ຄວາມປອດໄພແມ່ນບາງສິ່ງທີ່ຂ້າພະເຈົ້າໄດ້ຮັບການແກ້ໄຂສໍາລັບການທີ່ຜ່ານມາ 15-17 ປີ. ບໍ່ວ່າເຈົ້າຮູ້ຫຼາຍປານໃດ, ຈະມີຄົນທີ່ສະຫຼາດກວ່າ, ໄວກວ່າ, ຫຼືເຂັ້ມແຂງກວ່າສະເໝີ. ຢ່າງໃດກໍຕາມ, ມີຂໍ້ກໍານົດແລະຫຼັກການພື້ນຖານທີ່ບໍ່ຄວນຖືກລະເມີດ.
ປະສົບການຂອງ Bybit ເປັນຕົວຢ່າງໂດຍສະເພາະສໍາລັບຂ້ອຍເພາະວ່າພະນັກງານຂອງການແລກປ່ຽນໄດ້ລະເລີຍວິທີການຄວາມປອດໄພທີ່ສໍາຄັນທັງຫມົດ - ຈາກຫຼັກການພື້ນຖານແລະບໍ່ມີຕົວຕົນໄປສູ່ມາດຕະການລະອຽດ.
ດັ່ງນັ້ນ, ຂ້າພະເຈົ້າຈະວິເຄາະລັກສະນະທີ່ສໍາຄັນຈໍານວນຫນຶ່ງໂດຍອີງໃສ່ການ hack ນີ້.
ຫຼັກການສູນຄວາມປອດໄພ
ຫລາຍປີກ່ອນ, ຂ້າພະເຈົ້າໄດ້ສ້າງຫຼັກການນີ້ສໍາລັບຕົນເອງ: "ລະບົບໃດກໍ່ຕາມສາມາດຖືກ hack ໄດ້. ຄໍາຖາມດຽວແມ່ນເວລາ, ເງິນ, ແລະຄວາມພະຍາຍາມ." ຖ້າການແຮັກລະບົບຂອງທ່ານໃຫ້ຜົນຕອບແທນ $1M ໃນຂະນະທີ່ໃຫ້ຜູ້ໂຈມຕີພຽງແຕ່ $10K, ລະບົບຈະຖືກແຮັກແນ່ນອນ. ຢ່າງໃດກໍຕາມ, ຖ້າການ hacking ຕ້ອງການ $ 1.1 ລ້ານ, ຫຼັງຈາກນັ້ນຄໍາຖາມຈະກາຍເປັນ: ເປັນຫຍັງ bother? ເວັ້ນເສຍແຕ່, ແນ່ນອນ, ສິ່ງລະດົມໃຈແມ່ນເພື່ອທໍາຮ້າຍຄູ່ແຂ່ງຫຼືດໍາເນີນການໂຈມຕີທາງອິນເຕີເນັດໂດຍລັດ.
ຫຼັກການນີ້ແມ່ນແນ່ນອນສິ່ງທີ່ພະນັກງານຂອງ Bybit ລະເມີດ. ອີງຕາມການສໍາພາດໃນເບື້ອງຕົ້ນ, ພວກເຂົາເຈົ້າເຊື່ອວ່າລະບົບຂອງເຂົາເຈົ້າ invulnerable. ແຕ່ປ້າຍລາຄາ $1.4B ໄດ້ປ່ຽນແປງທຸກຢ່າງ.
ບໍ່ວ່າທ່ານຈະເຮັດວຽກຢູ່ໃສ, ທ່ານຕ້ອງເຂົ້າໃຈວ່າ ສິ່ງໃດ ສາມາດຖືກແຮັກໄດ້, ທຸກເວລາ , ແລະ ຢ່າງໃດກໍ່ຕາມ . ຕົວແປພຽງແຕ່ແມ່ນເງິນ, ເວລາ, ແລະຄວາມພະຍາຍາມ. ຮູ້ແນວນີ້, ຂໍໃຫ້ກ້າວໄປຂ້າງຫນ້າ ...
ເປັນ Hardware Wallet + Multisig ປອດໄພບໍ?
ແມ່ນ ແລະ ບໍ່. ກະເປົາເງິນຮາດແວໄດ້ຖືກໂຈມຕີຢູ່ສະເໝີ — Ledger ແລະ Trezor ແມ່ນຕົວຢ່າງຫຼັກ. ຍີ່ຫໍ້ອື່ນໆມີລາຄາຮ້າຍແຮງກວ່າເກົ່າ.
ຢ່າງໃດກໍຕາມ, ທ່ານສາມາດຫຼຸດຜ່ອນຄວາມສ່ຽງແລະຫຼຸດຜ່ອນຜົນກະທົບທາງລົບໃນເວລາທີ່ການນໍາໃຊ້ hardware/multisig wallets.
ນີ້ແມ່ນບາງຄໍາແນະນໍາທີ່ລວບລວມຈາກນັກຄົ້ນຄວ້າແລະປະສົບການສ່ວນຕົວ:
- ຢືນຢັນສິ່ງທີ່ທ່ານກຳລັງເຊັນ : ໃຫ້ແນ່ໃຈວ່າສິ່ງທີ່ທ່ານເຫັນກົງກັບສິ່ງທີ່ທ່ານກຳລັງເຊັນ ຫຼືໂອນຍ້າຍຕົວຈິງຢູ່ສະເໝີ. ຖ້າທ່ານສັງເກດເຫັນຄວາມແຕກຕ່າງ, ຢຸດ, ຢຸດຊົ່ວຄາວ, ແລະປະເມີນສະຖານະການຢ່າງລະມັດລະວັງ.
- ການເຊື່ອມຕໍ່ wallet ທີ່ອີງໃສ່ຕົວທ່ອງເວັບແມ່ນປອດໄພກວ່າການເຊື່ອມຕໍ່ໂດຍກົງ : ເປັນຫຍັງ? ກະເປົາເງິນຂອງຕົວທ່ອງເວັບມີຖານຂໍ້ມູນສັນຍາຢ່າງກວ້າງຂວາງແລະບາງຄັ້ງສາມາດສະຫນອງຜົນບວກທີ່ບໍ່ຖືກຕ້ອງ, ແຕ່ພວກເຂົາເນັ້ນໃສ່ການໂຕ້ຕອບກັບສັນຍາໃຫມ່ແລະ, ໂດຍສະເພາະ, ສັນຍາທີ່ບໍ່ໄດ້ຮັບການຢືນຢັນ (ເຊິ່ງກ່ຽວຂ້ອງໃນກໍລະນີນີ້).
- ອັບເດດເຟີມແວກະເປົາເງິນຂອງທ່ານ : ຕິດຕັ້ງພຽງແຕ່ເຟີມແວທີ່ເປັນທາງການ, ເວັ້ນເສຍແຕ່ວ່າທ່ານຢູ່ໃນການແຮັກດ້ານຈັນຍາບັນ. ທ່ານສາມາດກວດສອບນີ້ຢູ່ໃນເວັບໄຊທ໌ຂອງຜູ້ຜະລິດຫຼືຜ່ານ hash sums.
- ຈໍາລອງການເຮັດທຸລະກໍາກ່ອນທີ່ຈະເຊັນ : ກວດເບິ່ງການປ່ຽນແປງທີ່ບໍ່ຄາດຄິດສະເຫມີ. ແນວຄວາມຄິດທີ່ສໍາຄັນຢູ່ທີ່ນີ້ແມ່ນ ການກວດສອບກ່ອນ ແລະ ການຂັດຂວາງ .
- ໃຊ້ແຫຼ່ງຢັ້ງຢືນທາງເລືອກ : ບາງເຄື່ອງມືທີ່ເປັນປະໂຫຍດລວມມີ:
- ຕົວຖອດລະຫັດການປ້ອນຂໍ້ມູນ Etherscan
- PalmeraDAO Safe Interface (ໃຊ້ຫຼັງຈາກການ hack Bybit)
- CirclesTools SafeViewer (ອະທິບາຍໃນຫນ້າທີ່ເຊື່ອມຕໍ່)
- Safe ຍັງໄດ້ນໍາສະເຫນີການໂຕ້ຕອບທາງເລືອກ:
- ເພີ່ມ:
- API ປອດໄພ
- ເອກະສານປອດໄພ
- ລັກສະນະ Trezor
ການລະມັດລະວັງເຫຼົ່ານີ້ແມ່ນພຽງແຕ່ການເລີ່ມຕົ້ນ. ດຽວນີ້, ໃຫ້ປຽບທຽບພວກມັນກັບບົດຮຽນທີ່ຖອດຖອນໄດ້ຈາກການ hack Radiant:
- ການຢັ້ງຢືນລາຍເຊັນຫຼາຍຊັ້ນ : ຄວາມຜິດປົກກະຕິໃດໆ, ເຖິງແມ່ນວ່າເລັກນ້ອຍ, ຄວນກະຕຸ້ນໃຫ້ມີການກວດສອບຄວາມປອດໄພ.
- ອຸປະກອນການຢືນຢັນການເຮັດທຸລະກໍາເອກະລາດ : ສ້າງລະຫັດກວດສອບທີ່ກົງກັບຂໍ້ມູນ wallet ຮາດແວ.
- ປັບປຸງ Ledger/Trezor ຄວາມປອດໄພ : ຫຼີກເວັ້ນການເຊັນຊື່ຕາບອດສໍາລັບການເຮັດທຸລະກໍາທີ່ສໍາຄັນ.
- ກວດສອບຄວາມລົ້ມເຫຼວທີ່ເຮັດທຸລະກຳຊ້ຳແລ້ວຊ້ຳອີກ : ບັນຫາທີ່ເກີດຂຶ້ນເລື້ອຍໆຄວນຈະເຮັດໃຫ້ມີການກວດສອບທຸລະກຳຢ່າງເຕັມທີ່.
- ການກວດສອບຂໍ້ມູນການເຮັດທຸລະກໍາດ້ວຍມື : ສະກັດແລະຖອດລະຫັດຂໍ້ມູນການເຮັດທຸລະກໍາກ່ອນທີ່ຈະເຊັນ, ຮັບປະກັນຫນ້າທີ່ແລະທີ່ຢູ່ກົງກັບຄວາມຄາດຫວັງ.
- ການຢືນຢັນ hash ຂໍ້ຄວາມຄູ່ : ໃຊ້ຄູ່ມື Gnosis ເພື່ອກວດສອບການເຮັດທຸລະກໍາໃນຮາດແວ wallets.
Bybit ປະຕິບັດສິ່ງເຫຼົ່ານີ້ບໍ? ອີງຕາມຂໍ້ມູນທີ່ມີຢູ່ - ບໍ່ມີ.
ປັດໄຈຂອງມະນຸດ: ການເຊື່ອມໂຍງທີ່ອ່ອນແອທີ່ສຸດ
Phishing, ວິສະວະກໍາສັງຄົມ, ແລະ spam ກວມເອົາ 80% ຂອງການໂຈມຕີທາງອິນເຕີເນັດ. ກໍລະນີ Bybit ແລະ Radiant ພິສູດໄດ້ຢ່າງຊັດເຈນ.
ເພື່ອຫຼຸດຜ່ອນຄວາມສ່ຽງ, ປະຕິບັດການແຍກບົດບາດ:
- ຖ້າທ່ານມີຜູ້ລົງນາມຫຼາຍຄົນ, ພວກເຂົາຕ້ອງມີຊ່ອງທາງການຢັ້ງຢືນເອກະລາດ .
- ການປ່ຽນແປງຄວາມເປັນເຈົ້າຂອງຄວນຈະສະລັບສັບຊ້ອນຫຼາຍກ່ວາການອະນຸມັດການເຮັດທຸລະກໍາ .
- ກະເປົ໋າເງິນເຢັນບໍ່ຄວນເກັບຫຼາຍກວ່າເກນການສູນເສຍທີ່ຍອມຮັບໄດ້ (ເຊັ່ນ: $1.5B ແມ່ນຫຼາຍເກີນໄປສໍາລັບການແລກປ່ຽນໃດໆ).
- ຄວາມແຕກຕ່າງຂອງທຸລະກໍາໃດໆຄວນຈະເປັນຄ່າເລີ່ມຕົ້ນທີ່ຈະຍົກເລີກ, ບໍ່ແມ່ນການອະນຸມັດ .
- ພະນັກງານຕ້ອງໄດ້ຮັບການຝຶກອົບຮົມດ້ານຄວາມປອດໄພຢ່າງຕໍ່ເນື່ອງ—ຢ່າງໜ້ອຍທຸກເດືອນ .
- ແຕ່ງຕັ້ງຜູ້ກວດສອບຄວາມປອດໄພຢ່າງໜ້ອຍໜຶ່ງຄົນ ທີ່ມີຄວາມຊໍານານໃນກະເປົາເງິນແບບ multisig ແລະເຄື່ອງມືຄວາມປອດໄພຂັ້ນສູງ.
ອີກເທື່ອຫນຶ່ງ, ຂໍ້ມູນສາທາລະນະບໍ່ໄດ້ຢືນຢັນວ່າ Bybit ປະຕິບັດຕາມຂັ້ນຕອນເຫຼົ່ານີ້.
ຄວາມຄິດເຫັນຂອງນັກຄົ້ນຄວ້າ
ຜູ້ຊ່ຽວຊານຫຼາຍຄົນໄດ້ຊັ່ງນໍ້າຫນັກກ່ຽວກັບການ hack ນີ້. ນີ້ແມ່ນບາງທັດສະນະຫຼັກໆ:
- @dhkleung
- @blainemalone
- @pcaversaccio
- ບົດລາຍງານ SlowMist
- @koeppelmann
- ບົດລາຍງານ Chainabuse
- Radiant Post-mortem
ກຸນແຈ takeaway? ໃນຂະນະທີ່ການໂຈມຕີປະກົດວ່າມີເຕັກນິກສູງ, ໃນທີ່ສຸດມັນກໍ່ປະສົບຜົນສໍາເລັດຍ້ອນ ຄວາມຜິດພາດຂອງມະນຸດ ແທນທີ່ຈະເປັນຄວາມອ່ອນແອທາງດ້ານເຕັກໂນໂລຢີ.
ດັ່ງນັ້ນ, ຂ້າພະເຈົ້າຂໍແນະນໍາໃຫ້ສຶກສາກໍລະນີ Radiant ແລະ WazirX ເຊັ່ນກັນ. ມັນເປັນທີ່ຊັດເຈນວ່າ kiddies script ກໍາລັງປະຕິບັດເຕັກນິກເຫຼົ່ານີ້, ຊຶ່ງຫມາຍຄວາມວ່າບໍ່ພຽງແຕ່ການແລກປ່ຽນແຕ່ໂຄງການ crypto ກວ້າງກວ່າຈະຖືກເປົ້າຫມາຍຕໍ່ໄປ.
ປອດໄພ!
