Блокчейн безпекові інциденти трапляються часто, як захистити особисті активи?

Останніми роками, з появою децентралізованих фінансів ( DeFi ) та незамінних токенів ( NFT ) та інших продуктів на блокчейні, активи користувачів поступово переміщуються з централізованих платформ до децентралізованих гаманців, крос-ланцюгових мостів та кредитних протоколів. Однак, проекти на блокчейні та випадки крадіжки активів користувачів відбуваються все частіше, що призводить до того, що блокчейн жартома називають "банком для хакерів".

Деякі з цих інцидентів безпеки виникли через вразливості в коді, а інші стали наслідком людської недбалості. Наприклад, 20 вересня 2022 року, один крипто-маркетмейкер зазнав крадіжки коштів на суму 160 мільйонів доларів.

Людська помилка призвела до величезних втрат

Після події засновник маркет-мейкера заявив у соціальних мережах, що централізовані фінансові та позабіржові торговельні операції компанії не постраждали, а платоспроможність становить вдвічі більше, ніж залишковий капітал. Він підкреслив, що безпека коштів користувачів, які мають угоду з компанією, гарантована. Серед 90 викрадених активів лише два мають номінальну вартість понад 1 мільйон доларів, тому ймовірність виклику масових розпродажів є низькою.

Аналіз безпекової компанії виявив, що адреси хакерів пов'язані з певною анонімною торговою платформою та основними біржами. Приблизно 73% викрадених коштів становлять стейблкоїни, 8% – WBTC, 6% – ETH. Зловмисники внесли 114 мільйонів доларів США в певну децентралізовану біржу для надання ліквідності.

Експерти з безпеки припускають, що причиною крадіжки могла бути використання стороннього інструменту з уразливістю для створення адреси гаманця цим маркет-мейкером. Засновник компанії пізніше визнав, що вони дійсно використовували такі інструменти для створення гаманців у червні з метою оптимізації комісії. Хоча компанія вжила заходів після того, як дізналася про уразливість інструмента, через внутрішню операційну помилку не вдалося своєчасно видалити права підпису з уражених адрес.

Щодо повернення коштів, компанія заявила, що готова запропонувати хакерам 10% винагороди, приблизно 16 мільйонів доларів. Незважаючи на те, що цей інцидент стався через помилку внутрішньої особи, компанія заявила, що не звільнить співробітників, не змінить стратегію і не припинить діяльність у сфері DeFi.

Проте, дані на блокчейні свідчать про те, що компанія має борг у DeFi перед кількома контрагентами на суму понад 200 мільйонів доларів, з яких найбільший – це кредит у 92 мільйони доларів у USDT, який спливає в жовтні. Якщо вкрадені кошти не вдасться вчасно повернути, компанія може зіткнутися з борговою кризою.

Знову зазнали збитків через людські фактори

Варто зазначити, що це не вперше, коли цього маркет-мейкера втратили через людський фактор. У червні 2022 року, надаючи послуги ліквідності для одного з проектів Layer 2, через помилку в управлінні адресами було викрадено 20 мільйонів токенів.

Тоді фонд Layer 2 проекту запросив маркет-мейкерів надати послуги ліквідності та розподілив 20 мільйонів токенів як тимчасовий грант. Однак адреса отримання, надана маркет-мейкерами, була мультипідписною адресою в основній мережі Ethereum, а не адресою в мережі Layer 2. Це призвело до того, що маркет-мейкери не змогли отримати доступ до цих токенів, а хакери скористалися цим, розгорнувши власний мультипідписний контракт і контролюючи ці токени.

На щастя, хакер зрештою повернув більшість токенів, а маркет-мейкер пообіцяв повернути решту.

Поради щодо захисту особистих активів

У зв'язку з тим, що установи неодноразово зазнавали величезних втрат через людські помилки, особисті користувачі повинні ще більше звертати увагу на безпеку активів. Ось кілька порад:

1. Уникайте використання сторонніх інструментів для створення гаманця: сторонні інструменти можуть мати проблеми з безпекою, слід дотримуватися використання рідних крипто-гаманців.

2. Розгляньте можливість використання мультипідпису: для гаманців, що зберігають великі активи, мультипідпис може ефективно знизити ризики.

3. Обережно обробляйте приватний ключ: не копіюйте та не вставляйте приватний ключ, оскільки сторонні програми на пристрої можуть мати доступ до буфера обміну.

4. Уважно перевірте авторизацію операцій: під час використання DeFi продуктів обов'язково перевірте справжність доменного імені сайту та адреси смарт-контракту.

5. Розумне управління обсягами авторизації: намагайтеся уникати необмеженої авторизації, своєчасно скасовуйте непотрібні авторизації після використання. Ви можете управляти авторизацією за допомогою функції перевірки схвалення токенів у блокчейн-браузері.

У світі Блокчейн безпека має вирішальне значення. Оскільки активи на ланцюгу важко повернути після крадіжки та часто не мають юридичного захисту, користувачам слід особливо обережно ставитися до операцій на ланцюзі і робити все можливе для захисту своїх активів.