Хотя мир блокчейнов делает значительные шаги вперед с точки зрения безопасности, иногда система не может защитить своих пользователей. Например, на прошлой неделе биржа BadgerDAO стала жертвой хакерской атаки, которая за несколько минут нанесла порталу серьезный ущерб.
Имея доступ только к 23 кошелькам, хакерам удалось вывести BTC и ETH на сумму 120 миллионов долларов. Расследование кражи продолжается, и Бэджер оказывает властям полную поддержку в выяснении того, что произошло.
В этой статье будут освещены факты, известные до сих пор об этой печальной истории.
Бесплатный фарминг монет Notcoin прямо в приложении Телеграмм
Notcoin — это мемкоин на блокчейне TON, а игра в боте — облачный майнинг. Начни добывать монеты прямо сейчас!
Содержание:
Что известно на данный момент
Ограбление блокчейна – это не совсем то же самое, что планирование ограбления банка. Если обычный преступник может украсть отделение небольшого банка, взломать блокчейн будет сложно.
Типичная прозрачность транзакции блокчейна помогает нам понять, что произошло. В течение нескольких минут хакеры опустошили 23 кошелька на BadgerDAO, совершив несколько значительных транзакций.
Впечатляет, например, вывод 896 BTC с одного кошелька. Только этот вывод составляет более 40 миллионов долларов с учетом текущей рыночной котировки. Для этого хакеры активировали на портале вредоносный скрипт.
Что еще более любопытно, так это логика активации этого программного обеспечения JavaScript. Похоже, что еще 10 ноября скрипт был активен в течение нескольких секунд через случайные дневные интервалы. Этот метод имел решающее значение, чтобы избежать немедленного выявления проблемы.
Когда BadgerDAO обнаружил проблему, он немедленно заблокировал все работающие смарт-контракты. К сожалению, это означает, что портал перестал работать, ожидая результатов расследования.
Что действительно пугает, так это кажущаяся простота преодоления хакерами двухфакторной системы аутентификации. Кажется, это самый важный узел дела.
Как работает двухфакторная аутентификация
Хотя читатели, вероятно, будут использовать двухфакторную аутентификацию каждый день, мы считаем полезным кратко объяснить, как она работает.
Идея двухфакторной аутентификации проста и интеллектуальна:
- Первый фактор : пользователи должны сначала ввести свой адрес электронной почты и пароль для доступа к веб-сайту.
- Второй фактор : после завершения первого шага пользователи должны предоставить подтверждение доступа через другой источник (например, код, отправленный по электронной почте).
Создатели этого типа системы хорошо понимали, что, как правило, одного первого фактора недостаточно. Однако, поскольку наиболее часто используемые пароли в Интернете легко угадать, хакер может легко преодолеть это препятствие.
Введение второго фактора должно сделать работу хакера практически невозможной. К сожалению, как мы вскоре увидим, важно не переоценивать этот тип технологии.
Мнение экспертов
Попросту ошибается тот, кто думает, что может спокойно спать благодаря многофакторной авторизации (MFA). Но, к сожалению, такое новое и инновационное изобретение может стать жертвой самого старого хакерского трюка: фишинга.
Представьте, что вы получаете письмо с адреса электронной почты коллеги по работе. В сообщении содержится запрос на нажатие на, казалось бы, безобидную ссылку, которая, к сожалению, вызывает цепную реакцию, которую очень трудно заблокировать.
Инструменты, разработанные хакерами-белыми хакерами (например, Evilginx), отлично обходят систему MFA. Объяснение того , как это возможно , несколько технических, и все , что нужно знать, что простым нажатием кнопки можно отключить надежность такой системы.
Обучение фишингу должно быть регулярным обучением для студентов, сотрудников и руководителей. Хакеры становятся все лучше и лучше в этом, и, следовательно, пользователям нужно уделять больше внимания. Барсук утверждает, что очень осторожен в вопросах безопасности , но этого недостаточно.
Невозможно полностью возложить ответственность за кибербезопасность на биржу; пользователи тоже должны внести свой вклад. Существует множество онлайн-курсов, посвященных теме фишинга, и полезно узнать о нем больше, прежде чем рисковать своими деньгами.
Существует ли вообще полная кибербезопасность?
Короткий ответ прост: нет. Есть причина, по которой ваше антивирусное программное обеспечение продолжает запрашивать перезагрузку системы для установки новых обновлений. Хакеры становятся умнее и лучше в своей работе, и вместе с ними развивается кибербезопасность.
Проблема в том, что, к сожалению, иногда хакеры оказываются на шаг впереди систем безопасности. Иногда одного шага достаточно, чтобы потерять огромную сумму денег, которую он может никогда не получить.
Все мы должны понимать опасность делегирования кибербезопасности целиком части кода. Интернет-безопасности необходимо постоянно учить и изучать, и наше антивирусное программное обеспечение не должно быть единственным оружием, которое время от времени обновляется.
Вредоносный скрипт, работающий около трех недель, не привлекая внимания, тоже очень серьезен. Активация ключей API произошла мгновенно, но кража прошла спокойно и осторожно. Тем не менее таким платформам, как BadgerDAO, еще предстоит многое узнать о кибербезопасности, и мы надеемся, что эта история станет последней в своем роде.
А как вы считаете кто больше инвестирует в криптовалюту мужчины или женщины?
По результатам независимых исследований портрет биткоин-инвестора выглядит
следующим образом: 85 процентов инвесторов это мужчины, 15 процентов женщины. Не
смотря на то что женщин в инвестировании не много, их присутствие в отрасли
постоянно растет.
Более подробно вы можете прочесть в публикации:
Кто покупает Биткоины и зачем