Olisiko ByBit voinut estää hakkeroinnin? Kyllä – näin

Tiedän, että kaikki puhuvat ByBit-hyökkäyksestä, ja tämä on luultavasti sadas artikkeli, jonka olet lukenut aiheesta, mutta mielestäni on silti syytä jakaa muutama ajatus siitä.

Mitä tapahtui?

Lyhyesti sanottuna pohjoiskorealainen Lazarus Group onnistui varastamaan 1,5 miljardia dollaria ByBitin kylmälompakosta. Kylmälompakko oli Safe multisig -lompakko , ja tapahtuman allekirjoittivat kaikki valtuutetut osapuolet, koska käyttöliittymästä katsottuna se vaikutti täysin kelvolliselta tapahtumalta.

Myöhemmin kävi ilmi, että turvallinen käyttöliittymä oli vaarantunut. Hyökkääjät saivat AWS S3 -tunnisteet kehittäjän koneelta, mikä antoi heille mahdollisuuden muokata käyttöliittymää.

Siinä se tarina pähkinänkuoressa. Mielestäni sormella osoittaminen tai syyllisyyden osoittaminen ei ole erityisen hyödyllistä. Sen sijaan on paljon järkevämpää keskittyä tärkeimpiin noutomahdollisuuksiin ja siihen, kuinka tämä tekniikka voi olla entistä turvallisempaa.

Ymmärrän, että jälkikäteen on aina 20/20, enkä väitä, että olisin voinut tehdä paremmin. Safe-tiimi tekee erinomaista työtä, ja kaikki, mitä tässä käsittelen, koskee itse Safen ulkopuolisia komponentteja (älykäs sopimuspohjainen multisig-lompakko).

Twiittasin ajatukseni tapahtuman jälkeen. Tässä artikkelissa haluaisin käsitellä niitä yksityiskohtaisemmin.

Moduulit ja suojat

Yksi Safe-lompakon parhaista ominaisuuksista on, että sen ominaisuuksia voidaan laajentaa moduuleilla ja suojilla . Moduulit lisäävät lompakkoon uusia toimintoja, kun taas vartijat suorittavat tarkistuksia ennen tapahtuman suorittamista. Nämä ominaisuudet tekevät lompakosta erittäin muokattavan ja parantavat merkittävästi sen turvallisuutta.

On esimerkiksi mahdollista rajoittaa lompakko sallimaan vain ERC-20-tapahtumat (tässä tapauksessa haitallinen tapahtuma suoritettiin delegatecall kautta). On myös helppo ottaa käyttöön sääntö, joka vaatii lisäallekirjoituksia tietyn kynnyksen ylittäville tapahtumille – samalla tavalla kuin pankit antavat käyttäjien asettaa rajoja arvokkaille tapahtumille.

Jopa vain tämän yhden ominaisuuden oikea käyttö voi estää monia hyökkäyksiä tai ainakin minimoida mahdolliset menetykset.

Muuttumaton käyttöliittymä

Jokainen järjestelmä on vain niin vahva kuin sen heikoin osa on. Tässä tapauksessa heikoin lenkki ei ollut kehittäjä, jonka S3-tunnistetiedot varastettiin – se oli jotain paljon syvempää. Huolimatta siitä, kuinka turvallinen Web3-tekniikka on (lohkoketju ja älykkäät sopimukset), jos Web2-pohjainen käyttöliittymä on haavoittuvainen, koko järjestelmä pysyy vaarassa.

Ilmeinen ratkaisu on käyttää muuttumatonta Web3-käyttöliittymää. Tekniikat, kuten IPFS, Ethereum Swarm tai muut Web3-tallennusratkaisut, voivat tarjota tämän. Yksinkertaisin toteutus on tallentaa käyttöliittymän sisällön hash vakiomuuttujaksi älykkääseen sopimukseen, jolloin varmistetaan, että kaikki käyttöliittymän muutokset edellyttävät itse älykkään sopimuksen muokkaamista.

Tämä lähestymistapa sitoo käyttöliittymän täysin älykkääseen sopimukseen, mikä tekee käyttöliittymän muuttamisen mahdottomaksi hakkeroimatta ensin itse sopimusta. Tällä yksinkertaisella ratkaisulla käyttöliittymäpohjaiset hyökkäykset voidaan estää tehokkaasti.

Erillinen laite

Vaikka älykäs sopimus olisi turvallinen ja käyttöliittymä muuttumaton, järjestelmä pysyy haavoittuvana, jos allekirjoittajien laitteet voivat vaarantua. Jos hyökkääjä pääsee käsiksi allekirjoittajan laitteeseen, hän voi silti korvata asiakaspuolen käyttöliittymän.

Tästä syystä jokaisen, joka pitää suuria summia kylmässä lompakossa, tulisi käyttää erityistä laitetta, esimerkiksi iPadia, yksinomaan tapahtumien allekirjoittamiseen. Tämän laitteen tulisi palvella vain tätä tarkoitusta: muita sovelluksia ei ole asennettu, ei sähköpostia tai web-selailua, vain tarvittava ympäristö tapahtumien allekirjoittamiseen.

Jos joku hoitaa miljardeja dollareita, muutaman sadan dollarin käyttäminen erityiseen allekirjoituslaitteeseen on tuskin merkittävä kulu.

External Transaction Auditing Oracle

Ulkopuolinen tarkastaja voidaan lisätä lompakkoon lisäallekirjoittajaksi, moduuliksi tai vartijaksi tarkastelemaan tapahtumia ja estämään ne, jos ne vaikuttavat epäilyttävältä. Tällaiset epäilyttävät tapahtumat voidaan havaita käyttämällä suhteellisen yksinkertaisia malleja – esimerkiksi siirtämällä epätavallisen paljon varoja tai suorittamalla delegaattipuhelu.

Jos kyseessä on epäilyttävä tapahtuma, ulkoinen tarkastusjärjestelmä voi ilmoittaa allekirjoittajille ja pyytää heitä tarkistamaan tapahtuman manuaalisesti. Jos he pitävät sitä edelleen laillisena, he voivat allekirjoittaa sen uudelleen vahvistuksena, mikä lisää ylimääräistä suojaustasoa.

Johtopäätös

Sellaista asiaa kuin rikkoutumaton järjestelmä ei ole olemassa, mutta yllä kuvatut yksinkertaiset ratkaisut voivat tehdä hyökkäyksestä huomattavasti vaikeampaa. Jos joku hoitaa miljardeja dollareita, kannattaa käyttää aikaa ja vaivaa näiden yksinkertaisten turvatoimien toteuttamiseen.

En voi tarpeeksi korostaa, että kaikki nämä ratkaisut perustuvat Safen loistavaan arkkitehtuuriin ja ominaisuuksiin, kuten moduuleihin ja suojuksiin.

Kuten sanonta kuuluu, se mikä ei tapa, vahvistaa. Ja tänään Safe on vahvempi kuin koskaan!