Bybit-ийн 1.5 тэрбум долларын Crypto Heist нь төвлөрсөн биржийн аюулгүй байдлын талаар маргаан өрнүүлэв.

Аюулгүй байдал бол миний сүүлийн 15-17 жилийн хугацаанд тулгамдсан асуудал юм. Хичнээн ихийг мэддэг байсан хамаагүй илүү ухаалаг, илүү хурдан, илүү хүчтэй хүн байх болно. Гэсэн хэдий ч хэзээ ч зөрчиж болохгүй олон дүрэм, зарчим байдаг.

Биржийн ажилтнууд үндсэн болон хийсвэр зарчмаас эхлээд тодорхой, нарийвчилсан арга хэмжээ хүртэл аюулгүй байдлын бүх гол арга барилыг үл тоомсорлодог байсан тул Bybit-ийн туршлага надад маш тод харагдаж байсан.

Тиймээс би энэ хакерд тулгуурлан хэд хэдэн гол зүйлийг шинжлэх болно.

Аюулгүй байдлын тэг зарчим

Хэдэн жилийн өмнө би өөртөө энэ зарчмыг томъёолсон: "Ямар ч системийг хакердаж болно. Ганц асуулт бол цаг хугацаа, мөнгө, хүчин чармайлт юм." Хэрэв таны системийг хакердахад 1 сая долларын ашиг олж байхад халдагчид ердөө 10 мянган долларын хохирол учруулах юм бол системийг хакердах нь гарцаагүй. Гэсэн хэдий ч, хэрэв хакердах нь 1.1 сая доллар шаарддаг бол асуулт гарч ирнэ: яагаад санаа зовдог вэ? Мэдээжийн хэрэг, зорилго нь өрсөлдөгчөө хохироох эсвэл төрийн дэмжлэгтэй кибер халдлага хийхгүй бол.

Энэ зарчмыг Bybit-ийн ажилтнууд яг таг зөрчсөн. Эхний ярилцлагын дагуу тэд өөрсдийн системээ халдашгүй гэдэгт итгэж байсан. Гэвч 1.4 тэрбум долларын үнэ бүх зүйлийг өөрчилсөн.

Та хаана ч ажиллаж байсан бүх зүйлийг хэзээ ч , ямар ч тохиолдолд хакердуулж болно гэдгийг ойлгох ёстой. Цорын ганц хувьсагч нь мөнгө, цаг хугацаа, хүчин чармайлт юм. Үүнийг мэдсээр байж урагшилцгаая...

Техник хангамжийн түрийвч + Multisig нь аюулгүй юу?

Тийм, үгүй. Техник хангамжийн түрийвч үргэлж халдлагад өртөж байсан- Леджер , Трезор нар бол хамгийн сайн жишээ юм. Бусад брэндүүд үүнээс ч дор байна.

Гэсэн хэдий ч та техник хангамж/олон сийлбэртэй түрийвч ашиглахдаа эрсдэлийг бууруулж, сөрөг нөлөөллийг бууруулж чадна.

Судлаачид болон хувийн туршлагаас цуглуулсан зарим зөвлөмжийг энд оруулав.

• Гарын үсэг зурж буй зүйлээ шалгана уу : Таны харж буй зүйл таны гарын үсэг зурж буй эсвэл шилжүүлж буй зүйлтэй тохирч байгаа эсэхийг үргэлж шалгаарай. Хэрэв та зөрүүг анзаарсан бол зогсоож, түр зогсоож, нөхцөл байдлыг сайтар үнэл.
• Хөтөч дээр суурилсан түрийвчний холболт нь шууд холболтоос илүү аюулгүй байдаг : Яагаад? Хөтөч түрийвч нь өргөн хүрээний гэрээний мэдээллийн сантай бөгөөд заримдаа худал эерэг мэдээлэл өгдөг боловч шинэ, ялангуяа баталгаажуулаагүй гэрээнүүдтэй харилцах харилцааг онцлон тэмдэглэдэг (энэ нь энэ тохиолдолд хамааралтай байсан).
• Түрийвчнийхээ программ хангамжийг шинэчлэх : Хэрэв та ёс суртахуунтай хакердаагүй бол зөвхөн албан ёсны программ хангамжийг суулгаарай. Та үүнийг үйлдвэрлэгчийн вэбсайт эсвэл хэш нийлбэрээр баталгаажуулж болно.
• Гарын үсэг зурахаас өмнө гүйлгээг загварчлах : Гэнэтийн өөрчлөлтийг үргэлж шалга. Энд байгаа гол ойлголтууд бол урьдчилан шалгах , таслах явдал юм.
• Баталгаажуулах өөр эх сурвалжийг ашиглах : Зарим хэрэгтэй хэрэгслүүд орно:
  • Etherscan оролтын өгөгдлийн декодер
  • PalmeraDAO Safe Interface (Bybit хакердсаны дараа ашиглагддаг)
  • CirclesTools SafeViewer (холбогдсон хуудсанд тайлбарласан)
• Safe нь өөр интерфейсүүдийг нэвтрүүлсэн:
  • PalmeraDAO програм
  • Мөнхийн аюулгүй
  • Onchainden програм
• Нэмэх.:
  • Аюулгүй API
  • Аюулгүй баримт бичиг
  • Trezor онцлог

Эдгээр урьдчилан сэргийлэх арга хэмжээ нь зөвхөн эхлэл юм. Одоо тэдгээрийг Radiant хакераас авсан сургамжтай харьцуулъя:

• Олон давхаргат гарын үсгийн баталгаажуулалт : Аливаа гажиг, тэр ч байтугай бага зэрэг нь аюулгүй байдлын шалгалтыг өдөөх ёстой.
• Бие даасан гүйлгээ шалгах төхөөрөмж : Техник хангамжийн түрийвчний өгөгдөлтэй тохирох баталгаажуулах кодыг үүсгэдэг.
• Сайжруулсан Ledger/Trezor аюулгүй байдал : Чухал гүйлгээнд сохроор гарын үсэг зурахаас зайлсхий.
• Дахин давтагдсан гүйлгээний бүтэлгүйтэлд аудит хийх : Байнгын асуудал нь гүйлгээний бүрэн аудитыг эхлүүлэх ёстой.
• Гүйлгээний өгөгдлийг гараар баталгаажуулах : Гарын үсэг зурахаас өмнө гүйлгээний өгөгдлийг задлах, тайлах, функцууд болон хаягууд нь хүлээлттэй нийцэж байгаа эсэхийг баталгаажуулах.
• Хос мессежийн хэш баталгаажуулалт : Техник хангамжийн түрийвч дээрх гүйлгээг шалгахын тулд Gnosis-ийн гарын авлагыг ашиглана уу.

Байбит эдгээрийн аль нэгийг хэрэгжүүлсэн үү? Боломжтой мэдээллээр - үгүй.

Хүний хүчин зүйл: Хамгийн сул холбоос

Фишинг, нийгмийн инженерчлэл, спам нь кибер халдлагын 80%-ийг эзэлдэг. Үүнийг Bybit болон Radiant-ийн тохиолдлууд тод нотолж байна.

Эрсдэлийг бууруулахын тулд үүрэг хуваарилалтыг хэрэгжүүлнэ үү:

• Хэрэв танд олон гарын үсэг зурсан бол тэд бие даасан баталгаажуулах сувагтай байх ёстой .
• Өмчлөлийн өөрчлөлт нь гүйлгээний зөвшөөрлөөс илүү төвөгтэй байх ёстой .
• Хүйтэн түрийвч нь хүлээн зөвшөөрөгдөх алдагдлын босго хэмжээнээс илүүг хадгалах ёсгүй (жишээ нь, 1.5 тэрбум доллар ямар ч солилцоонд хэтрүүлсэн).
• Аливаа гүйлгээний зөрүү нь зөвшөөрлийг бус харин цуцлах ёстой .
• Ажилтнууд аюулгүй байдлын байнгын сургалтанд хамрагдах ёстой - дор хаяж сар бүр .
• Multisig түрийвч болон дэвшилтэт хамгаалалтын хэрэгслүүдийн талаар мэдлэгтэй , дор хаяж нэг аюулгүй байдлын баталгаажуулагчийг томил .

Дахин хэлэхэд, олон нийтийн өгөгдөл нь Bybit эдгээр алхмуудын аль нэгийг нь дагасан гэдгийг батлахгүй.

Судлаачдын санал бодол

Олон шинжээчид энэ хакердалтыг анхаарч үзсэн. Энд зарим гол хэтийн төлөв байна:

• @dhkleung
• @blainemalone
• @pcaversaccio
• SlowMist тайлан
• @koeppelmann
• Гинжин хүчирхийллийн тайлан
• Үхлийн дараах цацраг

Гол арга хэмжээ? Энэ халдлага нь өндөр техникийн шинжтэй мэт санагдаж байсан ч эцсийн дүндээ технологийн эмзэг байдлаас бус хүний буруугаас болж амжилттай болсон.

Тиймээс би Radiant болон WazirX-ийн хэргийг судлахыг зөвлөж байна. Скриптийн хүүхдүүд эдгээр техникийг ашиглаж байгаа нь тодорхой байна, энэ нь зөвхөн солилцоо төдийгүй илүү өргөн хүрээний крипто төслүүдийг дараагийн зорилтот түвшинд хүргэх болно.

Аюулгүй байгаарай!