Шифрувальна безпека: експерти аналізують крадіжку на 1,4 мільярда доларів та заходи безпеки в галузі

Нещодавно одна відома торговельна платформа зазнала шокуючої атаки хакерів, в результаті якої було вкрадено активи в шифруванні на суму до 1,4 мільярда доларів. Це не лише встановило рекорд найбільшої одноразової крадіжки в історії криптовалют, але й виявило величезні ризики, що приховані в швидкому розвитку галузі.

Як провідна компанія в сфері безпеки блокчейн, CertiK завжди проявляє високу пильність щодо таких загроз. Після інциденту команда CertiK швидко розпочала технічний аналіз, вказавши, що проблема "сліпого підпису" є ключовим фактором, що призвела до цього інциденту. Головний комерційний директор CertiK Джейсон Цзян у інтерв'ю детально пояснив причини виникнення сліпого підпису та настійно порадив користувачам перевіряти адресу транзакції щонайменше тричі під час проведення угод.

Коли його запитали про те, що верифікаційні вузли певного міжланцюгового мосту відмовляються скасувати транзакції, Джейсон відверто заявив, що поточна галузь все ще знаходиться в стані "західного безкраю". Він підкреслив, що для досягнення справжньої зрілості в індустрії Web3.0 необхідно активно приймати регулювання. Зважаючи на такий величезний обсяг хакерських атак, лише 4000 доларів США винагороди за вразливість явно є краплею в морі, що підкреслює серйозну недостатність вкладень у безпеку в цій галузі.

Джейсон вважає, що успіх цієї атаки зумовлений тим, що офіційний фронтальний скрипт коду певного багатопідписного гаманця був зловмисно замінений, що призвело до підписання злочинних угод без відома підписувачів. Хоча ймовірність такого випадку для звичайних користувачів є низькою, Джейсон все ж рекомендує користувачам вживати додаткових заходів безпеки, таких як використання холодних гаманців для зберігання активів, уважність до фішингових атак у соціальних мережах тощо.

Щодо безпеки апаратних гаманців, Джейсон зазначив, що якщо користувачі проведуть належну перевірку та залишаться пильними, ризики залишаються відносно низькими. Він підкреслив, що незалежно від суми угоди, слід уважно перевіряти адресу транзакції, особливо під час великих угод, слід повторно підтвердити.

Джейсон зазначив, що відсутність комплексного регулювання та заходів безпеки є важливою причиною постійного виникнення подібних подій. Він вважає, що індустрія шифрування повинна активно наближатися до регулювання та постійно підвищувати загальний рівень безпеки в галузі, щоб отримати широке визнання.

Хоча Джейсон висловив схвалення дій CEO певної торгової платформи після інциденту, він також зазначив, що раніше запропонована платформа винагорода за вразливість у розмірі 4000 доларів явно недостатня. Він рекомендував підвищити суму винагороди, щоб залучити більше талановитих людей до роботи з безпеки.

Нарешті, Джейсон закликав галузь більше цінувати внесок інженерів з безпеки. Він зазначив, що слід надавати інженерам з безпеки більше визнання та стимулів різними способами, включаючи грошові винагороди та почесні відзнаки, щоб забезпечити довгострокову безпеку та стабільний розвиток галузі.