Visão Geral do SPACEKOL

Analisou do ponto de vista técnico os problemas de segurança das contas das exchanges, apontando que a configuração do campo de verificação no cabeçalho da solicitação pode efetivamente prevenir o roubo de cookies.

Como um desenvolvedor de contratos experiente, enfatizou a necessidade de uma política de segurança rigorosa nas operações de ativos e compartilhou suas observações e experiências sobre as políticas de segurança das exchanges.

Através de experiências pessoais, descreveu o processo de ser atacado por hackers, alertando todos sobre os potenciais riscos ao usar carteiras web3.

Como investigador de segurança, analisei o mecanismo de transações de wash trading e recomendei aos usuários que prestassem atenção às questões de permissões ao baixar plugins de navegador, a fim de evitar riscos de segurança potenciais.

Compartilhou a experiência de trabalho na Manta, responsável pelo conteúdo de pesquisa, enfatizando a importância da comunidade na governança DAO.

No segmento de discussão livre, os especialistas aprofundaram a discussão sobre as seguintes questões:

• É mais seguro manter ativos pessoais na carteira ou na exchange? A maioria dos convidados acredita que isso depende da preferência de risco pessoal do usuário, do tamanho dos ativos e da frequência de negociação. As carteiras oferecem a maior segurança, mas têm menor conveniência; enquanto as exchanges, embora convenientes, dependem de seu sistema de segurança.
• Como aumentar a segurança dos bens pessoais? As recomendações incluem o uso de uma estratégia de separação entre carteiras frias e quentes, tecnologia de múltiplas assinaturas, estar alerta para sites de phishing e informações fraudulentas, bem como auditorias regulares de contas e ativos.
• Qual é o papel da regulamentação no setor das criptomoedas? Os convidados acreditam geralmente que uma intervenção regulatória moderada ajuda a aumentar a segurança dos ativos, especialmente no processo de recuperação após o roubo de ativos.

Space Recapitulação Espetacular

No dia 24 de maio, durante um incidente de roubo de ativos de usuários do Web3 no valor de até 500w, hackers conseguiram roubar todos os fundos das contas dos usuários sem obter as senhas e informações de verificação em duas etapas de uma determinada exchange. A chave para esse incidente foi que os hackers exploraram vulnerabilidades na segurança de transações de wash trading e plugins de navegador. Mas por que as transações de wash trading e os plugins de navegador permitiram que os ladrões alcançassem seu objetivo?

Revisão de eventos na perspectiva do primeiro participante

Eu entrei no mercado em 2017, passei por dois ciclos de alta e baixa, e tive 5 perdas totais. Sobre este incidente de roubo, não utilizei uma exchange, mas sim uma carteira Web3.

Há cinco dias, numa manhã, após sair do hotel, eu consultei as informações oficiais do projeto em que investi. Descobri que, sob os tweets da conta oficial, alguém estava se fazendo passar por oficial, com um nome de usuário muito semelhante ao oficial ------ embora a conta fosse diferente. Normalmente, não aceito recompensas desconhecidas, mas naquela vez eu inesperadamente quis tentar. Quando cheguei em casa, entrei na minha carteira e copiei um link. Ao abrir o link no navegador da carteira, havia apenas um botão "Conectar Carteira". Como eu não sou muito familiarizado com tecnologia, pensei que isso era uma operação normal. Depois de conectar, percebi que precisava autorizar para transferir ativos, mas assim que me conectei, imediatamente senti que algo estava errado. Após verificar cuidadosamente, descobri que o nome do link estava incorreto, e nesse momento percebi que poderia ter sido vítima de um roubo. Essa foi toda a minha experiência. Obrigado.

Pergunta 1: Como proteger os ativos pessoais contra ataques de hackers?

Primeiro, a conta da bolsa e o mecanismo de verificação dupla servem, na verdade, para obter o estado de login do usuário, ou seja, o cookie que conhecemos. Através desse estado, é possível contornar o tradicional nome de usuário e senha para acessar diretamente o sistema, o que é bastante comum em ataques e defesas na rede.

Do ponto de vista técnico, os plugins do navegador têm permissões muito altas, podendo acessar todos os dados do site, incluindo os cookies dos usuários. Por exemplo, o gerenciador de senhas do navegador é um plugin que pode usar código JS para inserir nomes de usuário e senhas nos campos de entrada correspondentes, portanto, também pode obter os cookies dos usuários. Os usuários pessoais devem evitar instalar plugins de navegador de origem desconhecida. Se for necessário instalar, é melhor verificar o código-fonte primeiro para confirmar que não há funções ou palavras-chave suspeitas de captura de cookies.

Strictamente falando, isso não é considerado uma vulnerabilidade, e o CVE também não o classificaria como tal. Mas, do ponto de vista técnico, a exchange tem total capacidade de evitar problemas de conta que surgem devido ao vazamento de cookies dos usuários. Por exemplo, pode-se configurar um token ou outro campo de verificação no cabeçalho da solicitação, usando esses campos de verificação como credenciais do usuário, em vez de depender apenas dos cookies, o que pode efetivamente prevenir o roubo de cookies. Essas são algumas das minhas opiniões.

Jim já analisou completamente o aspecto técnico, e eu compartilho minha opinião do ponto de vista estratégico. Vários bancos nacionais têm políticas de segurança de software rigorosas, como a necessidade de reinserir a senha após a troca de tela, o que é especialmente importante nas operações de ativos. Por exemplo, uma exchange no início exigia que os usuários configurassem uma senha de fundos após o login para desbloquear permissões de negociação de curto prazo; embora o processo fosse complicado, oferecia uma segurança adicional. No entanto, com a crescente demanda por conveniência nas negociações, uma exchange aboliu essa política, o que se mostrou insuficiente em questões de segurança, como negociações de lavagem.

As negociações de wash trading não são um fenômeno novo; já em 2021, alguns usuários sofreram perdas devido a esse tipo de problema. Isso nos lembra novamente que as estratégias de segurança das exchanges centralizadas precisam ser fortalecidas. A formulação das estratégias de segurança deve equilibrar a conveniência do usuário e a proteção dos ativos, a fim de evitar a ocorrência de eventos semelhantes ao wash trading. As exchanges centralizadas, como um importante elo na proteção de ativos, devem dar prioridade e otimizar continuamente seus mecanismos de segurança.

Quero acrescentar a importância da senha de fundos da exchange. A senha de fundos pode, até certo ponto, prevenir o roubo de ativos. Mesmo que um hacker consiga acessar a conta da exchange através do roubo de cookies, sem a senha de fundos eles não conseguem realizar transações.

A negociação de contra-ataque é uma técnica comum, onde os hackers podem escolher criptomoedas com baixa liquidez, colocando ordens na conta da vítima e, em seguida, comprando a preços mais baixos com sua própria conta, transferindo assim os fundos para sua própria conta e causando perdas.

Além disso, gostaria de enfatizar a segurança dos plugins do navegador. Os plugins do navegador Chrome têm muitas permissões, e após o download, o navegador avisará o usuário sobre as permissões necessárias do plugin. Pessoalmente, recomendo que, para qualquer plugin que pareça ter permissões excessivas ou não claras, é melhor ler a descrição das permissões primeiro; se não estiver certo sobre sua segurança, deve optar por desinstalá-lo para evitar o uso. Este é um método eficaz para prevenir eventos de segurança semelhantes.

Os convidados anteriores já cobriram muitos pontos importantes. O que eu gostaria de acrescentar é que, em primeiro lugar, devemos evitar baixar plugins de fontes desconhecidas, mesmo que alguns plugins tenham sido recomendados por KOLs. Devemos estar atentos a aqueles que KOLs internacionais promovem. Às vezes, KOLs ou a equipe oficial do projeto podem divulgar informações sobre airdrops e outros benefícios, mas mesmo assim, eu recomendo que todos esperem pacientemente e não se apressam em participar. Porque essas informações podem muito bem vir de contas roubadas, divulgando informações falsas. Em resumo, a cautela é a chave, obrigado a todos.

Pergunta 2: Como enfrentar os desafios de segurança da tecnologia de troca de rostos com IA?

A tecnologia Deepfake está se tornando um meio comum de ataque cibernético. O crime organizado utiliza essa tecnologia para criar materiais falsos, lançar ataques em massa e contornar autenticações, como gerar rostos falsos usando vulnerabilidades, para realizar ataques.

Na área da segurança, os firewalls não conseguem prevenir este tipo de ataque de bypass de autenticação. Por exemplo, algumas exchanges podem depender apenas da autenticação facial após o usuário esquecer a senha, carecendo de um sistema de defesa em profundidade, o que pode resultar em vulnerabilidades de segurança. Em cenários com altas exigências de segurança, especialmente na primeira vez que um dispositivo faz login ou em ambientes anormais, não é recomendável usar apenas OCR e autenticação facial, devendo ser combinado com autenticação de dois fatores, como SMS.

No que diz respeito à resistência a algoritmos, a luta no campo da autenticação facial é muito intensa, existindo numerosas características e ferramentas variantes, não se podendo depender apenas de um único algoritmo. Devemos estabelecer um sistema completo de defesa facial, tal como a Alipay fez, combinando segurança de terminal, resistência a algoritmos sistematizada, e respondendo rapidamente com base na atual situação de ataque e defesa.

Se uma pessoa encontrar esse tipo de ataque e tiver dificuldades na investigação, deve contatar imediatamente a bolsa para relatar o roubo da conta, e congelar a conta o máximo possível, alterar as informações de acesso e ativar a autenticação de dois fatores. Ao mesmo tempo, deve guardar as provas relevantes e tentar recuperar os ativos.

Embora a tecnologia Deepfake seja avançada, podem ocorrer bugs durante o processo de geração, como a distorção das características faciais. Atualmente, a implementação de medidas de verificação de segurança ao nível do Alipay deve ser suficiente para lidar com esse tipo de problema. No entanto, do ponto de vista da proteção pessoal, é muito difícil fornecer recomendações específicas de proteção.

Problemas como o vazamento de informações pessoais são comuns, e os usuários individuais têm dificuldade em se proteger de forma independente. Acredito que devemos pedir às exchanges e outras instituições que melhorem a segurança e os padrões de certificação do reconhecimento facial, a fim de resolver o problema de forma fundamental, em vez de deixar os usuários a se preocuparem em descobrir como se proteger. A capacidade de proteção pessoal é limitada e requer a colaboração de empresas de segurança e suporte técnico profissional; essa é a melhor solução.

Gostaria de falar sobre a minha perspectiva a partir do ponto de vista de um usuário comum. Embora notificar prontamente a bolsa sobre a congelamento de contas suspeitas seja uma medida eficaz, esse método não é perfeito. Os hackers costumam ser organizados e transferem ativos muito rapidamente. Eu vivi uma situação assim, quando meus ativos foram roubados, o hacker rapidamente transferiu os ativos e, quando entrei em contato com a bolsa para congelar a conta do infrator, os ativos na conta já haviam sido esvaziados.

Isto indica que, ao recuperar ativos roubados, é difícil para nós acompanhar os hackers. O processo de defesa dos direitos é muito difícil, pois muitas vezes estamos em desvantagem.

Sobre o incidente de IA, acredito que o problema reside na insuficiência das configurações de segurança da exchange. A segurança do email é relativamente baixa, geralmente a alteração de senha requer um código de verificação por email, um código de verificação por SMS ou autenticação em dois fatores. No entanto, neste incidente, o hacker conseguiu contornar outras verificações de segurança apenas fazendo o upload de um documento de identidade e um vídeo de IA, o que demonstra a falta de medidas de controle de risco.

Após a redefinição das configurações de segurança, a exchange deve limitar as operações relacionadas por pelo menos 24 horas e informar o estado da redefinição aos usuários, para que tenham tempo suficiente para reagir e proteger suas contas. No entanto, neste caso, o hacker transferiu os ativos em menos de 24 horas, o que é inaceitável.

Eu também passei pela experiência de comprar uma stablecoin através de C2C em uma determinada exchange e não ter nenhuma restrição para retirar os fundos, o que representa um risco de lavagem de dinheiro. Atualmente, parece que as medidas de controle de risco da exchange ainda precisam ser fortalecidas. Quanto ao rastreamento de ativos roubados, a exchange reage lentamente ou exige a apresentação de uma grande quantidade de documentos antes de congelar a conta, o que torna o rastreamento e a recuperação dos ativos roubados extremamente difíceis. Embora estejamos tentando colaborar e comunicar com a exchange, isso ainda é um problema complicado.

Concordo plenamente com o ponto de vista apresentado anteriormente pelo convidado. Em primeiro lugar, acredito que a bolsa deve modificar imediatamente as configurações de segurança, limitando as operações de retirada dentro de 24 horas. Além disso, depositar ativos na bolsa baseia-se numa suposição de segurança. Se alguém dentro da bolsa estiver vendendo informações dos usuários, isso é realmente difícil de prevenir. Como usuários comuns, o que podemos fazer é manter evidências, apresentar queixas à bolsa e defender nossos direitos, esperando obter compensação.

Além disso, para usuários comuns, incluindo eu mesmo, recomendo que não ostentem riqueza em público ou nas redes sociais, para evitar a divulgação de informações pessoais. Por exemplo, soube que um amigo do mundo das criptomoedas, enquanto estava viajando em Bali, teve seu celular roubado por bandidos em moto porque estava mexendo no celular na rua, e abriram o aplicativo de carteira no celular, resultando no roubo de seus ativos. Portanto, devemos evitar expor nossa situação financeira em público.

Além disso, houve um incidente anteriormente em que hackers espalharam programas de trojan através de experiências de projetos por meio de QR code em eventos presenciais. Portanto, lembramos a todos para manterem-se alertas ao participar de diversos eventos, não escaneando QR codes ou baixando aplicativos de fontes desconhecidas. Estes são todos pontos importantes a considerar ao proteger os ativos pessoais. Obrigado.

Pergunta Três: É mais seguro armazenar os ativos pessoais na carteira ou na bolsa?

Quanto à escolha do armazenamento de ativos, acredito que deve ser decidida com base na preferência de risco pessoal, no tamanho dos ativos e na frequência de negociação. As carteiras que detêm as chaves privadas têm a maior segurança, embora possam sacrificar alguma conveniência. Ao mesmo tempo, a gestão das chaves privadas é crucial e deve-se prevenir ataques de engenharia social, como phishing.

Para usuários com ativos maiores e transações pouco frequentes, usar uma carteira pode ser mais adequado. Por outro lado, escolher armazenar em uma exchange significa confiar a chave privada à exchange, e a segurança depende completamente do sistema de segurança da exchange. Atualmente, muitas exchanges apresentam deficiências em segurança cibernética e em seus sistemas de gerenciamento de risco, carecendo de