Огляд точки зору SPACEKOL

З технічної точки зору проаналізовано проблеми безпеки облікових записів біржі, зазначено, що встановлення контрольного поля в заголовку запиту може ефективно запобігти крадіжці cookie.

Як досвідчений розробник контрактів, я підкреслив необхідність суворих політик безпеки в операціях з активами та поділився своїми спостереженнями та досвідом щодо політик безпеки на біржі.

Через особистий досвід розповідається про процес атаки хакерів, що нагадує всім про потенційні ризики під час використання веб3 гаманців.

Як безпековий дослідник, я проаналізував механізм взаємних угод і порадив користувачам звертати увагу на питання прав при завантаженні плагінів для браузера, щоб уникнути потенційних ризиків безпеки.

Поділився досвідом роботи в Manta, де відповідав за researchcontent, підкреслив важливість громади в управлінні DAO.

Під час вільного обговорення експерти провели глибоке обговорення таких питань:

• Чи безпечніше зберігати особисті активи в гаманці чи на біржі? Більшість учасників вважають, що це залежить від особистих ризикових уподобань користувача, обсягу активів та частоти торгів. Гаманець забезпечує найвищу безпеку, але має нижчу зручність; тоді як біржа, хоча і зручна, безпека залежить від її системи захисту.
• Як підвищити безпеку особистих активів? Рекомендації включають використання стратегії розділення гарячих і холодних гаманців, технологію мультипідписів, обережність щодо фішингових сайтів і шахрайської інформації, а також регулярний аудит рахунків і активів.
• Яка роль регулювання в сфері криптовалют? Експерти загалом вважають, що помірне втручання регулювання допомагає підвищити безпеку активів, особливо в процесі повернення активів після їх викрадення.

Прекрасний огляд Space

У 5 травня сталася крадіжка активів користувачів Web3 на суму до 500w, коли хакери успішно викрали всі кошти з облікових записів користувачів, не отримавши паролі та інформацію для двофакторної автентифікації від певної біржі. Ключовим моментом цієї події стало те, що хакери скористалися вразливостями безпеки у контракті на виконання угод та браузерних плагінах. Чому ж контракти на виконання угод та браузерні плагіни дозволили злочинцям досягти своїх цілей?

Огляд подій з точки зору першої особи

Я вступив у цей світ у 2017 році, пережив два цикли бика і ведмедя, і зазнав нуляції 5 разів. Щодо цього випадку крадіжки, я не користувався біржею, а використовував Web3 гаманець.

П'ять днів тому вранці, після виходу з готелю, я переглядав офіційну інформацію про проекти, в які я інвестував. Виявилося, що під твітами офіційного акаунта хтось видає себе за офіційний доповідь, його ім'я користувача дуже схоже на офіційне ------ хоча акаунти різні. Я зазвичай не беру невідомі винагороди, але цього разу несподівано захотів спробувати. Повернувшись додому, я увійшов у гаманець і скопіював посилання. Відкривши посилання в браузері гаманця, на екрані була лише одна кнопка "Підключити гаманець". Оскільки я не дуже знайомий з технологією, я вирішив, що це звичайна операція. Після підключення я зрозумів, що потрібно надати дозвіл для переміщення активів, але, підключившись, я відразу відчув, що щось не так. Уважно перевіривши, я виявив, що ім'я посилання неправильне, і в цей момент я зрозумів, що, можливо, став жертвою крадіжки. Це і є мій весь досвід. Дякую.

Питання перше: Як захистити особисті активи від хакерських атак?

По-перше, обліковий запис біржі та механізм двоетапної перевірки фактично призначені для отримання статусу входу користувача, тобто того, що ми добре знаємо як cookie. Завдяки цьому статусу можна обійти традиційні логін і пароль і безпосередньо отримати доступ до системи, що є досить поширеним у сфері кібербезпеки.

З технічної точки зору, браузерні плагіни мають дуже високі дозволи, здатні отримувати доступ до всіх даних на сайті, включаючи файли cookie користувачів. Наприклад, менеджер паролів браузера є плагіном, який може використовувати код JS для введення імені користувача та пароля у відповідні поля вводу, отже, він також може отримувати файли cookie користувача. Особистим користувачам слід уникати встановлення плагінів браузера з невідомих джерел. Якщо їх потрібно встановити, краще спочатку перевірити вихідний код, щоб підтвердити, що немає підозрілих функцій чи ключових слів для захоплення файлів cookie.

Справедливості ради, це не зовсім вважається вразливістю, і CVE не класифікуватиме це як вразливість. Але з технічної точки зору, біржа цілком здатна уникнути проблеми захоплення облікового запису через витік cookie користувача. Наприклад, можна встановити токен або інші контрольні поля в заголовку запиту, використовуючи ці контрольні поля як облікові дані користувача, а не покладатися лише на cookie, що може ефективно запобігти крадіжці cookie. Це мої деякі думки.

Технічний рівень Jim вже повністю проаналізував, я хочу поділитися своїми думками з точки зору стратегії. У багатьох банках країни безпекові стратегії програмного забезпечення є суворими, наприклад, повторний ввід пароля після зміни екрану, що є особливо важливим під час операцій з активами. Наприклад, на початку одна з бірж вимагала від користувачів встановлення пароля на кошти після входу в систему, щоб розблокувати можливості короткострокової торгівлі, хоча процес був громіздким, але надавав додаткові гарантії безпеки. Однак, з ростом попиту на зручність торгівлі, одна з бірж скасувала цю стратегію, що виявилось недостатньо надійним у питаннях безпеки, таких як арбітражні операції.

Арбітражні угоди не є новим явищем, ще в 2021 році користувачі зазнали збитків через подібні проблеми. Це ще раз нагадує нам про те, що безпекова стратегія централізованих бірж потребує термінового зміцнення. Розробка безпекової стратегії повинна балансувати зручність для користувачів і захист активів, щоб запобігти подібним випадкам арбітражних угод. Централізовані біржі, як важлива ланка захисту активів, повинні надавати значення і постійно оптимізувати свої механізми безпеки.

Я хочу додати дещо про важливість пароля для коштів на біржі. Пароль для коштів може певною мірою запобігти крадіжці активів. Навіть якщо хакер увійде в обліковий запис біржі, вкрадучи cookie, без пароля для коштів вони не зможуть здійснити торгівлю.

Арбітражні угоди є поширеним методом, хакери можуть вибирати монети з низькою ліквідністю, розміщуючи накази через рахунок жертви, а потім купуючи за нижчою ціною на свій рахунок, тим самим переводячи кошти на свій рахунок, що призводить до збитків.

Крім того, я хочу підкреслити безпеку плагінів для браузера. Права плагінів для браузера Chrome дуже широкі, після завантаження браузер попереджає користувачів про права, які потрібні плагіну. Я особисто рекомендую, якщо плагін виглядає з надто великими або нечіткими правами, краще спочатку прочитати опис прав, а якщо ви не впевнені в його безпеці, слід вибрати видалення, щоб уникнути використання. Це ефективний спосіб запобігання подібним інцидентам безпеки.

Попередні доповідачі вже висвітлили багато важливих моментів. Я хочу додати, що, по-перше, нам слід уникати завантаження плагінів з ненадійних джерел, навіть якщо деякі плагіни рекомендовані KOL. Ми також повинні бути обережними щодо тих, які просувалися закордонними KOL. Іноді KOL або офіційні представники проекту можуть публікувати інформацію про аеродропи та інші бонуси, але навіть так, я рекомендую всім спочатку терпляче дочекатися і не квапитися з участю. Тому що ця інформація дуже ймовірно може походити з вкрадених акаунтів і містити неправдиву інформацію. Загалом, обережність є ключовою, дякую всім.

Питання два: Як реагувати на безпекові виклики технології заміни обличчя за допомогою ШІ?

Технологія Deepfake стає поширеним засобом кібератак. Зловмисники використовують цю технологію для створення фальшивих матеріалів, здійснення масових атак та обходу автентифікації, наприклад, за допомогою дефектів для генерації фальшивих облич для атак.

У сфері безпеки брандмауер не може запобігти таким атакам обходу аутентифікації. Наприклад, деякі біржі можуть покладатися лише на єдину аутентифікацію за обличчям, якщо користувач забув пароль, що призводить до відсутності багаторівневої системи захисту, що може спричинити вразливості в безпеці. У сценаріях з високими вимогами до безпеки, особливо при першому вході на пристрій або в аномальних умовах, не рекомендується використовувати лише OCR та аутентифікацію за обличчям, а слід поєднувати їх з двофакторною аутентифікацією, такою як SMS.

Щодо алгоритмічної протидії, в сфері розпізнавання обличчя відбувається дуже жорстка боротьба між атакуючими та захисниками, існує безліч змінених ознак і інструментів, тому не можна покладатися лише на один алгоритм. Нам слід створити повну систему захисту обличчя, як це робить Alipay, поєднуючи безпеку терміналів, систематичну протидію алгоритмам та швидко реагуючи на поточну ситуацію атак і захисту.

Якщо особа стикається з подібними атаками, і перевірка є складною, їй слід негайно зв’язатися з біржею, щоб повідомити про крадіжку облікового запису, а також якомога швидше заморозити рахунок, змінити інформацію для доступу та увімкнути двофакторну аутентифікацію. Водночас зберігайте відповідні докази та намагайтеся повернути активи.

Хоча технологія Deepfake є передовою, під час її генерації можуть виникати баги, наприклад, спотворення рис обличчя. Наразі впровадження заходів безпеки на рівні Alipay має бути достатнім для вирішення таких проблем. Проте з точки зору особистого захисту надати конкретні рекомендації щодо захисту є досить складно.

Проблеми, такі як витік особистої інформації, є поширеними, і особистим користувачам важко самостійно захиститися. Я вважаю, що слід закликати біржі та інші установи підвищити безпеку розпізнавання обличчя та стандарти сертифікації, щоб вирішити цю проблему в корені, а не змушувати користувачів самостійно вивчати, як захищатися. Особисті можливості захисту обмежені, потрібна співпраця з компаніями з безпеки та підтримка професійних технологій; це є найкращим рішенням.

Я хочу поділитися своїми думками з точки зору звичайного користувача. Хоча своєчасне повідомлення біржі про заморожування підозрілих рахунків є ефективним заходом, цей метод не є досконалим. Хакери, як правило, організовані, і вони дуже швидко переміщують активи. Я особисто зіткнувся з такою ситуацією, коли мої активи були вкрадені, хакер швидко перемістив активи, і коли я зв'язався з біржею, щоб заморозити рахунок, активи на рахунку вже були виведені.

Це вказує на те, що під час повернення вкрадених активів нам важко встигати за хакерами. Процес захисту прав є дуже важким, оскільки ми часто перебуваємо у невигідному становищі.

Щодо інциденту з ШІ, я вважаю, що проблема полягає в недостатній безпеці налаштувань біржі. Безпека електронної пошти є відносно низькою, зазвичай для зміни пароля потрібен код підтвердження з електронної пошти, код підтвердження з мобільного телефону або двофакторна аутентифікація. Однак у цьому випадку хакер зміг обійти інші заходи безпеки, просто завантаживши паспорт та відео з ШІ, що вказує на відсутність заходів ризик-менеджменту.

Після скидання налаштувань безпеки біржа повинна принаймні протягом 24 годин обмежити відповідні операції і повідомити користувачів про стан скидання, щоб у них було достатньо часу для реакції та захисту облікового запису. Але в цьому випадку хакери перемістили активи протягом 24 годин, що є неприпустимим.

Я також пережив ситуацію, коли на певній біржі, купивши стабільну монету через C2C, не отримав жодних обмежень на виведення коштів, що створює ризик відмивання грошей. На даний момент, як здається, заходи контролю ризиків біржі потребують покращення. Щодо відстеження вкрадених активів, реакція біржі затримується або вимагається надати велику кількість матеріалів перед тим, як заблокувати рахунок, що ускладнює процес відстеження та відновлення вкрадених активів. Хоча ми намагаємося співпрацювати і спілкуватися з біржею, наразі це залишається складною проблемою.

Я повністю згоден з думкою, висловленою попереднім гостем. По-перше, я вважаю, що біржа повинна терміново змінити налаштування безпеки, обмеживши операції з виведення коштів протягом 24 годин. Крім того, зберігання активів на біржі само по собі базується на певному припущенні безпеки. Якщо хтось усередині біржі продає інформацію користувачів, це насправді важко запобігти. Як звичайні користувачі, ми можемо лише зберігати докази, звертатися до біржі зі скаргами та захищати свої права, сподіваючись на компенсацію.

Крім того, для звичайних користувачів, включаючи мене, я рекомендую не хвалитися своїм багатством на громадських місцях або в соціальних мережах, щоб не розкривати особисту інформацію. Наприклад, я дізнався, що один з друзів з криптосвіту, подорожуючи на Балі, став жертвою грабіжників через те, що грав на телефоні під час прогулянки, і вони вкрали його телефон, на якому було відкрито додаток гаманця, що призвело до крадіжки активів. Тому нам слід уникати розкриття свого фінансового стану на публіці.

Ще, раніше відбувалися випадки, коли хакери поширювали троянські програми під час офлайн-активностей, використовуючи сканування QR-кодів для демонстрації проектів. Тому нагадуємо всім бути обережними під час участі в різних заходах, не сканувати QR-коди та не завантажувати програми з неперевірених джерел. Це важливі моменти, на які слід звертати увагу при захисті особистих активів. Дякую.

Питання три: Де безпечніше зберігати особисті активи - у гаманці чи на біржі?

Щодо вибору зберігання активів, я вважаю, що це слід визначати відповідно до особистих ризикових уподобань, обсягу активів та частоти торгівлі. Гаманці з приватними ключами мають найвищий рівень безпеки, хоча можуть жертвувати певною зручністю. Водночас управління приватними ключами є надзвичайно важливим, необхідно запобігати фішингу та іншим соціоінженерним атакам.

Для користувачів з великими активами та рідкими транзакціями використання гаманця може бути більш доречним. Вибір зберігати активи на біржі означає, що приватні ключі будуть довірені біржі, а безпека повністю залежить від системи безпеки біржі. Наразі багато бірж мають недоліки в питаннях кібербезпеки та систем управління ризиками, бракує