Aperçu des points de vue SPACEKOL

Une analyse technique des problèmes de sécurité des comptes d'échange a été effectuée, indiquant qu'il est possible de prévenir efficacement le vol de cookies en configurant les champs de vérification dans l'en-tête de la requête.

En tant que développeur de contrats expérimenté, j'ai souligné la nécessité de politiques de sécurité strictes dans les opérations d'actifs et partagé mes observations et expériences personnelles sur les politiques de sécurité des échanges.

Il raconte le processus d'attaque par des hackers à travers une expérience personnelle, rappelant à tous les risques potentiels lors de l'utilisation d'un portefeuille web3.

En tant que chercheur en sécurité, j'ai analysé le mécanisme des transactions de wash trading et recommandé aux utilisateurs de faire attention aux problèmes de permissions lors du téléchargement de plugins de navigateur, afin d'éviter des risques de sécurité potentiels.

J'ai partagé mon expérience de travail sur le contenu de recherche chez Manta, en soulignant l'importance de la communauté dans la gouvernance des DAO.

Lors de la session de discussion libre, les experts ont mené des discussions approfondies sur les questions suivantes:

• Est-il plus sûr de placer des actifs personnels dans un portefeuille ou sur un échange ? La plupart des invités estiment que cela dépend de la tolérance au risque personnelle de l'utilisateur, de la taille des actifs et de la fréquence des transactions. Les portefeuilles offrent le plus haut niveau de sécurité, mais une commodité plus faible ; tandis que les échanges, bien que pratiques, dépendent de leur système de sécurité.
• Comment améliorer la sécurité des actifs personnels ? Les recommandations incluent l'utilisation de la stratégie de séparation des portefeuilles chauds et froids, la technologie de signature multiple, la vigilance contre les sites de phishing et les informations frauduleuses, ainsi que l'audit régulier des comptes et des actifs.
• Quel est le rôle de la régulation dans le domaine des crypto-monnaies ? Les invités s'accordent à dire qu'une intervention réglementaire modérée contribue à améliorer la sécurité des actifs, en particulier dans le processus de récupération après un vol d'actifs.

Récapitulatif fascinant de Space

Lors d'un vol d'actifs d'utilisateurs Web3 d'un montant atteignant 500w le 24 mai, des hackers ont réussi à dérober tous les fonds des comptes utilisateurs sans avoir obtenu le mot de passe et les informations de vérification à deux facteurs d'un certain échange. La clé de cet incident réside dans le fait que les hackers ont exploité les vulnérabilités liées aux transactions de wash trading et aux plugins de navigateur. Pourquoi les transactions de wash trading et les plugins de navigateur ont-ils permis aux voleurs d'atteindre leur objectif ?

Récit de l'événement du point de vue de la partie concernée

Je suis entré dans le secteur en 2017, ayant traversé deux cycles haussiers et baissiers, avec cinq pertes totales. Concernant cet incident de vol, je ne l'ai pas effectué via un échange, mais en utilisant un portefeuille Web3.

Il y a cinq jours, un matin, après avoir quitté l'hôtel, j'ai consulté les informations officielles des projets dans lesquels j'investis. J'ai découvert qu'en dessous des tweets du compte officiel, quelqu'un se faisait passer pour un complément d'information officiel, dont le nom d'utilisateur était très similaire à celui de l'officiel ------ bien que les comptes soient différents. Je ne prends généralement pas de récompenses inconnues à la légère, mais cette fois, j'ai soudainement voulu essayer. En rentrant chez moi, j'ai ouvert mon portefeuille et copié un lien. En ouvrant le lien dans le navigateur du portefeuille, il n'y avait qu'un bouton "Connecter le portefeuille" sur la page. Comme je ne suis pas très familier avec la technologie, j'ai pensé que c'était une opération normale. Une fois connecté, j'ai réalisé qu'une autorisation était nécessaire pour transférer des actifs, mais dès que je me suis connecté, j'ai immédiatement ressenti quelque chose d'anormal. Après avoir vérifié attentivement, j'ai découvert une erreur dans le nom du lien, et c'est à ce moment-là que j'ai réalisé que je pouvais avoir été victime d'un vol. Voici toute mon expérience. Merci.

Question 1 : Comment protéger ses actifs personnels contre les attaques de hackers ?

Tout d'abord, le compte d'échange et le mécanisme de vérification secondaire sont en réalité destinés à obtenir l'état de connexion de l'utilisateur, c'est-à-dire le cookie que nous connaissons bien. Grâce à cet état, il est possible de contourner le mot de passe traditionnel et d'accéder directement au système, ce qui est très courant dans la défense et l'attaque sur Internet.

D'un point de vue technique, les extensions de navigateur ont des permissions très élevées, leur permettant d'accéder à toutes les données des sites web, y compris les cookies des utilisateurs. Par exemple, le gestionnaire de mots de passe du navigateur est une extension qui peut utiliser du code JS pour entrer le nom d'utilisateur et le mot de passe dans les champs appropriés, ce qui lui permet également d'accéder aux cookies des utilisateurs. Les utilisateurs individuels devraient éviter d'installer des extensions de navigateur provenant de sources inconnues. Si une installation est nécessaire, il est préférable de vérifier le code source au préalable, pour s'assurer qu'il n'y a pas de fonctions ou de mots-clés suspects liés à la capture des cookies.

Strictement parlant, ce n'est pas un漏洞, et le CVE ne le classera pas comme un漏洞. Mais d'un point de vue technique, les échanges ont tout à fait la capacité d'éviter les problèmes de prise de contrôle de compte dus à la fuite de cookies utilisateurs. Par exemple, il est possible de définir un token ou d'autres champs de vérification dans l'en-tête de la requête, en utilisant ces champs de vérification comme des certificats d'utilisateur, et pas seulement en se fiant aux cookies, ce qui peut efficacement empêcher le vol de cookies. Ce sont quelques-unes de mes réflexions.

Sur le plan technique, Jim a effectué une analyse complète, et je souhaite partager mon point de vue d'un point de vue stratégique. De nombreuses banques nationales ont des politiques de sécurité logicielle strictes, comme la nécessité de saisir à nouveau un mot de passe après avoir changé d'écran, ce qui est particulièrement important dans les opérations sur les actifs. Par exemple, certaines bourses au début exigeaient des utilisateurs qu'ils définissent un mot de passe de fonds après s'être connectés, afin de déverrouiller les droits de transaction à court terme. Bien que le processus soit laborieux, cela offrait une sécurité supplémentaire. Cependant, avec l'augmentation de la demande de commodité dans les transactions, certaines bourses ont annulé cette politique, ce qui semble insuffisant en matière de sécurité, notamment en ce qui concerne les transactions d'arbitrage.

Les transactions de wash trading ne sont pas un phénomène nouveau, des utilisateurs ont déjà subi des pertes à cause de ce type de problème dès 2021. Cela nous rappelle à nouveau que les stratégies de sécurité des échanges centralisés doivent être renforcées. L'élaboration des stratégies de sécurité doit équilibrer la commodité pour les utilisateurs et la protection des actifs, afin d'éviter la survenue d'événements similaires au wash trading. En tant qu'élément clé de la protection des actifs, les échanges centralisés doivent prendre cela au sérieux et continuer à optimiser leurs mécanismes de sécurité.

Je voudrais ajouter l'importance du mot de passe des fonds sur les échanges. Le mot de passe des fonds peut en quelque sorte prévenir le vol d'actifs. Même si un hacker se connecte à un compte d'échange en volant des cookies, sans le mot de passe des fonds, il ne peut pas effectuer de transactions.

Le trading de type "wash" est une méthode courante, les hackers peuvent choisir des cryptomonnaies avec une liquidité plus faible, passer des ordres via le compte de la victime, puis acheter à un prix inférieur avec leur propre compte, transférant ainsi des fonds vers leur propre compte et causant des pertes.

De plus, je souhaite souligner la sécurité des plugins de navigateur. Les permissions des plugins pour le navigateur Chrome sont importantes, et après le téléchargement, le navigateur informe l'utilisateur des permissions requises par le plugin. Je recommande personnellement, pour tout plugin qui semble avoir des permissions excessives ou floues, de lire d'abord la description des permissions. Si la sécurité n'est pas certaine, il est préférable de choisir de désinstaller le plugin pour éviter son utilisation. C'est une méthode efficace pour prévenir des événements de sécurité similaires.

Les invités précédents ont déjà couvert de nombreux points. Ce que je voudrais ajouter, c'est que, tout d'abord, nous devrions éviter de télécharger des plugins provenant de sources inconnues, même si certains plugins ont été recommandés par des KOL. Nous devons également rester vigilants face à ceux que des KOL étrangers ont promus. Parfois, les KOL ou les équipes de projet peuvent publier des informations sur des airdrops ou d'autres avantages, mais même dans ce cas, je conseille à tout le monde d'attendre patiemment et de ne pas se précipiter à participer. Car ces informations proviennent très probablement de comptes piratés et diffusent de fausses informations. En somme, la prudence est la clé, merci à tous.

Question 2 : Comment relever les défis de sécurité liés à la technologie de deepfake AI ?

La technologie des deepfakes devient un moyen courant d'attaque en ligne. Le secteur illégal utilise cette technologie pour créer de faux matériels, lancer des attaques en masse et contourner les mesures de vérification, en utilisant des défauts pour générer de faux visages afin de mener des attaques.

Dans le domaine de la sécurité, les pare-feu ne peuvent pas prévenir ce type d'attaque par contournement d'authentification. Par exemple, certaines bourses peuvent ne s'appuyer que sur une unique authentification faciale après qu'un utilisateur ait oublié son mot de passe, manquant ainsi d'un système de défense en profondeur, ce qui peut entraîner des vulnérabilités de sécurité. Dans des scénarios à haute exigence de sécurité, particulièrement lors de la première connexion d'un appareil ou dans des environnements anormaux, il n'est pas recommandé de n'utiliser que l'OCR et l'authentification faciale, mais plutôt de combiner cela avec une authentification à deux facteurs, comme les SMS.

Dans le domaine de la reconnaissance faciale, la lutte entre les algorithmes est très intense, avec de nombreuses caractéristiques et outils variés, et il ne faut pas se fier à un seul algorithme. Nous devrions établir un système de défense complet pour la reconnaissance faciale, comme l'a fait Alipay, en combinant la sécurité des terminaux, des algorithmes systématiques de lutte contre les attaques, et en répondant rapidement à la situation actuelle d'attaque et de défense.

Si un individu est confronté à ce type d'attaque et a du mal à enquêter, il doit immédiatement contacter l'échange pour signaler le vol de son compte, et tenter de geler son compte, modifier ses informations d'accès et activer l'authentification à deux facteurs. En même temps, il doit conserver les preuves pertinentes et essayer de récupérer ses actifs.

La technologie deepfake, bien que avancée, peut rencontrer des bugs lors du processus de génération, comme la distorsion des traits du visage. Actuellement, l'adoption de mesures de vérification de sécurité de niveau Alipay devrait suffire à faire face à ce type de problème. Cependant, du point de vue de la protection personnelle, il est très difficile de fournir des conseils de protection spécifiques.

Les problèmes de fuite d'informations personnelles sont courants, et il est difficile pour les utilisateurs individuels de se protéger de manière autonome. Je pense qu'il faudrait appeler les échanges et autres institutions à améliorer la sécurité de la reconnaissance faciale et les normes de certification, afin de résoudre le problème à la source, plutôt que de laisser les utilisateurs chercher eux-mêmes comment se protéger. Les capacités de protection personnelle sont limitées, et il est nécessaire de collaborer avec des entreprises de sécurité et de bénéficier d'un soutien technique professionnel, c'est la meilleure solution.

Je voudrais partager mon point de vue du point de vue d'un utilisateur ordinaire. Bien que notifier rapidement l'échange de la suspension de comptes suspects soit une méthode efficace, cette approche n'est pas parfaite. Les hackers sont souvent organisés et ils transfèrent des actifs très rapidement. J'ai personnellement vécu une telle situation où, après que mes actifs ont été volés, le hacker a rapidement transféré les actifs. Lorsque j'ai contacté l'échange pour geler le compte de l'autre partie, les actifs du compte avaient déjà été vidés.

Cela indique que nous avons du mal à rattraper les voleurs d'actifs. Le processus de défense des droits est très difficile, car nous sommes souvent en position de désavantage.

Concernant l'incident de l'IA, je pense que le problème réside dans l'insuffisance des paramètres de sécurité de l'échange. La sécurité des e-mails est relativement faible, et la modification du mot de passe nécessite généralement un code de vérification par e-mail, un code de vérification par téléphone ou une double authentification. Cependant, dans cet incident, le hacker a pu contourner les autres vérifications de sécurité simplement en téléchargeant une pièce d'identité et une vidéo d'IA, mettant en évidence le manque de mesures de contrôle des risques.

Lorsque les paramètres de sécurité sont réinitialisés, l'échange doit limiter les opérations pertinentes pendant au moins 24 heures et notifier l'utilisateur de l'état de réinitialisation, afin que l'utilisateur ait suffisamment de temps pour réagir et protéger son compte. Mais dans ce cas, le hacker a transféré des actifs dans les 24 heures, ce qui est inacceptable.

J'ai également vécu le fait d'acheter une stablecoin via C2C sur un échange, sans subir de restrictions sur les retraits, ce qui présente un risque de blanchiment d'argent. Il semble que les mesures de contrôle des risques des échanges doivent encore être renforcées. En ce qui concerne le suivi des actifs volés, les échanges réagissent lentement ou exigent de fournir une grande quantité de documents avant de geler les comptes, ce qui rend extrêmement difficile le suivi et la récupération des actifs volés. Bien que nous essayions de coopérer et de communiquer avec les échanges, c'est encore un problème délicat.

Je suis tout à fait d'accord avec le point de vue exprimé précédemment par les invités. Tout d'abord, je pense que l'échange devrait immédiatement modifier les paramètres de sécurité et limiter les opérations de retrait dans les 24 heures. De plus, déposer des actifs dans l'échange repose sur une hypothèse de sécurité. S'il y a des personnes à l'intérieur de l'échange qui vendent des informations sur les utilisateurs, il est en réalité très difficile de se prémunir contre cela. En tant qu'utilisateur ordinaire, ce que nous pouvons faire, c'est conserver des preuves, déposer une plainte auprès de l'échange et défendre nos droits, en espérant obtenir une compensation.

De plus, pour les utilisateurs ordinaires, y compris moi-même, je conseille de ne pas afficher sa richesse en public ou sur les réseaux sociaux, afin d'éviter de divulguer des informations personnelles. Par exemple, j'ai appris qu'un ami du secteur de la cryptomonnaie a été victime d'un vol à la tire à Bali, car il jouait sur son téléphone en marchant, ce qui a conduit à ce que des voleurs lui prennent son téléphone et ouvrent son application de portefeuille, entraînant le vol de ses actifs. Par conséquent, nous devrions éviter d'exposer notre situation financière en public.

De plus, il y a eu des incidents dans le passé où des hackers ont propagé des programmes malveillants en utilisant des codes QR lors d'événements hors ligne. Donc, je rappelle à tout le monde de rester vigilant lors de la participation à divers événements, de ne pas scanner facilement des codes QR ou de télécharger des applications d'origine inconnue. Ce sont tous des points importants à prendre en compte pour protéger nos actifs personnels. Merci.

Question trois : Les actifs personnels des utilisateurs sont-ils plus sûrs dans un portefeuille ou sur un échange ?

Concernant le choix de stockage des actifs, je pense qu'il devrait être déterminé en fonction de la tolérance au risque personnelle, de la taille des actifs et de la fréquence des transactions. Les portefeuilles avec des clés privées offrent le plus haut niveau de sécurité, bien que cela puisse sacrifier une certaine commodité. En même temps, la gestion des clés privées est cruciale et doit se protéger contre les attaques de phishing et autres attaques d'ingénierie sociale.

Pour les utilisateurs ayant des actifs importants et des transactions peu fréquentes, l'utilisation d'un portefeuille peut être plus appropriée. Choisir de stocker sur un échange signifie confier la clé privée à l'échange, la sécurité dépend entièrement du système de sécurité de l'échange. Actuellement, de nombreux échanges présentent des insuffisances en matière de cybersécurité et de système de gestion des risques, manquant de