Главная
Новости
Подробнее

Омер Голдберг выделяет безопасность мультиподписи и уязвимости DeFi в анализе атаки Drift

iconCryptoBriefing
Поделиться
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconСводка

expand icon
Омер Голдберг, генеральный директор Chaos Labs, подчеркнул роль таймлока в мультиподписных схемах для блокировки неавторизованных транзакций. В недавнем рыночном анализе он проанализировал атаку на Drift, которая выявила уязвимости DeFi, такие как слабые админ-ключи и низкие пороги подписей. Он предупредил, что атаки становятся все более сложными и часто включают манипуляции с оракулами и рынками. Правильное белое списывание обеспечения и проектирование системы являются ключевыми, сказал он. Индекс страха и жадности остается полезным инструментом для отслеживания смены настроений на фоне растущих рисков.

Основные выводы

  • Временные блокировки играют ключевую роль в мультиподписных системах для предотвращения неавторизованных транзакций.
  • Атака Drift была выполнена кем-то с глубокими знаниями системы.
  • Минимальные требования к подписям в многоподписных системах могут привести к уязвимостям в безопасности.
  • Открытые пакеты могут быть использованы для получения корневого доступа к машинам разработчиков.
  • Безопасность административного ключа критически важна для предотвращения неавторизованного создания мультиподписи.
  • Фейковые токены с неограниченными параметрами могут манипулировать рынками и оракулами.
  • Сложные атаки часто включают несколько методов манипуляции.
  • Добавление активов в белый список в качестве обеспечения имеет решающее значение для кредитных приложений.
  • Долговременные nonce могут упростить пользовательский опыт, но создают риски безопасности.
  • Надежная архитектура системы необходима для эффективной безопасности и управления рисками.
  • Атака Drift подчеркивает необходимость улучшения мер безопасности в DeFi.
  • Понимание механики создания токенов может предотвратить манипуляции на рынке.
  • Совершенные атаки требуют сочетания технических и социальных инженерных тактик.

Вступление для гостя

Омер Голдберг — основатель и генеральный директор Chaos Labs. Ранее он работал техническим лидером в Instagram, разрабатывая мобильные решения для рекламы в сфере коммерции. В Chaos Labs он создал инфраструктуру, включая систему оракула Edge, которая обрабатывает объем более $200 млрд и обеспечивает безопасность крупных криптопротоколов.

Важность таймлоков в мультиподписных настройках

  • Отсутствие таймлок в многоподписной настройке может привести к серьезным уязвимостям в безопасности.

    — Омер Голдберг

  • Блокировки по времени обеспечивают дополнительную меру безопасности, откладывая выполнение транзакции.

  • Это мультиподпись была двух-ноль-пять мультиподписью, причем ни одна из функций, которые она могла выполнять, не имела таймлока.

    — Омер Голдберг

  • Без временных блокировок транзакции могут быть выполнены сразу после подписания, что увеличивает риски.
  • Временные блокировки помогают предотвратить неавторизованные транзакции, предоставляя время для вмешательства.

  • Блокировка по времени означает, что после подписания существует промежуток времени до фактического выполнения.

    — Омер Голдберг

  • Внедрение таймлоков может значительно повысить безопасность систем смарт-контрактов.
  • Многоподписные настройки без таймлока более уязвимы к эксплуатации.

Методичный характер атаки Drift

  • Атака на Drift была методичной и проведена человеком, глубоко разбирающимся в системе.

    — Омер Голдберг

  • Атакующий изучил программу и стратегически спланировал атаку.

  • Это был не случайный человек, который наткнулся на ключи.

    — Омер Голдберг

  • Сложность атаки указывает на сдвиг в сторону более организованных противников в крипто-сфере.
  • Такие атаки требуют глубокого понимания уязвимостей целевой системы.

  • Они были методичны и стратегичны в планировании и реализации всего.

    — Омер Голдберг

  • Атака Drift демонстрирует растущую сложность угроз в секторе DeFi.
  • Понимание сложности таких атак крайне важно для разработки эффективных мер безопасности.

Безопасностные последствия минимальных требований к подписям в мультиподписи

  • Компрометация многоподписной системы произошла из-за минимального требования к количеству подписей, что сделало её менее безопасной.

    — Омер Голдберг

  • Настройка мультиподписи 2 из 5 — это всего на один шаг выше, чем использование одного ключа, с точки зрения безопасности.

  • Это был не один ключ, а мультиподпись, однако это была мультиподпись 205.

    — Омер Голдберг

  • Минимальные требования к подписям могут сделать многоподписные настройки более уязвимыми к атакам.
  • Увеличение количества требуемых подписей может повысить безопасность.

  • Это как минимальная сумма подписей, которая вам понадобится в мультиподписи.

    — Омер Голдберг

  • Безопасность мультиподписных настроек напрямую зависит от количества требуемых подписей.
  • Понимание этих уязвимостей критически важно для улучшения протоколов безопасности мультиподписи.

Уязвимости в открытых пакетах и их последствия

  • Уязвимости могут быть внесены в популярные открытые пакеты, позволяя злоумышленникам получить доступ с правами root к машинам разработчиков.

    — Омер Голдберг

  • Злоумышленники могут изменять программное обеспечение с открытым исходным кодом, чтобы ввести уязвимости.

  • Если вы действительно можете получить контроль над одним из этих пакетов, вы просто вносите небольшое изменение.

    — Омер Голдберг

  • Эти изменения могут предоставить злоумышленникам доступ с правами root к скомпрометированным машинам.

  • При запуске на компьютере любого разработчика предоставляет вам root-доступ к машине.

    — Омер Голдберг

  • Безопасность программного обеспечения с открытым исходным кодом критически важна для предотвращения атак на цепочку поставок.
  • Понимание этих рисков необходимо для разработчиков, работающих с открытыми зависимостями.
  • Для обеспечения безопасности открытых проектов необходимы бдительность и регулярные аудиты.

Роль админ-ключей в хаке Drift

  • Взлом, скорее всего, был облегчен тем, что хакер имел предварительный доступ к админ-ключам.

    — Омер Голдберг

  • Админ-ключи позволили хакеру создать новый мультиподпись без ведома оригинального подписывающего лица.

  • Похоже, это было запланированное событие, и я считаю, что у хакера был какой-то доступ.

    — Омер Голдберг

  • Безопасность админ-ключей критически важна для предотвращения несанкционированного доступа и действий.

  • У него мог быть доступ к остальным ключам, и оттуда появились две подписи.

    — Омер Голдберг

  • Обеспечение безопасности админских ключей может предотвратить подобные эксплуатации в будущем.
  • Понимание роли админ-ключей необходимо для поддержания целостности системы.
  • Взлом Drift подчеркивает важность защиты админских ключей в децентрализованных системах.

Механика манипулирования рынком в DeFi

  • Эксплуатация включала создание мошеннического токена с неограниченными параметрами, позволяющими манипулировать рынком и оракулом.

    — Омер Голдберг

  • Мошеннические токены могут использоваться для манипулирования рыночными условиями и эксплуатации протоколов.

  • Сама монета CBT — это просто мошеннический токен, созданный с целью этой атаки.

    — Омер Голдберг

  • Атака использовала возможность добавления мошеннического токена в качестве нового обеспечительного актива.

  • Что имело установленные параметры без ограничений, бесконечные параметры и максимальные параметры — это рынок.

    — Омер Голдберг

  • Понимание механики токенов критически важно для предотвращения манипуляций на рынке.
  • Эксплуатация подчеркивает уязвимости в управлении залоговыми активами в DeFi.

  • Это позволило пользователю или эксплуататору добавить CBT в качестве нового обеспечительного актива на протоколе Drift.

    — Омер Голдберг

Сложность атак, использующих несколько методов

  • Атака была сложной и использовала множество методов манипулирования, включая манипулирование оракулом и рынком.

    — Омер Голдберг

  • Сложные атаки часто включают комбинацию технических и социальных инженерных методов.

  • Вот почему я снова говорю, что это сложно, потому что этот злоумышленник готовился.

    — Омер Голдберг

  • Манипуляция оракулами может быть критическим компонентом сложных атак на DeFi.

  • Существовала составляющая социальной инженерии, затем манипуляция оракулом и далее манипуляция рынком.

    — Омер Голдберг

  • Понимание этих методов имеет решающее значение для разработки комплексных мер безопасности.
  • Сложность таких атак подчеркивает необходимость надежных протоколов безопасности.
  • Атаки с использованием нескольких методов требуют глубокого понимания как технических, так и социальных уязвимостей.

Значение внесения обеспечения в белый список в кредитных приложениях

  • Возможность добавления активов в вайтлист в качестве залога в кредитных приложениях имеет решающее значение, так как она определяет кредитный лимит, предоставляемый против этих активов.

    — Омер Голдберг

  • Белый список определяет, какие активы могут использоваться в качестве залога в протоколах кредитования.

  • В любом приложении для кредитования или вault-приложении очень важно, какие активы могут быть внесены в белый список.

    — Омер Голдберг

  • Процесс внесения в белый список влияет на кредитные линии, доступные пользователям.
  • Понимание управления залогом необходимо для обеспечения стабильности кредитных приложений.

  • Вы увеличиваете кредитную линию против этих активов.

    — Омер Голдберг

  • Правильное управление залогом может предотвратить эксплуатацию и обеспечить целостность системы.
  • Безопасность кредитных приложений тесно связана с тем, как управляются и добавляются в белый список обеспечения.

Двойственная природа долговечных одноразовых значений в блокчейне

  • Использование долгосрочного nonce позволяет подписывать транзакции без ограничения по времени, что может упростить пользовательский опыт, но также создает уязвимости в безопасности.

    — Омер Голдберг

  • Долговечные nonce могут улучшить пользовательский опыт, убрав временные ограничения на транзакции.

  • Неоднократно используемый nonce по сути решает проблему возможности подписывать транзакции без срока действия.

    — Омер Голдберг

  • Однако они также могут быть использованы в злонамеренных целях, если злоумышленники получат доступ к ключам подписи.

  • Как только злоумышленник получил доступ к этим ключам, он смог подписать эти транзакции, не вызвав никаких срабатываний сигнализации.

    — Омер Голдберг

  • Понимание последствий долговременных nonce критически важно для балансировки удобства пользователей и безопасности.
  • Использование долговременных nonce требует тщательного учета потенциальных рисков безопасности.
  • Баланс между преимуществами и рисками долговечных nonce необходим для безопасной реализации блокчейна.

Фундаментальная роль архитектуры системы в безопасности

  • Надежная архитектура системы необходима для эффективной безопасности и управления рисками.

    — Омер Голдберг

  • Звучная архитектура — это основа безопасной и устойчивой системы.

  • Способ решения этой проблемы — это действительно хорошая архитектура и надежная система.

    — Омер Голдберг

  • Проактивные меры безопасности критически важны для предотвращения проблем с безопасностью до их возникновения.

  • Это номер один, это как после события.

    — Омер Голдберг

  • Понимание важности архитектуры системы критически важно для всех, кто связан с кибербезопасностью.
  • Хорошо спроектированная архитектура системы может предотвратить многие распространенные уязвимости безопасности.
  • Взлом Drift подчеркивает необходимость надежной архитектуры для предотвращения утечек безопасности.
Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации. Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.