Месяц за месяцем миллионы долларов крадутся в результате дерзких взломов, которые можно было бы предотвратить, если бы были устранены критические недостатки, оставляющие инвесторов беззащитными.
Вам также может понравиться: Defi нуждается в некоторой доработке, прежде чем сможет заменить банковскую систему в том виде, в котором мы ее знаем. Данные CoolWallet показывают, что только за первые три месяца этого года с криптобирж и протоколов defi было украдено более 200 миллионов долларов, и 85% средств, украденных за этот период, были на Ethereum. Между тем, оценки Immunefi показывают, что в 2024 году из-за взломов и мошенничества было потеряно 473 миллиона долларов в ошеломляющих 108 инцидентах.
Defi, как правило, более восприимчивы к эксплойтам, чем централизованные платформы, а взломы встречаются чаще, чем мошенничество. Если рассматривать май в частности, то Ethereum и BNB Chain были двумя наиболее целевыми сетями, на обе из которых пришлось 62% от общих потерь. Есть старая поговорка, которая звучит так: Обманешь меня один раз - позор тебе. Обманешь меня дважды - позор мне.
Тот факт, что криптоиндустрия была обманута 108 раз всего за пять месяцев, безусловно, позорен, особенно если учесть, что киберпреступники всегда становятся более предприимчивыми на бычьих рынках. Полагаться на традиционные меры безопасности крайне неадекватно для сектора цифровых активов, и срочно необходимо радикально переосмыслить то, как проектируется инфраструктура. Но как эта перестройка будет выглядеть на практике и что она будет означать для конечных пользователей?
Проблема с криптоадресами
Сейчас у владельцев криптовалют зачастую нет иного выбора, кроме как полагаться на длинные буквенно-цифровые адреса при отправке средств другим лицам.
Это проблематично по нескольким причинам. Во-первых, их может быть кошмаром для ручного ввода, и малейшая опечатка может означать, что средства станут невозвратными. И что еще более тревожно, многие пользователи - даже те, кто назвал бы себя глубоко опытными в криптографии, не понимают последствий безопасности.
Было зафиксировано бесчисленное множество случаев, когда ничего не подозревающие пользователи теряли значительную часть цифровых активов, иногда все свои сбережения, из-за атак с выдачей себя за другое лицо или фишинговых атак, когда воры выдавали себя за другое лицо или другую компанию.
Одним из печально известных примеров является Inferno Drainer, мошенничество как услуга, которое действовало в течение 12 месяцев. Жертвы были обмануты, полагая, что они взаимодействуют с более чем 100 легитимными криптобрендами, и соблазнены подключить свои кошельки. Протоколы Web3 также были подделаны для инициирования мошеннических переводов.
Урок, который необходимо извлечь из таких инцидентов, прост: если это может случиться с ними, это может случиться с кем угодно, и отрасль должна сосредоточить всю свою энергию на создании дизайна, ориентированного на пользователя. Уход криптоадресов в прошлое и замена их на альтернативы, понятные человеку - это важный первый шаг.
Возможность отправлять средства на имя, а не на неразборчивый набор букв и цифр, не только преобразует с точки зрения безопасности. Это также значительно уменьшит трение, которое в настоящее время существует в криптоплатежах, и значительно упростит привлечение любопытных потребителей, которые остаются привязанными к фиату. Эта инфраструктура также будет дополнительно усилена безошибочным автоматическим вычислением адреса, происходящим в фоновом режиме.
Системы хранения также могут использовать инфраструктуру отправки на имя, предотвращая фишинговые атаки, усложняя подделку компаний. Злоумышленники также не смогут украсть имена пользователей и пароли, что остановит несанкционированный вывод централизованно хранящихся средств.
Решение других болевых точек
Отправка криптоадресов на свалку - это только первый шаг. Индустрия должна объединиться и признать, что кросс-чейн интеграция сломана и не существует. У каждой экосистемы блокчейна есть свой предпочтительный кошелек, а перемещение богатства из одной сети в другую: запутанный и неэффективный процесс. Хотя мосты пытались позиционировать себя как решение, устанавливающее связь между цепочками, эти платформы неоднократно доказывали свою крайнюю уязвимость к эксплойтам.
Кто может забыть взлом Ronin Network в марте 2022 года, который привел к краже ошеломляющих 625 миллионов долларов в ETH и USDC? Крупнейшее в истории криптоограбление было организовано северокорейскими хакерами, и что еще хуже, потребовалось шесть дней, чтобы кража была обнаружена. Мост был защищен всего девятью валидаторами, и с относительной легкостью ответственным удалось получить пять подписей, необходимых для начала массовых снятий.
Переосмысление также крайне необходимо в сфере defi, где отсутствие проверки знай своего клиента (KYC) или подтверждения личности делает ее безопасным убежищем для отмывания денег, а злоумышленники могут действовать безнаказанно, зная, что они останутся анонимными. При правильном подходе можно усилить безопасность и пресечь нарушения, не ущемляя права пользователя на конфиденциальность.
Каждый день приближает нас к следующему большому взлому, который разрушит жизни и еще больше навредит репутации отрасли. Чтобы криптовалюта обрела статус законной финансовой системы, изменения необходимы уже сейчас.
Участились случаи хакерства в 2024 году
Согласно исследованию TRM Labs, в период с января по июнь хакеры украли криптовалюту на сумму 1,38 миллиарда долларов. Это более чем вдвое больше, чем 657 миллионов долларов, украденных за тот же период прошлого года. За этот период большая часть денег (до 70%) была украдена в ходе пяти крупнейших краж со взломом.
Самый популярный метод хакерства в нашем году - это незаконный доступ к приватным ключам и сид-фразам. Сид-фраза - это набор рандомных слов, используемая для хранения информации, необходимой для доступа или восстановления криптовалютного кошелька.
Самая масштабное событие кражи произошло в японской бирже криптовалют DMM Bitcоin. На этой площадке мошенникам удалось выкрасть биткоином на сумму более 300 миллионов долларов США. Была использована методика украденных приватных ключей, которая также известна, как отравленные адреса. Это метод, при котором злоумышленники отправляют не особо большую сумму с кошелька либо адреса, который сильно напоминает адрес отправителя либо получателя. После такой махинации жертва может случайно скопировать этот адрес из списка проведённых транзакций и перевести средства уже не на тот адрес.
Зашифрованные адреса представляют собой длинные сложные строки, которые трудно запомнить или ввести вручную без ошибок. В TRM Labs заявили, что в экосистеме криптобезопасности никак не пытаются менять основные моменты, которые в свою очередь привели бы к такому росту. В компании отметили, что количество и цели атак существенно не менялись из года в год.
Однако в первой половине года средний обменный курс криптовалют был выше, что могло привести к увеличению стоимости украденных вещей. Криптовалютные компании часто становятся жертвами хакеров и кибератак.
По словам TRM Labs, компании, занимающиеся криптовалютой, могут бороться со взломом и эксплойтами (вредоносным кодом) с помощью таких мер, как регулярные проверки безопасности и надежное шифрование. Обучение сотрудников и реализация комплексной стратегии реагирования на инциденты также помогут.
Биржа Mountain Gox объявила о банкротстве в 2024 году после серии атак, приведших к потере 950 000 биткойнов на сумму более 54 миллиардов долларов по сегодняшнему обменному курсу. В ноябре около 115 миллионов долларов было украдено с двух криптоплатформ, связанных с известным предпринимателем Джастином Саном, HTX Exchange и Heco Chain.