האם ByBit יכול היה למנוע את הפריצה? כן - הנה איך

אני יודע שכולם מדברים על מתקפת ByBit, וזו כנראה המאמר המאה שקראתם בנושא, אבל אני עדיין חושב שכדאי לחלוק עליו כמה מחשבות.

מה קרה?

בקיצור, קבוצת Lazarus הצפון קוריאנית הצליחה לגנוב 1.5 מיליארד דולר מהארנק הקר של ByBit. הארנק הקר היה ארנק Safe multisig , והעסקה נחתמה על ידי כל הגורמים המורשים שכן, מממשק המשתמש, נראה היה שמדובר בעסקה חוקית לחלוטין.

מאוחר יותר התברר שממשק המשתמש הבטוח נפרץ. התוקפים השיגו אישורי AWS S3 ממחשב של מפתח, מה שאפשר להם לשנות את ממשק המשתמש.

זה הסיפור בקצרה. אני לא חושב שהפניית אצבעות או הטלת האשמה היא שימושית במיוחד. במקום זאת, הרבה יותר הגיוני להתמקד בנקודות המפתח וכיצד הטכנולוגיה הזו יכולה להיות בטוחה עוד יותר.

אני מבין שמבט לאחור הוא תמיד 20/20, ואני לא טוען שהייתי עושה יותר טוב. צוות ה-Safe עושה עבודה מצוינת, וכל מה שאדון כאן נוגע לרכיבים מחוץ ל-Safe עצמה (ארנק multisig מבוסס חוזים חכם).

צייצתי את מחשבותיי לאחר התקרית. במאמר זה, אני רוצה לפרט עליהם ביתר פירוט.

מודולים ושומרים

אחת התכונות הטובות ביותר של ארנק בטוח היא שניתן להרחיב את היכולות שלו באמצעות מודולים ומגנים . מודולים מוסיפים פונקציות חדשות לארנק, בעוד ששומרים מבצעים בדיקות לפני ביצוע עסקה. תכונות אלו הופכות את הארנק להתאמה אישית ומשפרות משמעותית את האבטחה שלו.

לדוגמה, אפשר להגביל את הארנק כך שיאפשר רק עסקאות ERC-20 (במקרה זה, העסקה הזדונית בוצעה באמצעות שיחת delegatecall ). קל גם ליישם כלל המחייב חתימות נוספות עבור עסקאות מעל סף מסוים - בדומה לאופן שבו בנקים מאפשרים למשתמשים להגדיר מגבלות לעסקאות בעלות ערך גבוה.

אפילו שימוש נכון רק בתכונה אחת זו יכול למנוע התקפות רבות או לפחות למזער הפסדים פוטנציאליים.

ממשק משתמש בלתי משתנה

כל מערכת חזקה רק כמו המרכיב החלש ביותר שלה. במקרה הזה, החוליה החלשה ביותר לא הייתה המפתח שאישורי ה-S3 שלו נגנבו - זה היה משהו הרבה יותר עמוק. לא משנה עד כמה טכנולוגיית Web3 מאובטחת (בלוקצ'יין וחוזים חכמים), אם ממשק המשתמש מבוסס Web2 פגיע, המערכת כולה נשארת בסיכון.

הפתרון הברור הוא להשתמש בממשק משתמש Web3 בלתי ניתן לשינוי. טכנולוגיות כמו IPFS, Ethereum Swarm או פתרונות אחסון אחרים של Web3 יכולים לספק זאת. היישום הפשוט ביותר הוא לאחסן את ה-hash של תוכן ממשק המשתמש כמשתנה קבוע בחוזה החכם, מה שמבטיח שכל שינוי בממשק המשתמש מחייב שינוי בחוזה החכם עצמו.

גישה זו קושרת באופן מלא את ממשק המשתמש לחוזה החכם, מה שהופך את זה לבלתי אפשרי לשנות את הממשק מבלי לפרוץ תחילה לחוזה עצמו. בעזרת פתרון פשוט זה, ניתן למנוע ביעילות התקפות מבוססות ממשק משתמש.

מכשיר נפרד

גם אם החוזה החכם מאובטח וממשק המשתמש אינו ניתן לשינוי, המערכת נשארת פגיעה אם ניתן להתפשר על מכשירי החותמים. אם תוקף מקבל גישה למכשיר של חותם, הוא עדיין יכול להחליף את ממשק המשתמש בצד הלקוח.

מסיבה זו, כל מי שמחזיק סכומים גדולים בארנק קר צריך להשתמש במכשיר ייעודי - למשל, אייפד - אך ורק לצורך חתימה על עסקאות. מכשיר זה אמור לשרת רק מטרה זו: לא מותקנות אפליקציות אחרות, אין דואר אלקטרוני או גלישה באינטרנט, רק הסביבה הדרושה לחתימה על עסקאות.

אם מישהו מנהל מיליארדי דולרים, הוצאה של כמה מאות דולרים על מכשיר חתימה ייעודי אינה הוצאה משמעותית.

ביקורת עסקאות חיצוניות אורקל

ניתן להוסיף מבקר חיצוני לארנק כחותם נוסף, מודול או שומר כדי לבדוק עסקאות ולחסום אותן אם הן נראות חשודות. איתור עסקאות חשודות כאלה יכול להיעשות באמצעות דפוסים פשוטים יחסית - למשל, העברת כמות גדולה מהרגיל של כספים או ביצוע קריאת נציג.

במקרה של עסקה חשודה, מערכת הביקורת החיצונית יכולה להודיע לחותמים, ולבקש מהם לבדוק את העסקה באופן ידני. אם הם עדיין רואים שזה לגיטימי, הם יכולים לחתום עליו מחדש כאישור, ולהוסיף שכבת אבטחה נוספת.

מַסְקָנָה

אין דבר כזה מערכת בלתי שבירה, אבל הפתרונות הפשוטים שפורטו לעיל יכולים להקשות משמעותית על התקפה. אם מישהו מנהל מיליארדי דולרים, כדאי מאוד להשקיע זמן ומאמץ ביישום אמצעי האבטחה הפשוטים הללו.

אני לא יכול להדגיש מספיק שכל הפתרונות האלה מבוססים על הארכיטקטורה המבריקה של Safe, ותכונות כמו מודולים ומגנים.

כמו שנאמר, מה שלא הורג אותך מחזק אותך. והיום, Safe חזקה מתמיד!