Автор |. Ху Фейтон

Увечері 3 травня за пекінським часом певний кит випадково переказав 1155 BTC на адресу фішингового гаманця, що коштувало приблизно 71 мільйон доларів США за поточною ціною валюти. Такий великий обсяг фінансів випарувався майже миттєво, що дало промисловості великий урок.

Що сталося

Давайте спочатку подивимося, як розвивалися події (3 травня, наступна година за пекінським часом):

17:14:47, 0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5 адреса гаманця (кит) передає 0,5 ETH на адресу 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91 і створює адресу;

17:17:59, 0xd9A1C3788D81257612E2581A6ea0aDa244853a91 адреса гаманця (хакер) переказав 0 ETH на адресу гаманця 0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5

18: 31: 35, 0x1E227979F0B5BC691A70DEAED2E0F39A6F538FD5 (гігантський кит) Введіть контракт WBTC на 0xd9A1C378881257612E2581A6EA0ADA244853A91 WBTC;

4 травня о 10:51:11 адреса 0xd9A1C3788D81257612E2581A6ea0aDa244853a91 (хакер) перекинула всі WBTC на нову адресу: 0xfB5bcA56A3824E58A2c77217fb667AE67000b7A6

Можливо, ви не розумієте, що тут відбувається, тому давайте пояснимо це з точки зору хакера:

Хакер продовжував стежити за діяльністю кита в сутінках 3 травня було виявлено, що кит створив нову адресу. Хакери кинулися в дію;

За допомогою грубої сили та випадкової генерації закритих ключів і адрес ми можемо отримати адресу, схожу на щойно згенеровану адресу кита (читачі, будь ласка, уважно перевірте червоні частини двох адрес у кроках 1 і 2 вище, вони абсолютно однакові , але інакше в інших місцях). І передайте киту 0 ETH через згенеровану адресу з метою генерації історії транзакцій у гаманці кита, яка містить фішингову адресу 0xd9A1C3788D81257612E2581A6ea0aDa244853a91;

Після того, як кит підтвердив, що його адреса отримала 0,5 ETH, він почав переказувати WBTC на нову адресу. У цей час сталася фатальна помилка. Гігантський кит знайшов адресу в історії передачі, яка мала той самий номер адреси, що й цільова адреса, скопіював і вставив її та помилково ввів фішингову адресу;

Хакер стежив за його фішинговою адресою і з подивом виявив «величезний урожай» — 1155 BTC. Ймовірно, я відразу ж піду святкувати, вип’ю пива, посплю, а потім переведу WBTC на іншу нову адресу.

Просвітництво

Ви помітили проблему? Подивіться на часову шкалу, хакер підготував фішингову адресу та завершив передачу на кит приблизно за 3 хвилини. Це ілюструє кілька моментів:

a. Хакери були підготовлені протягом тривалого часу, вони чітко розуміють весь процес, скрипти готові, і весь процес автоматизований;

b. Хакери мають більшу обчислювальну потужність, яка включає конкретні 5 байтів, які є абсолютно однаковими (перші два байти та останні три байти), що становить майже 2^40 операцій. Графічні процесори однозначно потрібні, і у великих кількостях;

в. Тому це, ймовірно, не індивідуальна поведінка, а організована поведінка

Блокчейн приносить децентралізацію, усуває посередників, контролює ваші власні багатства, а люди можуть контролювати власні дані. Однак це також вимагає від вас взяти під контроль власну безпеку. Вимоги до обізнаності з особистою безпекою та знання безпеки дуже високі.

Цей гігантський кит має сильне почуття безпеки, яке відображається в тому, що: 1) він час від часу змінює адреси; 2) перевіряє та підтверджує перед переказом великих сум. Однак одне копіювання та вставка знищує все.

Деякі знання безпеки щодо переказів

Завдяки цьому уроку, який коштує понад 70 мільйонів доларів США, кожен власник цифрових активів повинен знати, що хакери та фішинг повсюди, а ви – перша та єдина особа, яка відповідає за свою власність. Потрібно освоїти здоровий глузд безпеки. Ось деякі параметри безпеки гаманця для більших активів для довідки:

·Закритий ключ і мнемонічна фраза повинні бути згенеровані в автономному режимі та збережені в автономному режимі.

—Більшість гаманців тепер мають можливість офлайн-підпису;

—Ви також можете використовувати апаратний гаманець, але під час використання апаратного гаманця ви також повинні створити резервну копію закритого ключа.

·Якщо ви підозрюєте, що закритий ключ або мнемонічна фраза може бути розкрита, замініть їх якнайшвидше та передайте активи

·Адресу переказу необхідно зберегти в адресній книзі та тимчасово не копіювати адресу.

·Щоб переказати гроші, виберіть адресу з адресної книги та обов’язково зробіть пробний переказ, а потім перед переказом підтвердьте успішність у одержувача.

· Великі перекази можна здійснювати кількома частинами

·Не натискайте безпосередньо на посилання переказу, надіслане іншою стороною, щоб переказати гроші або провести онлайн-транзакції

— Фішинг часто здійснюється шляхом підробки схожих посилань або схожих адрес

· Рекомендується керувати більшими сумами коштів за допомогою мультипідпису

—Це підходить для управління капіталом компанії чи організації

— Особисті активи також можна обробляти таким чином, наприклад, ви можете особисто оволодіти кількома закритими ключами та надати права підпису друзям, які не знають один одного, щоб запобігти втраті ваших особистих ключів і неможливості відновлення ваших активів.

·Адреси веб-сайтів CEX і DEX необхідно отримати через офіційні канали, адреси депозитів мають бути неодноразово підтверджені, а тестові перекази також є необхідними кроками.