Ten projekt nie jest całkowicie błędny i nie można po prostu powiedzieć, że wszystkie te projekty są niebezpieczne. Jednak rzeczywiście stawia to wysokie wymagania dotyczące umiejętności ochrony bezpieczeństwa zespołu deweloperskiego. Aby zapewnić płynne doświadczenie, jeśli zespół deweloperski nie jest w stanie zapewnić silnej ochrony przed atakami, konsekwencje będą bardzo poważne, a użytkownicy i strona projektu mogą ponieść ogromne straty.
Dodatkowo, obecnie większość projektów Trading Bot rzeczywiście boryka się z poważnym zagrożeniem bezpieczeństwa - aby umożliwić automatyczny handel, zazwyczaj generują i przechowują klucze prywatne dla każdego użytkownika. Choć ten sposób ułatwia automatyczne śledzenie transakcji, niesie ze sobą ogromne ryzyko bezpieczeństwa. W przypadku ataku na platformę wszystkie przechowywane klucze prywatne użytkowników mogą zostać ujawnione, prowadząc do strat w aktywach.
Źródło grafiki: Strona "Zarządzanie portfelem" DEXX
Jednak w rzeczywistości istnieje bardziej bezpieczna architektura transakcyjna, która umożliwia automatyzację handlu bez korzystania z kluczy prywatnych użytkowników:
Ta architektura opiera się na inteligentnych kontraktach, tworząc "konto PDA" powiązane z kontem użytkownika, co pozwala na realizację transakcji bez podpisywania kluczem prywatnym użytkownika. Platforma może wykonać polecenia transakcji za pomocą ograniczonego "kontrola operacyjnego", ale uprawnienia tego konta są ściśle kontrolowane, mogą jedynie przeprowadzać operacje handlowe i nie mogą swobodnie przenosić aktywów użytkowników.
Ta projektowana z wykorzystaniem inteligentnych kontraktów struktura może znacznie zwiększyć bezpieczeństwo, ponieważ klucze prywatne użytkowników są zawsze w ich rękach i nie są przechowywane na centralizowanych serwerach. Choć ten projekt jest bardziej skomplikowany i wymaga wyższych umiejętności inżynieryjnych i technologii bezpieczeństwa, jest całkowicie wykonalny i bardziej bezpieczny.
Obecnie większość użytkowników nie jest świadoma różnicy między tymi dwoma modelami projektowymi, lub ze względu na poszukiwanie wygody ignorują bezpieczeństwo. Jednak w miarę częstych wystąpień incydentów bezpieczeństwa, zarówno użytkownicy, jak i zespoły deweloperskie mogą coraz bardziej zwracać uwagę na bezpieczniejsze architektury, a te zaawansowane rozwiązania projektowe mają szansę na stopniowe upowszechnienie się, zmniejszając występowanie podobnych incydentów jak DEXX.
Od autoryzacji transakcji po ochronę kluczy prywatnych - łańcuch bezpieczeństwa Web3
OneOne uważa, że obecnie można podzielić ryzyko bezpieczeństwa na łańcuchu na dwie główne kategorie, obejmujące kwestie od autoryzacji transakcji po ochronę kluczy prywatnych.
Pierwszym powszechnym sposobem ataku jest "oszustwo związane z zatwierdzaniem". Na przykład, podobnie jak w przypadku "ataku pyłowego", wysyłając niewielką ilość aktywów kryptograficznych lub airdrop NFT, by skusić użytkowników do kliknięcia i autoryzacji transakcji. Tego rodzaju działanie może pozwolić napastnikowi uzyskać dostęp do portfela użytkownika, a tym samym ukraść jego aktywa (w tym kryptowaluty i NFT). Użytkownicy powinni ostrożnie podchodzić do tokenów i airdropów z nieznanego źródła, unikając łatwego udzielania autoryzacji.
Kradzież klucza prywatnego zazwyczaj zachodzi na kilka sposobów:
Pierwszym rodzajem ataku jest "atak złośliwego oprogramowania", na przykład niektórzy napastnicy podają się za osoby zapraszające użytkowników do testowania nowych projektów, co prowadzi do oszukiwania użytkowników i pobierania plików wykonywalnych zawierających wirusy trojan.
Drugim rodzajem jest "schowek", napastnicy uzyskują dostęp do schowka użytkownika poprzez strony phishingowe. Gdy użytkownik kopiuje i wkleja klucz prywatny, te wrażliwe informacje są przechwytywane i wykorzystywane przez napastników.
Istnieją również przypadki "ataków zdalnego sterowania", na przykład przez złośliwe oprogramowanie do zdalnego sterowania komputerem użytkownika, a nawet kradzież kluczy prywatnych w czasie, gdy użytkownik odpoczywa. Narzędzia często używane przez użytkowników do airdropów, takie jak "przeglądarka z odciskiem palca", zazwyczaj zawierają funkcje przechowywania w chmurze. Jeśli zostaną zaatakowane, aktywa użytkownika mogą być łatwo skradzione. Wielu użytkowników korzystających z tych narzędzi nie ustawiło weryfikacji dwuetapowej (2FA), co dodatkowo zwiększa ryzyko.
Ostatnim zagrożeniem są "ryzyka związane z metodami wprowadzania danych". Wielu użytkowników lubi korzystać z inteligentnych metod wprowadzania danych, ale te metody mogą zbierać dane wprowadzane przez użytkowników i przechowywać je w chmurze, co zwiększa ryzyko wycieku kluczy prywatnych. Zaleca się użytkownikom korzystanie z wbudowanej metody wprowadzania w systemie, mimo że ma ona mniej funkcji, jest bardziej bezpieczna.
Ogólnie rzecz biorąc, użytkownicy podczas transakcji na łańcuchu, zwłaszcza korzystając z aplikacji DeFi lub narzędzi transakcyjnych, muszą podjąć dodatkowe środki ostrożności dotyczące bezpieczeństwa, z zarządzaniem autoryzacjami jako kwestią, na którą należy zwrócić szczególną uwagę. Z powodu mechanizmu Ethereum, który wymaga od użytkowników przyznania autoryzacji tokenów kontraktom inteligentnym, napastnicy mogą wykorzystać ten mechanizm autoryzacji do przeprowadzenia złośliwych działań. Dlatego użytkownicy powinni regularnie sprawdzać listę autoryzacji swojego portfela i na czas cofać te, które już nie są potrzebne, zwłaszcza te, które mogą zostać zapomniane, aby obniżyć ryzyko.
Ponadto, wybierając platformę DeFi, użytkownicy powinni ocenić środki bezpieczeństwa platformy, w tym, czy istnieją solidne raporty audytowe, ciągły automatyczny monitoring bezpieczeństwa oraz czy platforma regularnie aktualizuje i naprawia luki. Podczas korzystania z Trading Bota zaleca się, aby użytkownicy koniecznie rozpraszali zarządzanie aktywami i nie przechowywali dużych sum pieniędzy na kontach kontrolowanych przez roboty handlowe. Po osiągnięciu zysku powinni jak najszybciej przenieść środki do bezpieczniejszego portfela, aby zredukować potencjalne straty.
Kolega z klubu stwierdził, że jako trader, znajomość narzędzi transakcyjnych i mechanizmów platformy jest kluczowa. W obecnym środowisku handlu psami, wielu ludzi koncentruje się tylko na emocjonujących skokach cen, ignorując zagrożenia związane z bezpieczeństwem narzędzi transakcyjnych. Użytkownicy powinni ustawić alarmy bezpieczeństwa, na przykład ostrzeżenia o wyczerpaniu puli lub likwidacji, aby mieć pełną kontrolę nad ryzykiem.
Veronica podkreśliła prostą, ale ważną zasadę: zawsze istnieje kompromis między efektywnym dążeniem do zysku a pełnym bezpieczeństwem, dlatego kluczową radą jest zapewnienie izolacji funduszy. Jeśli zauważysz, że z powodu zbyt dużej pozycji inwestycyjnej nie możesz spać i często sprawdzasz telefon, to bardzo prawdopodobne, że twoje rozmieszczenie funduszy przekracza twoją zdolność do znoszenia ryzyka.
Jakie są przydatne narzędzia do sprawdzania bezpieczeństwa na łańcuchu?
Veronica zaleca użytkownikom korzystanie z wbudowanych narzędzi bezpieczeństwa w niezarządzanych portfelach, takich jak SafePal, na przykład okresowe sprawdzanie autoryzacji — użytkownicy mogą zeskanować wszystkie swoje autoryzacje na różnych łańcuchach, a następnie jednym kliknięciem cofnąć niepotrzebne autoryzacje, aby zmniejszyć ryzyko wykorzystania przez hakerów.
Źródło grafiki: Funkcja "Approval Manager" SafePal
Obecnie oszuści często podszywają się pod adresy przelewów użytkowników poprzez drobne przelewy w celu wyłudzenia funduszy. Obecnie główne portfele, takie jak OKX Web3 Wallet, SafePal, dodały już usługi blokady transakcji o wysokim ryzyku związanych z "atakami na początku i końcu". Połączenie portfela sprzętowego z frazą hasłową (Passphrase) to również mało znana, ale bardzo przydatna funkcja, szczególnie dla użytkowników mających wiele kont handlowych.
Fraza hasłowa jako 13. słowo, w połączeniu z oryginalnymi 12 słowami, generuje nowy adres portfela. Nawet jeśli ktoś uzyska twoje hasła, bez frazy hasłowej nie będzie mógł uzyskać dostępu do twoich aktywów, co oznacza, że użytkownicy mogą w ten sposób tworzyć wiele kont portfeli, zapewniając bezpieczeństwo.
Ta metoda nie tylko zwiększa bezpieczeństwo kluczy prywatnych, ale także umożliwia użytkownikom elastyczne zarządzanie aktywami na różnych kontach, a fraza hasłowa może istnieć tylko w głowie użytkownika, co dodatkowo zwiększa bezpieczeństwo.
Andy podkreślił też, że wiele razy użytkownicy doświadczają incydentów bezpieczeństwa, nie tylko z powodu ryzyka samego projektu, ale także z powodu niewystarczających nawyków bezpieczeństwa użytkowników. Nawet jeśli użytkownicy zdają sobie sprawę, że posiadają wiele aktywów kryptograficznych lub wiedzą, że inwestycje mają swoje ryzyko, często przez złe nawyki narażają swoje aktywa na niebezpieczeństwo.
Zaleca się, aby użytkownicy zachowali izolowane nawyki bezpieczeństwa, na przykład przechowując dużą ilość aktywów w zimnym portfelu, używając go tylko do interakcji, a nie do bezpośredniego transferu funduszy. Rekomenduje się również użycie dedykowanego telefonu (np. iPhone) do zarządzania aktywami kryptograficznymi, a także korzystania z niego wyłącznie do transakcji kryptowalutowych lub zarządzania kluczami prywatnymi, bez instalowania na tym urządzeniu innych aplikacji niezwiązanych z handlem lub wykonywania innych działań. Takie podejście może znacznie zmniejszyć ryzyko wycieku kluczy prywatnych.
Zakończenie
DEXX Bezpieczeństwo zdarzeń ujawnia kluczowe dylematy w obszarze narzędzi transakcyjnych na łańcuchu: Jak znaleźć równowagę między wygodą a bezpieczeństwem?
Dążąc do efektywnych transakcji i doświadczeń użytkowników, projektowanie bezpieczeństwa platformy nie może być ofiarą. Niezależnie od tego, czy chodzi o centralizowane przechowywanie kluczy prywatnych, czy brak ochrony na poziomie pamięci, wszystkie te kwestie narażają aktywa użytkowników na wysokie ryzyko.
Zawsze istnieje kompromis między "wysokim zyskiem a absolutnym bezpieczeństwem". Dla inwestorów zrozumienie logiki ryzyka stojącej za narzędziami transakcyjnymi oraz kształtowanie dobrych nawyków bezpieczeństwa stanowi podstawę przetrwania w "ciemnym lesie" łańcucha. W tym zdecentralizowanym i pełnym niepewności ekosystemie, tylko kontrolując swoje klucze prywatne, można naprawdę kontrolować swoje aktywa i wspierać zdrowszy rozwój całego ekosystemu łańcucha.