بهترین نرخ ارز دیجیتال
This Was the Worst Year for Crypto Hacks. Here’s How 2023 Can Be Better
اخبار رمزارزها
مشروح:
در طول 12 ماه گذشته، کریپتو شاهد سیل نگران کننده ای از حملات و سوء استفاده ها بوده است. تعداد زیادی برای ردیابی وجود داشته است - این مشکلی است که به شدت نیاز به رسیدگی دارد.
خوشبختانه، امیدی وجود دارد. پروتکل ها می توانند بازی خود را در ممیزی کد، نظارت بر فعالیت شبکه و تنظیم برنامه های پاسخ واضح به حمله در هنگام وقوع یک سوء استفاده افزایش دهند. اگر صنعت توجه داشته باشد و این حفاظتها را اجرا کند، سالهایی از این دست در آینه دید عقب بسیار قابل قبول است.
استفان لوید وبر در بازاریابی محصول در OpenZeppelin، یک شرکت فناوری امنیت سایبری کریپتو کار می کند. این مقاله بخشی از مجموعه Crypto 2023 CoinDesk است.
طبق گزارش Chainalysis، سال 2022 در مسیر بدترین سال ثبت شده برای وجوه به سرقت رفته از طریق هک و سوء استفاده قرار دارد. در آخرین شمارش حدود 3 میلیارد دلار به سرقت رفت.
هک رونین به ویژه قابل توجه است. در ماه مارس، گروه Lazarus وابسته به کره شمالی حدود 620 میلیون دلار ETH و USDC را از شبکه Ronin سلب کرد، یک زنجیره جانبی که برای بازی محبوب Web3 Axie Infinity ساخته شده بود.
چیزی که شگفتانگیزتر است این است که بیش از یک هفته طول کشید تا این حمله کشف شود. مقامات مجری قانون توانسته اند حدود 30 میلیون دلار از وجوه دزدیده شده را بازیابی کنند و بایننس توانسته است 5.8 میلیون دلار اضافی را مسدود کند، اما اکثر دارایی ها در کنترل هکرها باقی مانده است.
همچنین هنوز بودجه از حمله پل کرم چاله در فوریه بازیابی نشده است. این پل که اتریوم، سولانا، آوالانچ و دیگر شبکههای بلاک چین را به هم متصل میکند، اولین پل مورد حمله نبود، اما شاید قابل توجهترین پل باشد. به نوعی یک مهاجم توانست 120000 اتر پیچیده شده یا wETH را بدون نیاز به قرار دادن وثیقه ضرب کند. آنها سپس آن wETH رایگان را به ETH و SOL معمولی تبدیل کردند و برای خود 320 میلیون دلار خالص کردند. در حالی که این وجوه بازیابی نشده است، جامپ تریدینگ وارد کرم هول با 120000 ETH شد تا پل را دوباره به کار ببرد.
لیست همچنان ادامه دارد. پل عشایر 190 میلیون دلار ضرر کرد. Wintermute، یک پلتفرم مالی غیرمتمرکز (DeFi) با قیمت 160 میلیون دلار مورد فروش قرار گرفت. حتی یک پل شبکه بایننس BNB به قیمت 100 میلیون دلار مورد بهره برداری قرار گرفت. کاری باید انجام شود تا خدمات ارزهای دیجیتال ایمن تر در برابر هک ها و سوء استفاده ها شود.
خبر خوب این است که همه چیز نباید مثل الان وخیم بماند. اگر پلتفرمها و پروتکلهای کریپتو مایل به گسترش تلاشهای دفاعی خود باشند، در سال 2023 و پس از آن شاهد حملات بسیار کمتری خواهیم بود یا حداقل تأثیر آنها را کاهش خواهیم داد. این می تواند اشکال مختلفی داشته باشد، اما همه شامل نظارت بهبود یافته و همچنین سیستم های پیشگیرانه ای است که در زمان وقوع یک رویداد پاسخ دهند.
اولین خط دفاعی این است که همه کدهای قرارداد هوشمند به دقت توسط منابع معتبر و شخص ثالث بررسی شوند. نتایج این ممیزی ها همچنین باید به طور شفاف با جامعه به اشتراک گذاشته شود تا هر گونه مشکل پیدا شده و آنچه برای رفع آنها انجام شده است به درستی افشا شود.
با این حال، یک بار ممیزی امنیتی کافی نیست (همانطور که در پلتفرم های DeFi متعددی که ممیزی و هک شده بودند مشاهده کردیم). در عوض، هر بار که کد به روز می شود، باید ممیزی های جدیدی انجام شود. این تضمین می کند که هیچ مشکل جدیدی معرفی نمی شود. حتی یک تغییر کوچک در کد میتواند عواقب پیشبینینشدهای داشته باشد، و برای تیمها بسیار مهم است که در هنگام توسعه و استقرار قراردادهای هوشمند، موضعی امنیتی محور اتخاذ کنند.
ممیزیها ضروری هستند، اما اگر به اندازه کافی بودند، فضای کریپتو این همه سوءاستفاده را مشاهده نمیکرد. حتی کدهای کاملاً آزمایش شده و حسابرسی شده باید به گونه ای اجرا شود که به تیم ها امکان محافظت در برابر بردارهای خطر بالقوه را بدهد. بدون امنیت قوی و نظارت عملیاتی که وضعیت حسابهای دارای امتیاز و همچنین روابط متقابل گستردهتر بین اجزای سیستم و وضعیت بلاک چین را ردیابی میکند، کاربران نمیتوانند به ایمن بودن وجوه خود اعتماد کنند.
به همین دلیل است که نیاز به رویکردی فعالتر و بیدرنگ برای امنیت خدمات غیرمتمرکز وجود دارد. پروژهها باید سیستمهایی داشته باشند که به طور فعال تراکنشها را در یک پلتفرم مشخص نظارت کنند و بتوانند فعالیتهای غیرعادی یا مشکوک مانند افزایش ناگهانی استفاده، تغییرات قیمت یا تعامل با حسابهای لیست سیاه و همچنین پیشنهادهای حاکمیتی ارائه شده با استفاده از وامهای فلش را شناسایی کنند.
در بسیاری از موارد، اولین نشانه حمله دقیقاً همین است - تراکنشها به طور غیرعادی بزرگ هستند و/یا بسیاری از آنها در مدت زمان بسیار کوتاهی به یک آدرس میروند. توانایی تشخیص این رویدادها در حین وقوع می تواند به تیم ها کمک کند تا از تهدیدات احتمالی مطلع شوند. همچنین راه را برای خودکار شدن چنین اقداماتی باز می کند و نیاز به تعامل انسانی را از بین می برد یا به حداقل می رساند.
در نهایت، حتی دقیقترین نظارتهای عملیاتی و امنیتی نیز بدون وجود نوعی سیستم پاسخگویی، از نظر کمکی محدود است. تیمی که به طور کامل بردارهای حمله سیستم های خود را ترسیم کرده است، می تواند پاسخ های خود را قبل از یک حادثه امنیتی واقعی برنامه ریزی کند. تست دود و برنامه ریزی دقیق گامی کلیدی در این مسیر است تا بر اساس هشدارها هر بازیگر مربوطه بتواند وضعیت را ارزیابی کرده و به سرعت به آن پاسخ دهد. این بدان معناست که اقدامات برای متوقف کردن و معکوس کردن آسیب را می توان در چند ساعت یا حتی چند دقیقه به جای روزها یا هفته ها انجام داد.
حتی در صورت از دست دادن وجوه، پاسخ سریع برای جلوگیری از از دست رفتن بیشتر وجوه بسیار مهم است. همچنین ممکن است به تقویت اعتماد به تیم پشت پروتکل کمک کند، حتی اگر قبلاً نشان داده شده باشد که سیستم در خطر است.
از آنجایی که ذهنیت امنیت در همه جا فراگیر می شود، در وهله اول به جلوگیری از تلاش مهاجمان از چنین سوء استفاده هایی نیز کمک می کند، زیرا آنها می دانند که فوراً شناسایی می شوند. تلاشهای نظارت بر امنیت تحت رهبری جامعه با ایجاد انگیزه در چنین نظارتی و به هر کسی اجازه میدهد پنجرهای به سلامت عملیاتی پروتکلهای روی بلاک چین داشته باشد، به تضمین امنیت اکوسیستم کلی کمک میکند.
برای اطمینان، لزوماً یک راه حل "یک اندازه متناسب با همه" برای هر پروژه وجود ندارد، اما همه پروتکل ها می توانند از ترکیبی از ممیزی های مکرر، امنیت فعال و نظارت عملیاتی شبکه های خود و یک سیستم خودکار بهره مند شوند. سیستم اطلاع رسانی و پاسخ به حادثه.
چنین اقداماتی ضروری است و اقداماتی هستند که توسط بازیکنان پیشرو در اکوسیستم Web3 مانند Compound Finance و Matter Labs انجام می شود. اگر تیمهای بیشتری چنین اقداماتی را انجام دهند، امیدواریم سال 2022 آخرین سالی باشد که کریپتو رکوردهایی را برای بیشترین پول سرقت شده از طریق اکسپلویت ثبت میکند. هرچه صنعت گستردهتر زودتر راهاندازی شود، زودتر این رویدادها میتوانند تا حد زیادی در گذشته باقی بمانند.
متن اصلی خبر : CoinDesk
