3 priežastys, kodėl kripto mainai yra pažeidžiami įsilaužimams ir atakoms
Kriptovaliutų biržose tvarkomi milžiniški pinigų kiekiai. Viso tūrio problema yra tai, kad jis patrauklus visoms netinkamoms rūšims. Nenaudingi žmonės. Žmonės, norintys paimti tuos pinigus sau.
Kripto mainai yra blogiausi, ir labai domimasi įsilaužimais ir vagystėmis kriptovaliuta. Deja, kripto mainai turi pažeidžiamumų, kuriais galima pasinaudoti. Štai kelios priežastys, kodėl kripto mainai išlieka pažeidžiami aferų, sukčiavimo, įsilaužimų ir išpuolių.
1 priežastis: didžiuliai kriptovaliutų turėjimai
Pagrindinė ir akivaizdžiausia priežastis yra minėta apimtis. Tai yra šiek tiek susidorojimas, nes tai apima visas kitas priežastis. Vagys nori žetonų ir nori jų dabar.
Tačiau skirkite šiek tiek laiko ir pagalvokite, kokio masto puolėjas bando patekti į rankas.
Kiekvienoje biržoje yra karšta piniginė. Karšta piniginė (arba internetinė piniginė) apdoroja operacijas biržoje, nereikėdama perkelti valiutų pirmyn ir atgal tarp neprisijungusių šaltų piniginių. Tačiau karšta piniginė yra viena iš pagrindinių atakos atrakcijų. Vienu metu valiutos keitykloje gali būti šimtai milijonų dolerių kriptovaliutomis. Dar 2017 m. Gruodžio mėn. „Bittrex“ baigėsi 4 milijardai dolerių sėdėdamas vienoje piniginėje. Tegul tai akimirkai nugrimzta.
Bittrexas nėra vienas. Visi mainai turi karštas pinigines. 2017 metų gruodis buvo ypač intensyvus prekybos laikotarpis. Bet keturių milijardų dolerių vertės žetonai, apsaugoti vienu asmeniniu raktu? Tai nepaprastai rizikinga.
Yra ir ryškių pavyzdžių:
- Bumbas. 2018 m. Birželio mėn. Pietų Korėjos birža prarado 35 milijardus Korėjos vonų (apie 31,5 mln. USD) žetonų.
- Moneta. Kita Pietų Korėjos birža „Coinrail“ prarado apie 40 milijardų Korėjos vonų (apie 35 milijonus dolerių) žetonų, taip pat 2018 m. Birželio mėn..
- Monetų patikrinimas. Japonijos birža „Coincheck“ 2018 m. Sausio mėn. Prarado 523 mln. NEM monetų, kurių vertė tuo metu buvo maždaug 534 mln. USD.
- Zaifas. Kita Japonijos birža „Zaif“ 2018 m. Rugsėjo mėn. Prarado apie 60 mln. Dolerių bitkoinų, grynųjų pinigų ir „MonaCoin“..
- „Bitstamp“. Liuksemburge įsikūrusi „Bitstamp“ 2015 m. Sausio mėn. Prarado 18 866 BTC, tuo metu verta apie 5,1 mln. USD.
Tai tik penki karšto piniginės įsilaužimo pavyzdžiai. Yra begalė kitų šifravimo mainų atvejų.
2 priežastis: žmogaus klaidos
Kripto mainai nėra savarankiški. Užkulisiuose ir, kaip ir kiekvienoje didelėje svetainėje, yra tam skirta komanda, kuri stengiasi, kad viskas nepatiktų. Daugeliu atvejų tai gerai veikia. Tačiau žmonės yra klystantys. Deja, kripto pasaulyje už klaidas griežtai baudžiama. Be to, užpuolikas gali lengvai išsiųsti šlamštą ar sukčiavimo el. Laiškus, tikėdamasis sulaukti smūgio.
Paimkite „Bitstamp“ įsilaužimą iš paskutinės dalies. Iš pradžių „Bitstamp“ labai tylėjo dėl įsilaužimo, bet nutekėjęs dokumentas nušvies įvykius. Įsilaužėliai per kelias savaites šešiems „Bitstamp“ darbuotojams išsiuntė el. Užpuolikai baigė darbuotojų patikrinimą, paprašė juos per „Skype“ ir galiausiai sugebėjo įtikinti „Bitstamp“ sistemos administratorių atsisiųsti „Word“ dokumentą.
„Word“ dokumente buvo uždengtas „Visual Basic for Applications“ (VBA) scenarijus, kuris atsisiuntė kenkėjišką failą ir pakenkė „sys-admin“ mašinai. Pažeidęs užpuolikas turėjo prieigą prie pagrindinių „Bitstamp“ karštųjų piniginių serverių, įskaitant slaptažodžių frazes.
„Sausio 4 d. Užpuolikas išleido piniginę„ Bitstamp “, ką patvirtino„ blockchain “. Nors maksimalus šios piniginės turinys vienu metu buvo 5000 bitkoinų, užpuolikas per dieną galėjo pavogti daugiau nei 18 000 bitkoinų, nes klientai dar padėjo indėlius “.
Nenuostabu, kad per pastaruosius aštuonerius metus buvo įsilaužta į maždaug 31 kriptografinę biržą, praradus daugiau nei 1,3 mlrd. USD.
3 priežastis: infrastruktūros trūkumai
Žmogiškos klaidos gali sukelti ir kitų pažeidžiamumų. Jei užpuolikas netaiko pagal darbuotojus, galite lažintis, kad jie taiko pažeidžiamumus svetainės infrastruktūroje.
„ICO Rating Exchange“ saugumo ataskaita nustato keturias sritis, kuriose kriptovaliutų mainai yra pažeidžiami:
- Pulto klaidos
- Vartotojo abonemento sauga
- Registratorius ir domenų apsauga
- Žiniatinklio protokolų sauga
Pulto klaidos
Pagrindinio mainų kodo klaidos nėra automatiškai kritiškos, tačiau tai priklauso nuo klaidos sunkumo. Pavyzdžiui, didžiulis DAO įsilaužimas beveik visiškai susijęs su kodo pažeidžiamumu. Įsilaužėliai pavogė daugiau nei 50 milijonų dolerių vertės „Ethereum“.
„ICO Rating“ ataskaitoje apskaičiuota, kad 68 proc. Tirtų biržų neturi jokių klaidų. Taigi, kaip su kitais 32 proc. Na, tai priklauso nuo kodo pažeidžiamumo tipo. Be to, ar kenksmingos šalys žino apie pažeidžiamumą ir ar tai yra naudinga išnaudoti.
Vartotojo abonemento sauga
Jūs tikriausiai galvojate, kad „individuali galutinio vartotojo paskyros sauga nėra didžiulė problema“. Iki taško jūs teisus. Galutinio vartotojo abonemento sauga yra svarbi, bet ne itin svarbi keičiantis saugumu.
Mainų darbuotojų sąskaitos yra kitas reikalas. Kriptografinių mainų darbuotojų vartotojo abonemento sauga turi būti stipri ir nuosekli. Noriu pagalvoti, kad visi šifravimo mainai vykdo mentorių darbuotojus dėl paskyros saugumo (tvirtas vienkartinis slaptažodis, daugiau nei aštuoni simboliai, simbolių ir simbolių derinys ir pan.).
Registratorius ir domenų apsauga
Tyrimo metu buvo nagrinėjami keitimosi pažeidimai, susiję su svetainės registratoriumi ir domenu. Ji nustatė penkis skirtingus potencialius pažeidžiamumus:
- Registro užraktas. Registro užraktas yra speciali žyma registre, kuri neleidžia visiems keisti jūsų domeno.
- Registratoriaus užraktas. Skirtingai nei „registro užraktas“, registratoriaus užraktas neleidžia užgrobti domeno kaupiant saugumą ir autentifikavimą prieš leidžiant keisti registrą.
- Vaidmenų sąskaitos. Vaidmenų paskyra apsaugo nuo privačios informacijos, rastos per registrą, nutekėjimo. Teoriškai dėl to sunku rasti su domeno registru susietus asmenis, todėl užpuolikams sunkiau nusitaikyti.
- Galiojimas. Domeno galiojimo laikas yra stebėtinai dažnas (pamenate, kai „Google“ netyčia leido pasibaigti jų domeno galiojimo laikui, o kažkas jį užmynė?).
- DNSSEC. DNSSEC („Domain Name System Security Extensions“) yra įrankių rinkinys, skirtas apsaugoti nuo DNS atakų. DNSSEC autentifikuoja visas DNS užklausas kriptografiniu parašu, atmesdamas neleistinus DNS įrašus ir atsakymus.
Žiniatinklio protokolų sauga
Galutinis atakos vektorius yra žiniatinklio protokolo saugumas. Užpuolikai puikiai išmano žiniatinklio pažeidžiamumus. Iš tiesų, kai kurios didžiausios atakos kyla dėl dažniausiai pasitaikančių pažeidžiamumų. Ataskaitoje buvo išbandytas mainų protokolo saugumas naudojant https://www.htbridge.com/websec/, vertinant, ar yra šios penkios saugos antraštės:
- Griežtas transportas-saugumas. „HTTP-Strict-Transport-Security“ (HSTS) antraštė verčia naršyklės seansus naudoti HTTPS.
- X-XSS apsauga. „X-XSS-Protection“ antraštė apibrėžia, kaip svetainė apsaugo nuo kelių svetainių scenarijų ir su juo susijusių pažeidžiamumų.
- Turinio saugumo politika. „Content-Security-Policy“ (CSP) antraštė leidžia apibrėžti leidžiamus tam tikro tipo turinio šaltinius, padedant apsisaugoti nuo XSS ir kitų kodų įpurškimo atakų. Be to, sertifikavimo paslaugų teikėjas apibrėžia kai kuriuos naršyklės saugumo veiksmus, pvz., „Sandbox“ aplinkos naudojimą seansui.
- „X-Frame-Options“. „X-Frame-Options“ antraštė apibrėžia, ar svetainę leidžiama įrėminti. Užblokavus kadravimą, sustabdomos tokios atakos kaip paspaudimas ir kenkėjiška reklama.
- „X-Content-Type-Options“. „X-Content-Type-Options“ antraštė taip pat apsaugo nuo XSS ir kodo įpurškimo atakų, išjungdama turinio šnipinėjimą, tuo pačiu užtikrindama, kad turinį apibrėžia ir valdo antraštė.
„ICO Rating“ ataskaitoje nurodoma, kad 29 proc. Tikrintų kriptografinių mainų neturėjo nė vieno iš aukščiau nurodytų saugumo antraščių.
Kriptovaliutos keitimo saugumo iššūkiai
Akivaizdu, kad kriptovaliutų mainai turi daugybę trūkumų. Taip pat matote problemų, su kuriomis susiduria mainai, mastą. Didėjanti vartotojų bazė padidina biržos akcijų paketus, o tai savo ruožtu daro mainus patrauklesniu tikslu. Taip pat reikia atsižvelgti į svetaines, kuriose sparčiai auga ir atitinkamai padidina saugumo praktiką.
Kripto mainai nėra ypatingi. Tai nėra unikalios svetainės su specializuotais protokolais. Šifravimo biržoje naudojami tie patys saugos protokolai, kaip ir visame internete. Kaip ir visas internetas, mainai yra tokie pat stiprūs, kaip ir saugumo įgyvendinimas. Jei svetainės dizaineris nesiruošia subraižyti, garantuojama, kad biržai ir jos vartotojams bus blogai.
Geriausia praktika yra pašalinti kriptovaliutą iš potencialiai pažeidžiamų mainų ir laikyti ją saugioje neprisijungus prie šaltos piniginės.