Ito ang Pinakamasamang Taon para sa Crypto Hacks. Narito Kung Paano Magiging Mas Mahusay ang 2023

Sa nakalipas na 12 buwan, ang Crypto ay nakakita ng nakakabagabag na baha ng mga pag-atake at pagsasamantala. Napakaraming masusubaybayan – isa itong isyu na kailangang-kailangan na matugunan.

Sa kabutihang palad, may pag-asa. Maaaring palakihin ng mga protocol ang kanilang laro pagdating sa auditing code, pagsubaybay sa aktibidad ng network at pagtatakda ng malinaw na mga plano sa pagtugon sa pag-atake kapag may nangyaring pagsasamantala. Kung papansinin ng industriya at ipapatupad ang mga proteksiyong ito, napakatotoo ng mga taon na tulad nito ay mananatili sa rear view mirror.

Nagtatrabaho si Stephen Lloyd Webber sa marketing ng produkto sa OpenZeppelin, isang Crypto cybersecurity tech company. Ang artikulong ito ay bahagi ng CoinDesk's Crypto 2023 serye.

Ang salot ng mga pag-atake

Ayon sa Chainalysis, Ang 2022 ay nasa landas na maging ang pinakamasamang taon na naitala para sa mga pondong ninakaw sa pamamagitan ng mga hack at pagsasamantala. Mga $3 bilyon ang ninakaw, sa huling bilang.

Ang Na-hack si Ronin ay partikular na kapansin-pansin. Noong Marso, kinuha ng Lazarus Group na nauugnay sa North Korean ang humigit-kumulang $620 milyon na halaga ng ETH at USDC mula sa Ronin Network, isang sidechain na ginawa para sa sikat na larong Web3 Axie Infinity.

Ang pinaka nakakagulat ay inabot ng mahigit isang linggo bago matuklasan ang pag-atakeng ito. Nabawi ng mga opisyal ng pagpapatupad ng batas ang humigit-kumulang $30 milyon ng mga ninakaw na pondo at nagawang mag-freeze ng Binance ng karagdagang $5.8 milyon, ngunit ang karamihan ng mga asset ay nananatili sa ilalim ng kontrol ng mga hacker.

Hindi pa rin nakukuha ang mga pondo mula sa Wormhole bridge pag-atake noong Pebrero. Ang tulay na ito, na nag-uugnay sa Ethereum, Solana, Avalanche at iba pang blockchain network, ay hindi ang unang inaatake, ngunit maaaring ito ang pinakakilala. Kahit papaano ay nakapag-mint ang isang attacker ng 120,000 wrapped ether, o wETH, nang hindi kinakailangang maglagay ng anumang collateral. Pagkatapos ay na-convert nila ang libreng wETH na iyon sa regular ETH at SOL, na nakuha ang kanilang sarili ng $320 milyon. Habang ang mga pondong ito ay hindi pa nakuhang muli, ang Jump Trading ay pumasok upang mag-iniksyon ng Wormhole ng 120,000 ETH upang maibalik sa operasyon ang tulay.

Read More: Sa Mataas na Rekord na Mga Hack, Kailangang Makahanap ng Crypto ng Mas Mabuting Paraan para KEEP Ligtas ang Mga User

Ang listahan ay nagpapatuloy. Nomad na tulay nawala $190 milyon. Wintermute, isang decentralized Finance (DeFi) platform, ay tinamaan ng $160 milyon. Kahit isang Binance BNB Network ang tulay ay pinagsamantalahan para sa $100 milyon. May kailangang gawin upang gawing mas secure ang mga serbisyo ng Cryptocurrency laban sa mga hack at pagsasamantala.

Paano sumulong

Ang mabuting balita ay ang mga bagay T kailangang manatiling kasing katakut-takot ngayon. Makakakita tayo ng mas kaunting pag-atake, o hindi bababa sa pagaanin ang epekto nito, sa 2023 at higit pa kung ang mga Crypto platform at protocol ay handang palawakin ang kanilang mga pagsisikap sa pagtatanggol. Ito ay maaaring dumating sa iba't ibang anyo, ngunit lahat ay nagsasangkot ng pinahusay na pagsubaybay pati na rin ang mga proactive na sistema na nakalagay upang tumugon kapag may nangyaring kaganapan.

Ang unang linya ng depensa ay para sa lahat ng smart contract code na maingat na i-audit ng mga kagalang-galang, third-party na source. Ang mga resulta ng mga pag-audit na ito ay dapat ding malinaw na ibinahagi sa komunidad, upang maayos na ibunyag ang anumang mga problemang natagpuan at kung ano ang ginawa upang ayusin ang mga ito.

Gayunpaman, T sapat ang isang beses na pag-audit sa seguridad (tulad ng nakita natin sa maraming DeFi platform na na-audit at na-hack). Sa halip, sa tuwing ina-update ang code, dapat magsagawa ng mga bagong pag-audit. Titiyakin nito na walang mga bagong isyu na ipinakilala. Kahit na ang isang maliit na pagbabago sa code ay maaaring magkaroon ng mga hindi inaasahang epekto, at napakahalaga para sa mga team na magpatibay ng isang mas nakasentro sa seguridad na paninindigan habang sila ay bumubuo at nagde-deploy ng mga matalinong kontrata.

Mahalaga ang mga pag-audit, ngunit kung sapat ang mga ito, T makikita ng espasyo ng Crypto ang napakaraming mga pagsasamantalang ito. Kahit na masusing sinubok at mahusay na na-audit na code ay kailangang i-deploy sa paraang nagbibigay-daan sa mga koponan ng kakayahang magbantay laban sa mga potensyal na vector ng panganib. Kung walang matatag na seguridad at pagsubaybay sa pagpapatakbo na sumusubaybay sa estado ng mga privileged na account pati na rin sa mas malawak na ugnayan sa pagitan ng mga bahagi ng system at estado ng blockchain, hindi mapagkakatiwalaan ng mga user na ligtas ang kanilang mga pondo.

Ito ang dahilan kung bakit kailangan ng mas real-time, proactive na diskarte sa seguridad para sa mga desentralisadong serbisyo. Ang mga proyekto ay kailangang magkaroon ng mga sistema na aktibong sumusubaybay sa mga transaksyon sa isang partikular na platform at maaaring makakita ng anomalya o kahina-hinalang aktibidad tulad ng biglaang pagtaas ng paggamit, mga pagbabago sa presyo o pakikipag-ugnayan sa mga naka-blacklist na account pati na rin ang mga panukala sa pamamahala na isinumite gamit ang flash loan.

Sa maraming mga kaso, ang unang senyales ng isang pag-atake ay eksakto iyon - ang mga transaksyon ay hindi pangkaraniwang malaki at/o marami ang pupunta sa parehong address sa isang napakaikling panahon. Ang kakayahang matukoy ang mga Events ito habang nangyayari ang mga ito ay makakatulong sa mga team na manatiling may kaalaman tungkol sa mga potensyal na banta. Binubuksan din nito ang pinto para maging awtomatiko ang mga naturang hakbang, inaalis o pinapaliit ang pangangailangan para sa pakikipag-ugnayan ng Human .

Read More: Ang pagtawag sa isang Hack na isang Exploit ay nagpapaliit ng Human Error | Opinyon

Panghuli, kahit na ang pinakapinong nakatutok na pagsubaybay sa pagpapatakbo at seguridad ay limitado sa pagiging matulungin nang walang anumang uri ng sistema ng pagtugon sa lugar. Maaaring planuhin ng isang team na lubusang nagmapa sa mga attack vector ng kanilang mga system ang kanilang mga tugon bago ang isang aktwal na insidente sa seguridad. Ang mga pagsusuri sa usok at masusing pagpaplano ay isang mahalagang hakbang sa direksyong ito upang batay sa mga alerto ay masuri ng bawat may-katuturang aktor ang sitwasyon at mabilis na tumugon dito. Nangangahulugan ito na ang mga hakbang upang ihinto at ibalik ang pinsala ay maaaring gawin sa loob ng ilang oras o kahit minuto, sa halip na mga araw o linggo.

Kahit na sa kaganapan na may pagkawala ng mga pondo, ang isang mabilis na pagtugon ay mahalaga upang maiwasan ang karagdagang pagkawala ng mga pondo. Maaari rin itong makatulong na palakasin ang tiwala sa koponan sa likod ng isang protocol, kahit na ang system ay naipakita na nasa panganib.

Habang nagiging nasa lahat ng dako ang mentalidad na nakauuna sa seguridad, makakatulong din ito na pigilan ang mga umaatake na subukan ang mga ganitong pagsasamantala sa simula pa lang, dahil malalaman nila na agad silang makikita. Ang mga pagsusumikap sa pagsubaybay sa seguridad na pinangungunahan ng komunidad ay nakakatulong na matiyak ang seguridad ng pangkalahatang ecosystem sa pamamagitan ng pagbibigay-insentibo sa naturang pagsubaybay at pagpapahintulot sa sinuman na magkaroon ng window sa pagpapatakbo ng kalusugan ng mga protocol sa blockchain.

Tiyak, T nangangahulugang "ONE sukat na angkop sa lahat" na solusyon para sa bawat proyekto sa labas, ngunit ang lahat ng mga protocol ay maaaring makinabang mula sa isang kumbinasyon ng mga umuulit na pag-audit, aktibong seguridad at pagsubaybay sa pagpapatakbo ng kanilang mga network, at isang awtomatikong abiso sa insidente at sistema ng pagtugon.

Ang mga naturang aksyon ay napatunayang kailangan, at ang mga ito ay mga hakbang na ginawa ng mga nangungunang manlalaro sa Web3 ecosystem gaya ng Compound Finance at Matter Labs. Kung mas maraming koponan ang gagawa ng mga hakbang tulad ng mga ito, sana ang 2022 ay ang huling taon kung saan ang Crypto ay nagtatakda ng mga tala para sa pinakamaraming pera na ninakaw sa pamamagitan ng pagsasamantala. Kung mas maagang pumasok ang mas malawak na industriya, mas mabilis na maiiwan ang mga Events ito sa nakaraan.