С технической точки зрения проанализированы проблемы безопасности учетных записей на бирже, указано, что установка контрольного поля в заголовке запроса может эффективно предотвратить кражу cookie.
Как опытный разработчик контрактов, я подчеркнул необходимость строгой безопасности в операциях с активами и поделился своими наблюдениями и опытом по безопасности на бирже.
Рассказывая о личном опыте, описывается процесс атаки хакеров, что напоминает всем о потенциальных рисках при использовании web3 кошельков.
В качестве специалиста по безопасности я проанализировал механизм арбитражных сделок и рекомендовал пользователям обращать внимание на вопросы разрешений при загрузке браузерных плагинов, чтобы избежать потенциальных рисков безопасности.
Поделился опытом работы в Manta, отвечая за researchcontent, подчеркнув важность сообщества в управлении DAO.
В свободной дискуссионной части эксперты провели глубокое обсуждение следующих вопросов:
Где безопаснее хранить личные активы: в кошельке или на бирже? Большинство участников считают, что это зависит от личных предпочтений пользователя в отношении риска, объема активов и частоты торгов. Кошелек предоставляет наивысшую безопасность, но менее удобен; в то время как биржа удобна, но безопасность зависит от ее системы безопасности.
Как повысить безопасность личных активов? Рекомендуется использовать стратегию разделения горячих и холодных кошельков, мультиподпись, быть настороже к фишинговым сайтам и мошеннической информации, а также регулярно проводить аудит аккаунтов и активов.
Роль регулирования в сфере криптовалют? Эксперты в целом считают, что умеренное вмешательство регуляторов способствует повышению безопасности активов, особенно в процессе их возврата после кражи.
Обзор Space
В инциденте с кражей активов пользователей Web3 на сумму до 500w, произошедшем 24 мая, хакеры успешно украли все средства на счетах пользователей, не получив пароли и информацию для двухфакторной аутентификации от аккаунтов одной из бирж. Ключевым моментом в этом инциденте стало то, что хакеры воспользовались уязвимостями в безопасности арбитражной торговли и браузерных плагинов. Так почему же арбитражная торговля и браузерные плагины позволили ворам достичь своей цели?
Обзор событий с точки зрения первой стороны
Я в криптомире с 2017 года, дважды пережил бычьи и медвежьи рынки, и 5 раз терял все. Что касается этого инцидента с кражей, я не использовал биржу, а воспользовался Web3 кошельком.
Пять дней назад, утром, после того как я покинул отель, я просматривал официальную информацию о проектах, в которые инвестировал. Я обнаружил, что под твитом официального аккаунта кто-то выдает себя за официальную доп. информацию, его имя пользователя было очень похоже на официальное ------ хотя аккаунты были разными. Обычно я не принимаю непонятные награды, но в тот раз мне неожиданно захотелось попробовать. Вернувшись домой, я вошел в кошелек и скопировал ссылку. Открыв ссылку в браузере кошелька, я увидел только кнопку "Подключить кошелек". Поскольку я не очень разбираюсь в технологиях, я подумал, что это обычная процедура. После подключения я понял, что нужно дать разрешение для перевода активов, но как только я подключился, я сразу почувствовал, что что-то не так. Тщательно проверив, я обнаружил, что название ссылки было неверным, и в этот момент я осознал, что, возможно, стал жертвой кражи. Это и был мой весь опыт. Спасибо.
Вопрос 1: Как защитить свои личные активы от хакерских атак?
Во-первых, учетная запись биржи и механизм вторичной проверки на самом деле предназначены для получения состояния входа пользователя, то есть того, что мы знаем как cookie. С помощью этого состояния можно обойти традиционный ввод логина и пароля и напрямую получить доступ к системе, что довольно распространено в сетевой атаке и защите.
С технической точки зрения, браузерные плагины имеют высокие привилегии и могут получать доступ ко всем данным сайта, включая куки пользователей. Например, менеджер паролей браузера является плагином, который может использовать JS-код для ввода имен пользователей и паролей в соответствующие поля ввода, поэтому он также может получать куки пользователей. Личным пользователям следует избегать установки браузерных плагинов из ненадежных источников. Если установка необходима, лучше сначала проверить исходный код, чтобы убедиться, что в нем нет подозрительных функций или ключевых слов для захвата куки.
Строго говоря, это не может считаться уязвимостью, и CVE не будет классифицировать это как уязвимость. Но с технической точки зрения, биржа совершенно способна избежать проблемы захвата аккаунта из-за утечки cookie пользователя. Например, можно установить токен или другие поля проверки в заголовке запроса, использовать эти поля проверки в качестве удостоверения пользователя, а не полагаться только на cookie, что может эффективно предотвратить кражу cookie. Это некоторые из моих размышлений.
С технической стороны Джим провел полный анализ, а я поделюсь своим мнением с точки зрения стратегии. Безопасные стратегии программного обеспечения многих банков в стране строгие, например, повторный ввод пароля после переключения экранов, что особенно важно при операциях с активами. Например, в одной из ранних бирж требовалось, чтобы пользователи устанавливать пароль для средств после входа в систему, чтобы разблокировать права на краткосрочную торговлю; хотя процесс был утомительным, он обеспечивал дополнительную безопасность. Однако с увеличением спроса на удобство торговли одна из бирж отменила эту стратегию, что оказалось недостаточно безопасным в отношении таких проблем, как сделки между собой.
Сделки с противоположными ордерами не являются новой проблемой; еще в 2021 году пользователи понесли убытки из-за подобных проблем. Это еще раз напоминает нам о том, что стратегии безопасности централизованных бирж необходимо срочно улучшить. Разработка стратегий безопасности должна находить баланс между удобством пользователей и защитой активов, чтобы предотвратить подобные инциденты с противоположными ордерами. Централизованные биржи, как важная часть охраны активов, должны придавать этому серьезное значение и постоянно оптимизировать свои механизмы безопасности.
Я хотел бы добавить важность пароля для средств на бирже. Пароль для средств может в определенной степени предотвратить кражу активов. Даже если хакеры вошли в аккаунт биржи, похитив cookie, без пароля для средств они не смогут проводить сделки.
Сделки с использованием другого аккаунта — это распространённый метод, хакеры могут выбрать криптовалюты с низкой ликвидностью, разместить ордера на счёте жертвы, а затем купить их со своего счёта по более низкой цене, тем самым переводя средства на свой счёт и вызывая убытки.
Кроме того, я хотел бы подчеркнуть безопасность браузерных плагинов. Плагины для браузера Chrome имеют большие права, и после загрузки браузер уведомит пользователей о необходимых плагином разрешениях. Я лично рекомендую для любых плагинов, которые выглядят как имеющие слишком большие или неясные разрешения, сначала прочитать описание разрешений, и если вы не уверены в их безопасности, лучше выбрать удаление, чтобы избежать использования. Это эффективный способ предотвращения подобных инцидентов безопасности.
Предыдущие гости уже охватили множество ключевых моментов. Я хотел бы добавить, что, во-первых, нам следует избегать загрузки плагинов из ненадежных источников, даже если некоторые плагины рекомендованы KOL. Мы также должны оставаться настороже по поводу тех, которые продвигались иностранными KOL. Иногда KOL или официальные представители проекта могут публиковать информацию оairdrops и других привилегиях, но даже в таких случаях я рекомендую всем сначала набраться терпения и не спешить участвовать. Потому что эта информация может исходить от украденных аккаунтов и содержать ложную информацию. В общем, осторожность – это ключевое слово, спасибо всем.
Вопрос 2: Как справиться с безопасностными вызовами технологии обмена лицами с использованием ИИ?
Технология дипфейков становится распространенным средством сетевых атак. Черный рынок использует эту технологию для создания поддельных материалов, запуска массовых атак и обхода аутентификации, например, с помощью недостатков для генерации поддельных лиц, чтобы осуществлять атаки.
В области безопасности файрволы не могут предотвратить такие атаки обхода аутентификации. Например, некоторые биржи могут полагаться только на единственную аутентификацию по лицу, когда пользователи забывают свои пароли, что приводит к отсутствию глубокой системы защиты и может вызвать уязвимости в безопасности. В условиях высокой безопасности, особенно при первом входе устройства или в необычной среде, не рекомендуется использовать только OCR и аутентификацию по лицу, следует комбинировать с двухфакторной аутентификацией, например, с SMS.
В области распознавания лиц противостояние алгоритмов является очень жестким, существует множество изменчивых характеристик и инструментов, и нельзя полагаться только на один алгоритм. Мы должны создать полную систему защиты лиц, как это делает Alipay, сочетая безопасность терминалов, систематическую противодействие алгоритмам и быстро реагируя на текущую обстановку.
Если человек столкнется с такой атакой и будет трудно провести расследование, ему следует немедленно связаться с биржей, чтобы сообщить о краже аккаунта, а также по возможности заморозить счет, изменить данные для доступа и включить двухфакторную аутентификацию. В то же время необходимо сохранить соответствующие доказательства и попытаться вернуть активы.
Хотя технология Deepfake является передовой, в процессе генерации могут возникнуть ошибки, такие как искажение лицевых признаков. В настоящее время применяемые меры безопасности уровня Alipay должны быть достаточными для решения таких проблем. Тем не менее, с точки зрения личной защиты, предоставление конкретных рекомендаций по защите является очень сложным.
Проблемы утечки личной информации и другие подобные вопросы широко распространены, и индивидуальным пользователям трудно самостоятельно предотвратить их. Я считаю, что необходимо призывать биржи и другие учреждения повысить безопасность распознавания лиц и стандарты сертификации, чтобы решить проблему с корня, а не заставлять пользователей самим изучать, как защититься. Личные защитные способности ограничены, требуется сотрудничество с компаниями безопасности и поддержка профессиональных технологий, это и есть лучшее решение.
Я хочу высказать свое мнение с точки зрения обычного пользователя. Хотя своевременное уведомление биржи о замораживании подозрительных аккаунтов является эффективной мерой, этот метод не идеален. Хакеры часто действуют организованно, и они очень быстро переводят активы. Я сам сталкивался с такой ситуацией, когда мои активы были украдены, и хакер быстро перевел их. Когда я связался с биржей, чтобы заморозить аккаунт противника, активы на счете уже были изъяты.
Это указывает на то, что нам трудно успевать за хакерами, когда речь идет о возврате похищенных активов. Процесс защиты прав очень сложен, так как мы часто находимся в невыгодном положении.
Что касается инцидента с ИИ, я считаю, что проблема заключается в недостаточной безопасности настроек биржи. Безопасность электронной почты относительно низка, обычно для изменения пароля требуется код подтверждения из электронной почты, код подтверждения с телефона или двухфакторная аутентификация. Однако в этом инциденте хакеры смогли обойти другие меры безопасности, просто загрузив удостоверение личности и видео с ИИ, что демонстрирует отсутствие мер по управлению рисками.
После сброса настроек безопасности биржа должна ограничить соответствующие действия как минимум на 24 часа и уведомить пользователей о состоянии сброса, чтобы у них было достаточно времени для реакции и защиты своих аккаунтов. Но в этом случае хакер перевел активы в течение 24 часов, что является недопустимым.
Я также сталкивался с ситуацией, когда после покупки стабильной монеты через C2C на одной из бирж не было никаких ограничений на вывод средств, что создает риск отмывания денег. На данный момент видно, что меры по управлению рисками на бирже требуют улучшения. Что касается отслеживания украденных активов, биржа реагирует медленно или требует предоставления большого количества документов, прежде чем заморозить аккаунт, что делает отслеживание и восстановление украденных активов крайне сложным. Несмотря на то, что мы пытаемся сотрудничать и общаться с биржей, это по-прежнему является сложной проблемой.
Я полностью согласен с мнением, высказанным ранее гостем. Во-первых, я считаю, что биржа должна немедленно изменить настройки безопасности и ограничить операции по выводу средств в течение 24 часов. Кроме того, хранение активов на бирже основано на предположении безопасности. Если внутри биржи кто-то продает информацию пользователей, это на самом деле трудно предотвратить. Как обычные пользователи, мы можем только сохранить доказательства, подать жалобу в биржу и защищать свои права, надеясь на компенсацию.
Кроме того, для обычных пользователей, включая меня, я рекомендую не хвастаться своим богатством на общественных местах или в социальных сетях, чтобы избежать раскрытия личной информации. Например, я узнал, что у одного друга из криптомира во время поездки на Бали, из-за того что он играл на телефоне на улице, его ограбила банда мотоциклистов, и на его телефоне была открыта его кошелек, что привело к краже активов. Поэтому нам следует избегать раскрытия своего финансового состояния на общественных местах.
Также ранее были случаи, когда хакеры распространяли троянские программы во время офлайн-мероприятий, использовав QR-коды для демонстрации проектов. Поэтому напоминаем всем, что при участии в различных мероприятиях нужно быть осторожными и не сканировать QR-коды или скачивать приложения из ненадежных источников. Это важные моменты, которые необходимо учитывать для защиты своих личных активов. Спасибо.
Вопрос три: Безопаснее ли хранить личные активы в кошельке или на бирже?
Что касается выбора хранения активов, я считаю, что это должно зависеть от личных предпочтений в отношении риска, объема активов и частоты сделок. Кошельки с частными ключами обеспечивают наивысший уровень безопасности, хотя могут жертвовать некоторой удобством. В то же время управление частными ключами имеет решающее значение, необходимо защищаться от фишинга и других атак социальной инженерии.
Для пользователей с большими активами и редкими сделками использование кошелька может быть более подходящим. Однако выбор хранения на бирже означает, что вы доверяете приватный ключ бирже, и безопасность полностью зависит от системы безопасности биржи. В настоящее время многие биржи имеют недостатки в области кибербезопасности и систем управления рисками.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
13 Лайков
Награда
13
7
Поделиться
комментарий
0/400
NotGonnaMakeIt
· 07-07 18:07
А это немного слишком понятно.
Посмотреть ОригиналОтветить0
LiquidityOracle
· 07-07 14:51
Снова вижу ловушку для стаканов, босс все понял.
Посмотреть ОригиналОтветить0
AirdropF5Bro
· 07-06 09:45
Старый мир криптовалют — это процесс F5.
Посмотреть ОригиналОтветить0
SleepTrader
· 07-06 09:42
Неудачники, которых обокрали несколько раз, наконец поняли.
Посмотреть ОригиналОтветить0
BakedCatFanboy
· 07-06 09:42
куки собираются украсть ааааа страшно
Посмотреть ОригиналОтветить0
StableNomad
· 07-06 09:30
фу... статистически говоря, 99% из этих "решений" не спасли бы жертв луны, честно говоря
Посмотреть ОригиналОтветить0
0xSoulless
· 07-06 09:25
Первая лекция для неудачников: учиться на потерях.
Эксперт по безопасности Web3 анализирует защиту счетов на бирже и стратегии защиты личных активов от кражи
Обзор мнений SPACEKOL
С технической точки зрения проанализированы проблемы безопасности учетных записей на бирже, указано, что установка контрольного поля в заголовке запроса может эффективно предотвратить кражу cookie.
Как опытный разработчик контрактов, я подчеркнул необходимость строгой безопасности в операциях с активами и поделился своими наблюдениями и опытом по безопасности на бирже.
Рассказывая о личном опыте, описывается процесс атаки хакеров, что напоминает всем о потенциальных рисках при использовании web3 кошельков.
В качестве специалиста по безопасности я проанализировал механизм арбитражных сделок и рекомендовал пользователям обращать внимание на вопросы разрешений при загрузке браузерных плагинов, чтобы избежать потенциальных рисков безопасности.
Поделился опытом работы в Manta, отвечая за researchcontent, подчеркнув важность сообщества в управлении DAO.
В свободной дискуссионной части эксперты провели глубокое обсуждение следующих вопросов:
Обзор Space
В инциденте с кражей активов пользователей Web3 на сумму до 500w, произошедшем 24 мая, хакеры успешно украли все средства на счетах пользователей, не получив пароли и информацию для двухфакторной аутентификации от аккаунтов одной из бирж. Ключевым моментом в этом инциденте стало то, что хакеры воспользовались уязвимостями в безопасности арбитражной торговли и браузерных плагинов. Так почему же арбитражная торговля и браузерные плагины позволили ворам достичь своей цели?
Обзор событий с точки зрения первой стороны
Я в криптомире с 2017 года, дважды пережил бычьи и медвежьи рынки, и 5 раз терял все. Что касается этого инцидента с кражей, я не использовал биржу, а воспользовался Web3 кошельком.
Пять дней назад, утром, после того как я покинул отель, я просматривал официальную информацию о проектах, в которые инвестировал. Я обнаружил, что под твитом официального аккаунта кто-то выдает себя за официальную доп. информацию, его имя пользователя было очень похоже на официальное ------ хотя аккаунты были разными. Обычно я не принимаю непонятные награды, но в тот раз мне неожиданно захотелось попробовать. Вернувшись домой, я вошел в кошелек и скопировал ссылку. Открыв ссылку в браузере кошелька, я увидел только кнопку "Подключить кошелек". Поскольку я не очень разбираюсь в технологиях, я подумал, что это обычная процедура. После подключения я понял, что нужно дать разрешение для перевода активов, но как только я подключился, я сразу почувствовал, что что-то не так. Тщательно проверив, я обнаружил, что название ссылки было неверным, и в этот момент я осознал, что, возможно, стал жертвой кражи. Это и был мой весь опыт. Спасибо.
Вопрос 1: Как защитить свои личные активы от хакерских атак?
Во-первых, учетная запись биржи и механизм вторичной проверки на самом деле предназначены для получения состояния входа пользователя, то есть того, что мы знаем как cookie. С помощью этого состояния можно обойти традиционный ввод логина и пароля и напрямую получить доступ к системе, что довольно распространено в сетевой атаке и защите.
С технической точки зрения, браузерные плагины имеют высокие привилегии и могут получать доступ ко всем данным сайта, включая куки пользователей. Например, менеджер паролей браузера является плагином, который может использовать JS-код для ввода имен пользователей и паролей в соответствующие поля ввода, поэтому он также может получать куки пользователей. Личным пользователям следует избегать установки браузерных плагинов из ненадежных источников. Если установка необходима, лучше сначала проверить исходный код, чтобы убедиться, что в нем нет подозрительных функций или ключевых слов для захвата куки.
Строго говоря, это не может считаться уязвимостью, и CVE не будет классифицировать это как уязвимость. Но с технической точки зрения, биржа совершенно способна избежать проблемы захвата аккаунта из-за утечки cookie пользователя. Например, можно установить токен или другие поля проверки в заголовке запроса, использовать эти поля проверки в качестве удостоверения пользователя, а не полагаться только на cookie, что может эффективно предотвратить кражу cookie. Это некоторые из моих размышлений.
С технической стороны Джим провел полный анализ, а я поделюсь своим мнением с точки зрения стратегии. Безопасные стратегии программного обеспечения многих банков в стране строгие, например, повторный ввод пароля после переключения экранов, что особенно важно при операциях с активами. Например, в одной из ранних бирж требовалось, чтобы пользователи устанавливать пароль для средств после входа в систему, чтобы разблокировать права на краткосрочную торговлю; хотя процесс был утомительным, он обеспечивал дополнительную безопасность. Однако с увеличением спроса на удобство торговли одна из бирж отменила эту стратегию, что оказалось недостаточно безопасным в отношении таких проблем, как сделки между собой.
Сделки с противоположными ордерами не являются новой проблемой; еще в 2021 году пользователи понесли убытки из-за подобных проблем. Это еще раз напоминает нам о том, что стратегии безопасности централизованных бирж необходимо срочно улучшить. Разработка стратегий безопасности должна находить баланс между удобством пользователей и защитой активов, чтобы предотвратить подобные инциденты с противоположными ордерами. Централизованные биржи, как важная часть охраны активов, должны придавать этому серьезное значение и постоянно оптимизировать свои механизмы безопасности.
Я хотел бы добавить важность пароля для средств на бирже. Пароль для средств может в определенной степени предотвратить кражу активов. Даже если хакеры вошли в аккаунт биржи, похитив cookie, без пароля для средств они не смогут проводить сделки.
Сделки с использованием другого аккаунта — это распространённый метод, хакеры могут выбрать криптовалюты с низкой ликвидностью, разместить ордера на счёте жертвы, а затем купить их со своего счёта по более низкой цене, тем самым переводя средства на свой счёт и вызывая убытки.
Кроме того, я хотел бы подчеркнуть безопасность браузерных плагинов. Плагины для браузера Chrome имеют большие права, и после загрузки браузер уведомит пользователей о необходимых плагином разрешениях. Я лично рекомендую для любых плагинов, которые выглядят как имеющие слишком большие или неясные разрешения, сначала прочитать описание разрешений, и если вы не уверены в их безопасности, лучше выбрать удаление, чтобы избежать использования. Это эффективный способ предотвращения подобных инцидентов безопасности.
Предыдущие гости уже охватили множество ключевых моментов. Я хотел бы добавить, что, во-первых, нам следует избегать загрузки плагинов из ненадежных источников, даже если некоторые плагины рекомендованы KOL. Мы также должны оставаться настороже по поводу тех, которые продвигались иностранными KOL. Иногда KOL или официальные представители проекта могут публиковать информацию оairdrops и других привилегиях, но даже в таких случаях я рекомендую всем сначала набраться терпения и не спешить участвовать. Потому что эта информация может исходить от украденных аккаунтов и содержать ложную информацию. В общем, осторожность – это ключевое слово, спасибо всем.
Вопрос 2: Как справиться с безопасностными вызовами технологии обмена лицами с использованием ИИ?
Технология дипфейков становится распространенным средством сетевых атак. Черный рынок использует эту технологию для создания поддельных материалов, запуска массовых атак и обхода аутентификации, например, с помощью недостатков для генерации поддельных лиц, чтобы осуществлять атаки.
В области безопасности файрволы не могут предотвратить такие атаки обхода аутентификации. Например, некоторые биржи могут полагаться только на единственную аутентификацию по лицу, когда пользователи забывают свои пароли, что приводит к отсутствию глубокой системы защиты и может вызвать уязвимости в безопасности. В условиях высокой безопасности, особенно при первом входе устройства или в необычной среде, не рекомендуется использовать только OCR и аутентификацию по лицу, следует комбинировать с двухфакторной аутентификацией, например, с SMS.
В области распознавания лиц противостояние алгоритмов является очень жестким, существует множество изменчивых характеристик и инструментов, и нельзя полагаться только на один алгоритм. Мы должны создать полную систему защиты лиц, как это делает Alipay, сочетая безопасность терминалов, систематическую противодействие алгоритмам и быстро реагируя на текущую обстановку.
Если человек столкнется с такой атакой и будет трудно провести расследование, ему следует немедленно связаться с биржей, чтобы сообщить о краже аккаунта, а также по возможности заморозить счет, изменить данные для доступа и включить двухфакторную аутентификацию. В то же время необходимо сохранить соответствующие доказательства и попытаться вернуть активы.
Хотя технология Deepfake является передовой, в процессе генерации могут возникнуть ошибки, такие как искажение лицевых признаков. В настоящее время применяемые меры безопасности уровня Alipay должны быть достаточными для решения таких проблем. Тем не менее, с точки зрения личной защиты, предоставление конкретных рекомендаций по защите является очень сложным.
Проблемы утечки личной информации и другие подобные вопросы широко распространены, и индивидуальным пользователям трудно самостоятельно предотвратить их. Я считаю, что необходимо призывать биржи и другие учреждения повысить безопасность распознавания лиц и стандарты сертификации, чтобы решить проблему с корня, а не заставлять пользователей самим изучать, как защититься. Личные защитные способности ограничены, требуется сотрудничество с компаниями безопасности и поддержка профессиональных технологий, это и есть лучшее решение.
Я хочу высказать свое мнение с точки зрения обычного пользователя. Хотя своевременное уведомление биржи о замораживании подозрительных аккаунтов является эффективной мерой, этот метод не идеален. Хакеры часто действуют организованно, и они очень быстро переводят активы. Я сам сталкивался с такой ситуацией, когда мои активы были украдены, и хакер быстро перевел их. Когда я связался с биржей, чтобы заморозить аккаунт противника, активы на счете уже были изъяты.
Это указывает на то, что нам трудно успевать за хакерами, когда речь идет о возврате похищенных активов. Процесс защиты прав очень сложен, так как мы часто находимся в невыгодном положении.
Что касается инцидента с ИИ, я считаю, что проблема заключается в недостаточной безопасности настроек биржи. Безопасность электронной почты относительно низка, обычно для изменения пароля требуется код подтверждения из электронной почты, код подтверждения с телефона или двухфакторная аутентификация. Однако в этом инциденте хакеры смогли обойти другие меры безопасности, просто загрузив удостоверение личности и видео с ИИ, что демонстрирует отсутствие мер по управлению рисками.
После сброса настроек безопасности биржа должна ограничить соответствующие действия как минимум на 24 часа и уведомить пользователей о состоянии сброса, чтобы у них было достаточно времени для реакции и защиты своих аккаунтов. Но в этом случае хакер перевел активы в течение 24 часов, что является недопустимым.
Я также сталкивался с ситуацией, когда после покупки стабильной монеты через C2C на одной из бирж не было никаких ограничений на вывод средств, что создает риск отмывания денег. На данный момент видно, что меры по управлению рисками на бирже требуют улучшения. Что касается отслеживания украденных активов, биржа реагирует медленно или требует предоставления большого количества документов, прежде чем заморозить аккаунт, что делает отслеживание и восстановление украденных активов крайне сложным. Несмотря на то, что мы пытаемся сотрудничать и общаться с биржей, это по-прежнему является сложной проблемой.
Я полностью согласен с мнением, высказанным ранее гостем. Во-первых, я считаю, что биржа должна немедленно изменить настройки безопасности и ограничить операции по выводу средств в течение 24 часов. Кроме того, хранение активов на бирже основано на предположении безопасности. Если внутри биржи кто-то продает информацию пользователей, это на самом деле трудно предотвратить. Как обычные пользователи, мы можем только сохранить доказательства, подать жалобу в биржу и защищать свои права, надеясь на компенсацию.
Кроме того, для обычных пользователей, включая меня, я рекомендую не хвастаться своим богатством на общественных местах или в социальных сетях, чтобы избежать раскрытия личной информации. Например, я узнал, что у одного друга из криптомира во время поездки на Бали, из-за того что он играл на телефоне на улице, его ограбила банда мотоциклистов, и на его телефоне была открыта его кошелек, что привело к краже активов. Поэтому нам следует избегать раскрытия своего финансового состояния на общественных местах.
Также ранее были случаи, когда хакеры распространяли троянские программы во время офлайн-мероприятий, использовав QR-коды для демонстрации проектов. Поэтому напоминаем всем, что при участии в различных мероприятиях нужно быть осторожными и не сканировать QR-коды или скачивать приложения из ненадежных источников. Это важные моменты, которые необходимо учитывать для защиты своих личных активов. Спасибо.
Вопрос три: Безопаснее ли хранить личные активы в кошельке или на бирже?
Что касается выбора хранения активов, я считаю, что это должно зависеть от личных предпочтений в отношении риска, объема активов и частоты сделок. Кошельки с частными ключами обеспечивают наивысший уровень безопасности, хотя могут жертвовать некоторой удобством. В то же время управление частными ключами имеет решающее значение, необходимо защищаться от фишинга и других атак социальной инженерии.
Для пользователей с большими активами и редкими сделками использование кошелька может быть более подходящим. Однако выбор хранения на бирже означает, что вы доверяете приватный ключ бирже, и безопасность полностью зависит от системы безопасности биржи. В настоящее время многие биржи имеют недостатки в области кибербезопасности и систем управления рисками.