Головна
Новини
Детальніше

Омер Голдберг звертає увагу на безпеку мультипідписів та вразливості DeFi у аналізі атаки Drift

iconCryptoBriefing
Поділитися
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconКороткий зміст

expand icon
Омер Голдберг, генеральний директор Chaos Labs, зазначив роль часового блокування в мультипідписових системах для блокування неавторизованих транзакцій. У недавньому ринковому аналізі він розібрав атаку Drift, яка виявила недоліки DeFi, такі як слабкі адміністративні ключі та низький поріг підписів. Він попередив, що атаки стають все складнішими і часто включають маніпуляції з оракулами та ринком. Він сказав, що правильне біле списування коллатералу та проектування системи є ключовими. Індекс страху та жадібності залишається корисним інструментом для відстеження змін настроїв на тлі зростаючих ризиків.

Основні висновки

  • Блокування часу є критично важливим у багатопідписових налаштуваннях для запобігання неавторизованим транзакціям.
  • Атака Drift була здійснена особою з глибокими знаннями системи.
  • Мінімальні вимоги до підписів у багатопідписових налаштуваннях можуть призводити до вразливостей у безпеці.
  • Відкриті пакети можуть бути використані для отримання доступу з правами root до машин розробників.
  • Безпека адміністративного ключа є життєво важливою для запобігання неавторизованому створенню мультіпідписів.
  • Шахрайські токени з необмеженими параметрами можуть маніпулювати ринками та оракулами.
  • Складні атаки часто включають кілька методів маніпулювання.
  • Додавання активів до списку дозволених як забезпечення є критично важливим у кредитних застосунках.
  • Стійкі nonce можуть спростити досвід користувача, але створюють ризики безпеки.
  • Міцна архітектура системи є необхідною для ефективної безпеки та управління ризиками.
  • Атака Drift підкреслює необхідність покращення заходів безпеки в DeFi.
  • Розуміння механіки створення токенів може запобігти маніпулюванню ринком.
  • Складні атаки вимагають поєднання технічних і соціальних інженерних тактик.

Вступ гостя

Омер Голдберг — засновник і генеральний директор Chaos Labs. Раніше він був технічним лідером у Instagram, розробляючи мобільні досвіди для комерційної реклами. У Chaos Labs він розробив інфраструктуру, зокрема систему Edge oracle, яка обробляє понад 200 мільярдів доларів обсягу, забезпечуючи безпеку ключових криптовалютних протоколів.

Важливість тайм-локів у мультипідписових налаштуваннях

  • Відсутність тайм-локу в багатопідписовій налаштуванні може призвести до серйозних порушень безпеки.

    — Омер Голдберг

  • Блокування часу надає додатковий захист, відкладаючи виконання транзакції.

  • Цей мультіпідпис був мультіпідписом 2 з 5, і він не мав жодного тайм-лока на будь-які функції, які він міг виконувати.

    — Омер Голдберг

  • Без часового блокування транзакції можуть бути виконані негайно після підписання, що збільшує ризик.
  • Часові блокування допомагають запобігти неавторизованим транзакціям, надаючи час для втручання.

  • Блокування за часом означає, що після підписання існує період часу до його фактичного виконання.

    — Омер Голдберг

  • Впровадження таймлоків може значно підвищити безпеку систем смартконтрактів.
  • Налаштування мультіпідписів без таймлоків більш вразливі до експлуатації.

Методична природа атаки Drift

  • Атака на Drift була методичною і здійснена кимось із глибоким розумінням системи.

    — Омер Голдберг

  • Зловмисник вивчив програму та стратегічно спланував атаку.

  • Це не був випадковий людина, яка натрапила на ключі.

    — Омер Голдберг

  • Складність атаки свідчить про зміну на користь більш організованих противників у крипто-просторі.
  • Такі атаки вимагають глибокого розуміння вразливостей цільової системи.

  • Вони були методичними та стратегічними у плануванні та виконанні всього.

    — Омер Голдберг

  • Атака Drift є прикладом зростаючої складності загроз у секторі DeFi.
  • Розуміння складності таких атак є важливим для розробки ефективних заходів безпеки.

Безпекові наслідки мінімальних вимог до підписів у мультіпідписі

  • Компрометація багатопідписової системи була пов’язана з мінімальним вимогами до підписів, що зменшувало її безпеку.

    — Омер Голдберг

  • Налаштування мультіпідпису 2 з 5 — це лише на один крок вище за один ключ за рівнем безпеки.

  • Це не був один ключ, а мультіпідпис, проте це був 205-мультіпідпис.

    — Омер Голдберг

  • Мінімальні вимоги до підписів можуть зробити багатопідписові налаштування більш вразливими до атак.
  • Збільшення кількості необхідних підписів може підвищити безпеку.

  • Це мінімальна кількість підписів, які вам знадобляться для мультіпідпису.

    — Омер Голдберг

  • Безпека багатопідписових налаштувань безпосередньо пов’язана з кількістю необхідних підписів.
  • Розуміння цих вразливостей є критично важливим для покращення протоколів безпеки мультіпідписів.

Експлуатації в пакетах з відкритим кодом та їх вплив

  • Експлойти можуть бути внесені до популярних відкритих пакетів, що дозволяє нападникам отримати доступ з правами root до машин розробників.

    — Омер Голдберг

  • Зловмисники можуть змінювати відкрите програмне забезпечення, щоб ввести вразливості.

  • Якщо ви зможете отримати контроль над одним із цих пакетів, ви просто вносите дрібну зміну.

    — Омер Голдберг

  • Ці зміни можуть надати нападникам кореневий доступ до скомпрометованих пристроїв.

  • Після запуску на комп’ютері будь-якого розробника дає вам кореневий доступ до цього комп’ютера.

    — Омер Голдберг

  • Безпека програмного забезпечення з відкритим кодом є критично важливою для запобігання атакам на ланцюг поставок.
  • Розуміння цих ризиків є важливим для розробників, які працюють з відкритими залежностями.
  • Для забезпечення безпеки проектів з відкритим кодом необхідна уважність та регулярні аудити.

Роль адміністративних ключів у хаку Drift

  • Хак, ймовірно, був сприянний тим, що хакер мав попередній доступ до адміністративних ключів.

    — Омер Голдберг

  • Адміністративні ключі дозволили хакеру створити новий мультіпідпис без знання початкового підписувача.

  • Здається, це було запланованою подією, і я вважаю, що хакер мав певний тип доступу.

    — Омер Голдберг

  • Безпека адміністративних ключів є критично важливою для запобігання неавторизованому доступу та діям.

  • Він міг мати доступ до решти ключів, і саме звідси з’явилися дві підписи.

    — Омер Голдберг

  • Забезпечення безпеки адміністративних ключів може запобігти подібним експлойтам у майбутньому.
  • Розуміння ролі адміністративних ключів є важливим для підтримки цілісності системи.
  • Хак Drift підкреслює важливість захисту адміністративних ключів у децентралізованих системах.

Механізми маніпулювання ринком у DeFi

  • Експлойт полягав у створенні шахрайського токена з необмеженими параметрами, що дозволяли маніпулювати ринком та оракулом.

    — Омер Голдберг

  • Шахрайські токени можуть використовуватися для маніпулювання ринковими умовами та експлуатації протоколів.

  • Сама монета CBT — це просто скам-токен, створений з метою цієї атаки.

    — Омер Голдберг

  • Атака використала можливість додавання шахрайського токена як нового забезпечення.

  • Що мали встановленими параметрами без обмежень, нескінченними параметрами та максимальними параметрами — це ринок.

    — Омер Голдберг

  • Розуміння механіки токенів є критично важливим для запобігання маніпулюванню ринком.
  • Експлойт підкреслює вразливості у способі управління забезпечувальними активами в DeFi.

  • Це дозволило користувачеві чи експлуататору додати cbt як новий забезпечувальний актив на протоколі Drift.

    — Омер Голдберг

Складність атак з використанням кількох технік

  • Атака була складною і використовувала кілька методів маніпулювання, включаючи маніпулювання оракулами та ринком.

    — Омер Голдберг

  • Складні атаки часто включають поєднання технічних і соціальних інженерних тактик.

  • Це знову тому, що я кажу, що це складно, бо цей нападник готувався.

    — Омер Голдберг

  • Маніпуляція оракулами може бути критичним компонентом складних атак на DeFi.

  • Був елемент соціальної інженерії, а потім маніпуляція оракулом, а потім маніпуляція ринком.

    — Омер Голдберг

  • Розуміння цих методів є критично важливим для розробки всебічних заходів безпеки.
  • Складність таких атак підкреслює необхідність надійних протоколів безпеки.
  • Атаки з використанням кількох технік вимагають глибокого розуміння як технічних, так і соціальних вразливостей.

Значення внесення забезпечення до білого списку у застосунках позичання

  • Здатність додавати активи до білого списку як забезпечення в кредитних додатках є критично важливою, оскільки вона визначає розмір кредитного ліміту, що надається проти цих активів.

    — Омер Голдберг

  • Білий список визначає, які активи можна використовувати як забезпечення у кредитних протоколах.

  • У будь-якому застосунку для позичання або сейфів дуже важливо, які активи можуть бути додані до білого списку.

    — Омер Голдберг

  • Процес внесення до білого списку впливає на кредитні лінії, доступні користувачам.
  • Розуміння управління забезпеченням є важливим для підтримки стабільності кредитних застосунків.

  • Ви розширюєте кредитну лінію проти цих активів.

    — Омер Голдберг

  • Правильне управління забезпеченням може запобігти експлуатації та зберегти цілісність системи.
  • Безпека кредитних застосунків тісно пов’язана з тим, як управляють забезпеченням та додають його до білого списку.

Двоїста природа тривалих нонсів у блокчейні

  • Стале значення nonce дозволяє підписувати транзакції без терміну дії, що може спростити користувацький досвід, але також створює вразливості в безпеці.

    — Омер Голдберг

  • Стійкі nonce можуть покращити досвід користувача, прибравши часові обмеження на транзакції.

  • Невід’ємний нонс фактично вирішує те, що ви можете підписувати транзакції, які не мають терміну дії.

    — Омер Голдберг

  • Однак їх також можна використати зловмисниками, якщо вони отримають доступ до ключів підпису.

  • Як тільки нападник отримав доступ до цих ключів, він зміг підписати ці транзакції, не спровокувавши жодних сповіщень.

    — Омер Голдберг

  • Розуміння наслідків тривалих нонсів є важливим для балансування досвіду користувача та безпеки.
  • Використання довготривалих nonce вимагає уважного врахування потенційних ризиків безпеки.
  • Балансування переваг і ризиків тривалих нонсів є важливим для безпечних реалізацій блокчейну.

Фундаментальна роль архітектури системи у безпеці

  • Надійна архітектура системи є необхідною для ефективної безпеки та управління ризиками.

    — Омер Голдберг

  • Правильна архітектура є основою безпечній та стійкій системі.

  • Шляхом вирішення цього є налагодження добре продуманої архітектури та надійної системи.

    — Омер Голдберг

  • Профілактичні заходи безпеки є критично важливими для запобігання проблемам безпеки до їх виникнення.

  • Це номер один, це як після того, як це відбулося.

    — Омер Голдберг

  • Розуміння важливості архітектури системи є критичним для будь-кого, хто залучений до безпеки технологій.
  • Добре спроектована архітектура системи може запобігти багатьом поширеним проблемам безпеки.
  • Взлом Drift підкреслює необхідність надійної архітектури для запобігання порушенням безпеки.
Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації. Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.