Nastąpiła znacząca kradzież kryptowaluty u osoby związanej z zarządzaniem MakerDAO, skutkująca szokującą stratą przekraczającą 11 milionów dolarów. Złodzieje kryptowalut skorzystali z podstępnego podszywania się pod uprawnienia, zwanej phishingiem uprawnień, aby wykraść cyfrowe tokeny aEthMKR i Pendle USDe.
Ta kradzież jest szczególnie niepokojąca ze względu na zaufane stanowisko ofiary w społeczności walut cyfrowych. Skomplikowanie oszustwa podkreśla rosnące zagrożenie bezpieczeństwa zidentyfikowane przez specjalistów ds. bezpieczeństwa blockchain, takich jak SlowMist. Eksperci ci wskazują na inherentne ryzyka związane z systemem sygnatur, które stały się możliwe dzięki wdrożeniu EIP-2612.
Sygnatury uprawnień oferują uproszczony sposób interakcji z inteligentnymi kontraktami poprzez eliminację tradycyjnych procesów potwierdzania. Osoby mogą autoryzować transakcje tokenów tylko za pomocą sygnatur, nie wykonując transakcji na łańcuchu bloków. Ta funkcja, choć wygodna, stwarza podatność, której skorzystali złośliwi aktorzy. Można nieświadomie zatwierdzić transakcję poprzez podejrzliwą stronę internetową, nie będąc zmuszonym do nadawania sygnatury na łańcuchu bloków, aby była ona skuteczna.
Skryte charakterystyki tych transakcji, dokonanych poza widokiem blockchain, sprawiają, że trudno jest określić legalność sygnatury. Dodatkowym utrudnieniem są podstępne sztuczki oszustów, którzy zwabiają swoje cele, imitując zaufane platformy internetowe. Firma ds. bezpieczeństwa blockchain SlowMist poinformowała o niewystarczających ostrzeżeniach przekazywanych użytkownikom na temat tych taktyk phishingowych, apelując o zwiększenie świadomości i środków obronnych na dynamicznym tle transakcji kryptowalut.
Ważne pytania i odpowiedzi:
– Czym jest phishing uprawnień?
Phishing uprawnień to rodzaj ataku internetowego, w którym złoczyńcy wprowadzają osoby w błąd, aby uzyskać sygnatury umożliwiające autoryzację transakcji tokenów bez wiedzy ofiar. Forma oszustwa ta wykorzystuje funkcję zezwalania opisaną w EIP-2642, która pozwala posiadaczom tokenów zatwierdzać transakcje poprzez podpisanie wiadomości, zamiast dokonywać transakcji na łańcuchu bloków.
– Jak funkcja zezwalania prowadzi do podatności?
Wygodne zezwalanie na tokeny za pomocą sygnatury może być również podatne na ataki. Oszuści mogą wprowadzić użytkowników w błąd, zmuszając ich do zatwierdzenia transakcji, których nie chcieliby dokonać. Sygnatury te mogą zostać następnie wykorzystane bez zgody czy wiedzy ofiary.
– Jakie wyzwania stawiają tego typu oszustwa społeczności kryptowalut?
Oszustwa takie jak phishing uprawnień stwarzają kilka wyzwań, włączając podważenie zaufania do bezpieczeństwa inteligentnych kontraktów, znaczne straty finansowe oraz utrudnienie śledzenia i anulowania nieautoryzowanych transakcji. Ponadto podkreślają one potrzebę zwiększenia edukacji użytkowników i środków bezpieczeństwa.
Kontrowersje i wyzwania:
Kontrowersja polega na zachowaniu równowagi między łatwością użycia a bezpieczeństwem. Podczas gdy sygnatury uprawnień poprawiają wygodę użytkownika poprzez usprawnienie interakcji z inteligentnymi kontraktami, otwierają one również możliwości dla oszustów. Rozpoznawanie i zapobieganie tym oszustwom jest trudne ze względu na zdecentralizowany i niezmienny charakter technologii blockchain.
Kluczowe wyzwania obejmują:
– Edukowanie użytkowników na temat ryzyka bezpieczeństwa bez zbytniego skomplikowania doświadczenia użytkownika.
– Rozwój systemów do wykrywania i zapobiegania oszustwom opartym na sygnaturach bez kompromitowania korzyści płynących z platform finansów zdecentralizowanych (DeFi).
– Rozwiązanie napięć między etosem społeczności DeFi, w postaci osobistej odpowiedzialności i wolności, a potrzebą środków ochrony, które mogą centralizować władzę lub autorytet.
Zalety i wady:
Zalety:
– Uproszcza i przyspiesza interakcje z inteligentnymi kontraktami.
– Ogranicza koszty transakcji, unikając opłat za gaz związanych z zatwierdzaniem transakcji na łańcuchu bloków.
– Umożliwia użytkownikom samodzielne przechowywanie i kontrolę nad aktywami.
Wady:
– Zwiększa powierzchnię ataku dla oszustów do wykorzystania.
– Sprawia, że skradzione aktywa trudno odzyskać z powodu niezmienności transakcji na łańcuchu bloków.
– Nakłada na użytkowników dużą odpowiedzialność za zabezpieczenie swoich aktywów cyfrowych przed wyszukanymi atakami phishingowymi.
W związku z tematyką oszustw kryptowalutowych i bezpieczeństwa, poniżej znajdują się sugerowane powiązane linki do głównych domen, które użytkownicy mogą odwiedzić, aby uzyskać dalsze informacje:
MakerDAO – Organizacja powiązana z ofiarą wspomnianą w oszustwie.
SlowMist – Firma ds. bezpieczeństwa blockchain, która podniosła obawy dotyczące tego typu oszustw.
Ethereum – Platforma Ethereum, która wykorzystuje standardy EIP, w tym EIP-2612, które są istotne dla funkcji zezwalania i związanych z nimi problemów bezpieczeństwa.
Dla najnowszych informacji i świadomości dotyczących cyberbezpieczeństwa w dziedzinie kryptowalut, zachęcamy użytkowników do regularnej edukacji i korzystania z usług bezpieczeństwa świadczonych przez specjalistów ds. bezpieczeństwa blockchain.
The source of the article is from the blog kunsthuisoaleer.nl