Blaze_Security
专注于web3安全服务,提供安全测试、漏洞修复、安全审计等
1 Seko
62 Sekotāji
49 Patika
0 Kopīgots
Publikācijas
🔐 Drošības ceļvedis | Kā izveidot trīskāršu aizsardzību pret "iekšējiem ienaidniekiem"?
Munchables incidents atklāja augstākā līmeņa iekšējos riskus. Aizsardzībai jāaptver projekta visu dzīves ciklu:
✅ Pirmais līmenis: izstrāde un pārbaude
Obligāta kolēģu koda pārbaude: nodrošiniet, lai viss kods vismaz vienu reizi tiktu padziļināti pārbaudīts no citas uzticamas izstrādātāja puses.
Atļauju minimizācija: izstrādes vidē stingri ierobežojiet piekļuvi ražošanas vidē esošajiem atslēgām un galvenajām konfigurācijām.
✅ Otrais līmenis: izvietošana un pārraudzība
Kasešu drošības likums: projekta galvenajai kasei jābūt pārvaldītai ar Gnosis Safe vai līdzīgu daudzparakstu maku un jāiestata laika bloķēšana vismaz 72 stundas, lai nodrošinātu kopienai ārkārtas reaģēšanas logu.
Caurskatāma daudzparakstu pārraudzība: publiskojiet daudzparakstu turētāju sarakstu, lai nodrošinātu, ka vara darbojas atklātībā.
✅ Trešais līmenis: uzraudzība un reaģēšana
Privileģēto darbību uzraudzība: visām īpašumtiesību izmaiņām inteliģentajos līgumos, uzlabojumu funkciju izsaukumiem jābūt 7×24 stundu uzraudzībai un tūlītējai trauksmes izsaukšanai.
Kopienas uzraudzība: veiciniet un izveidojiet kanālus, lai drošības pētnieki un kopiena varētu ērti ziņot par aizdomīgām darbībām.
💎 Galvenā ideja:
Patiesa drošība nāk no sistēmas dizaina, kas nepaļaujas uz vienu uzticamu indivīdu. Ar institucionālu līdzsvaru un caurskatāmu uzraudzību potenciālo iekšējo ienaidnieku risku var samazināt līdz minimumam.
#内部风控 #多签治理 #安全架构 #Web3安全
Munchables incidents atklāja augstākā līmeņa iekšējos riskus. Aizsardzībai jāaptver projekta visu dzīves ciklu:
✅ Pirmais līmenis: izstrāde un pārbaude
Obligāta kolēģu koda pārbaude: nodrošiniet, lai viss kods vismaz vienu reizi tiktu padziļināti pārbaudīts no citas uzticamas izstrādātāja puses.
Atļauju minimizācija: izstrādes vidē stingri ierobežojiet piekļuvi ražošanas vidē esošajiem atslēgām un galvenajām konfigurācijām.
✅ Otrais līmenis: izvietošana un pārraudzība
Kasešu drošības likums: projekta galvenajai kasei jābūt pārvaldītai ar Gnosis Safe vai līdzīgu daudzparakstu maku un jāiestata laika bloķēšana vismaz 72 stundas, lai nodrošinātu kopienai ārkārtas reaģēšanas logu.
Caurskatāma daudzparakstu pārraudzība: publiskojiet daudzparakstu turētāju sarakstu, lai nodrošinātu, ka vara darbojas atklātībā.
✅ Trešais līmenis: uzraudzība un reaģēšana
Privileģēto darbību uzraudzība: visām īpašumtiesību izmaiņām inteliģentajos līgumos, uzlabojumu funkciju izsaukumiem jābūt 7×24 stundu uzraudzībai un tūlītējai trauksmes izsaukšanai.
Kopienas uzraudzība: veiciniet un izveidojiet kanālus, lai drošības pētnieki un kopiena varētu ērti ziņot par aizdomīgām darbībām.
💎 Galvenā ideja:
Patiesa drošība nāk no sistēmas dizaina, kas nepaļaujas uz vienu uzticamu indivīdu. Ar institucionālu līdzsvaru un caurskatāmu uzraudzību potenciālo iekšējo ienaidnieku risku var samazināt līdz minimumam.
#内部风控 #多签治理 #安全架构 #Web3安全
🚨 Reālie gadījumi brīdinājums | 6.25 miljardu dolāru iekšējā uzbrukumā: kā izstrādātāji iebūvēja aizmugurējo ieeju līgumā
Pagājušajā gadā Blast ķēdes spēļu projekts Munchables piedzīvoja iekšēju uzbrukumu. Viens izstrādātājs līguma ietvaros iebūvēja ļaunprātīgu aizmugurējo ieeju, kas pēc palaišanas nozaga visus krājumu aktīvus — 17,400 ETH (ap 6.25 miljardiem dolāru). Pēc tam, kad viņš piedzīvoja spiedienu, uzbrucējs nejauši atdeva visus līdzekļus.
🔍 Vainas kodols:
Tas nebija hakeru uzbrukums, bet gan rūpīgi plānots “piegādes ķēdes uzbrukums” no pirmās dienas. Uzbrucējs ieguva uzticību kā galvenais izstrādātājs, iebūvējot ļaunprātīgu kodu kā “Trojas zirgu” projekta sirdī.
💡 Galvenais drošības brīdinājums:
Uzticībai jābūt pārbaudītai: jebkuram galvenajam dalībniekam, kam ir kodu iesniegšanas tiesības, tehniskajai pārbaudei jābūt tikpat svarīgai kā identitātes fona pārbaudei.
Tiesībām jābūt līdzsvarotām: projekta valsts kases kontrole nevar būt koncentrēta vienai personai vai vienai atslēgai. Bez nosacījumiem jāīsteno “daudzkārtēja parakstīšana + laika aiztures” pārvaldības risinājums.
Drošība ir nepārtraukts process: viena audita nevar garantēt pastāvīgu drošību. Jāizveido pastāvīga uzraudzība un reāllaika brīdinājumu mehānisms privileģētu darbību (piemēram, līgumu atjaunināšana, lielu pārsūtījumu) uzraudzībai.
#供应链安全 #内部威胁 #权限管理
Pagājušajā gadā Blast ķēdes spēļu projekts Munchables piedzīvoja iekšēju uzbrukumu. Viens izstrādātājs līguma ietvaros iebūvēja ļaunprātīgu aizmugurējo ieeju, kas pēc palaišanas nozaga visus krājumu aktīvus — 17,400 ETH (ap 6.25 miljardiem dolāru). Pēc tam, kad viņš piedzīvoja spiedienu, uzbrucējs nejauši atdeva visus līdzekļus.
🔍 Vainas kodols:
Tas nebija hakeru uzbrukums, bet gan rūpīgi plānots “piegādes ķēdes uzbrukums” no pirmās dienas. Uzbrucējs ieguva uzticību kā galvenais izstrādātājs, iebūvējot ļaunprātīgu kodu kā “Trojas zirgu” projekta sirdī.
💡 Galvenais drošības brīdinājums:
Uzticībai jābūt pārbaudītai: jebkuram galvenajam dalībniekam, kam ir kodu iesniegšanas tiesības, tehniskajai pārbaudei jābūt tikpat svarīgai kā identitātes fona pārbaudei.
Tiesībām jābūt līdzsvarotām: projekta valsts kases kontrole nevar būt koncentrēta vienai personai vai vienai atslēgai. Bez nosacījumiem jāīsteno “daudzkārtēja parakstīšana + laika aiztures” pārvaldības risinājums.
Drošība ir nepārtraukts process: viena audita nevar garantēt pastāvīgu drošību. Jāizveido pastāvīga uzraudzība un reāllaika brīdinājumu mehānisms privileģētu darbību (piemēram, līgumu atjaunināšana, lielu pārsūtījumu) uzraudzībai.
#供应链安全 #内部威胁 #权限管理
🔐 Drošības zināšanas | Kā izvairīties no "GriffinAI stila" kombinācijas uzbrukumiem?
GriffinAI incidents atklāj, ka mūsdienu uzbrukumi mērķē uz drošības ķēdes "krustojumu" vājumiem. Projekta pusēm jāizveido daudzslāņu aizsardzība:
✅ Trīskāršā nostiprināšana:
Atļauju pamats: visām galveno līgumu administratora atslēgām jābūt kontrolētām ar aparatūras daudzparakstu maku un jāveic stingra decentralizēta pārvaldība.
Konfigurācijas audits: pēc trešo pušu iekārtu, piemēram, starpkopienu tiltu un orākulu integrācijas, jāveic īpaša drošības konfigurācijas pārbaude, lai apstiprinātu atļauju minimizāciju.
Dziļā uzraudzība: kritisko līgumu privilēģēto funkciju izsaukumiem (piemēram, monētu izgatavošana, jaunināšana) jāveic 7×24 stundu uzvedības uzraudzība un anomāliju brīdināšana.
💎 Kopsavilkums
Patiesā drošība izriet no nulles uzticības pieņēmuma un validācijas katrā atkarības posmā. Pirms izvietošanas, lūdzu, apstipriniet: jūsu kods, atslēgas un konfigurācijas ir izgājušas vienādi stingru drošības pārbaudi.
#安全架构 #零信任 #跨链桥配置 #私钥安全
GriffinAI incidents atklāj, ka mūsdienu uzbrukumi mērķē uz drošības ķēdes "krustojumu" vājumiem. Projekta pusēm jāizveido daudzslāņu aizsardzība:
✅ Trīskāršā nostiprināšana:
Atļauju pamats: visām galveno līgumu administratora atslēgām jābūt kontrolētām ar aparatūras daudzparakstu maku un jāveic stingra decentralizēta pārvaldība.
Konfigurācijas audits: pēc trešo pušu iekārtu, piemēram, starpkopienu tiltu un orākulu integrācijas, jāveic īpaša drošības konfigurācijas pārbaude, lai apstiprinātu atļauju minimizāciju.
Dziļā uzraudzība: kritisko līgumu privilēģēto funkciju izsaukumiem (piemēram, monētu izgatavošana, jaunināšana) jāveic 7×24 stundu uzvedības uzraudzība un anomāliju brīdināšana.
💎 Kopsavilkums
Patiesā drošība izriet no nulles uzticības pieņēmuma un validācijas katrā atkarības posmā. Pirms izvietošanas, lūdzu, apstipriniet: jūsu kods, atslēgas un konfigurācijas ir izgājušas vienādi stingru drošības pārbaudi.
#安全架构 #零信任 #跨链桥配置 #私钥安全
🚨 Gadījuma analīze | GriffinAI dēļ krusttīkla tilta konfigurācijas kļūdas un privātā atslēga noplūdes zaudēja 3 miljonus dolāru
💸 Notikumu ātra ziņojums
Septembrī AI protokols GriffinAI saskārās ar sarežģītu uzbrukumu. Uzbrucēji izmantoja tā LayerZero krusttīkla tilta nepareizo konfigurāciju un BSC ķēdes galveno līgumu privātā atslēga noplūdi, apietot verifikāciju, BSC izsistot 5 miljardus GAIN tokenus un pārdodot daļu, iegūstot aptuveni 3 miljonus dolāru.
🔍 Uzbrukuma ķēdes analīze
Ieeja: projekta komandas BSC uz tokena līguma privātā atslēga noplūde.
Izmantošana: projekta izmantotā LayerZero krusttīkla tilta konfigurācija satur pilnvaru trūkumus.
Uzbrukums: uzbrucēji izmantoja privāto atslēgu, lai Ethereum izveidotu ļaunprātīgu līgumu, nosūtot BSC viltus krusttīkla ziņojumus, izraisot nelikumīgu monētu izsistīšanu.
Realizācija: PancakeSwap pārdod viltotās monētas.
💡 Galvenās brīdinājumi
Drošība ir ķēdē: vienas privātās atslēgas noplūde un viena konfigurācijas kļūda ir pietiekami, lai iznīcinātu visu protokolu.
Revīzija jāveic visaptveroši: drošības revīzijas ir jāaptver gan viedlīgumi, gan privātās atslēgas pārvaldības procesi, kā arī visu trešo pušu komponentu (piemēram, krusttīkla tiltu) konfigurācija.
Uzraudzīt monētu izsistīšanas darbības: jebkuram līgumam ar izsistīšanas funkciju ir jāiestata reāllaika brīdinājumi par lieliem izsistīšanas gadījumiem.
#跨链安全 #私钥管理 #配置错误 #GriffinAI
💸 Notikumu ātra ziņojums
Septembrī AI protokols GriffinAI saskārās ar sarežģītu uzbrukumu. Uzbrucēji izmantoja tā LayerZero krusttīkla tilta nepareizo konfigurāciju un BSC ķēdes galveno līgumu privātā atslēga noplūdi, apietot verifikāciju, BSC izsistot 5 miljardus GAIN tokenus un pārdodot daļu, iegūstot aptuveni 3 miljonus dolāru.
🔍 Uzbrukuma ķēdes analīze
Ieeja: projekta komandas BSC uz tokena līguma privātā atslēga noplūde.
Izmantošana: projekta izmantotā LayerZero krusttīkla tilta konfigurācija satur pilnvaru trūkumus.
Uzbrukums: uzbrucēji izmantoja privāto atslēgu, lai Ethereum izveidotu ļaunprātīgu līgumu, nosūtot BSC viltus krusttīkla ziņojumus, izraisot nelikumīgu monētu izsistīšanu.
Realizācija: PancakeSwap pārdod viltotās monētas.
💡 Galvenās brīdinājumi
Drošība ir ķēdē: vienas privātās atslēgas noplūde un viena konfigurācijas kļūda ir pietiekami, lai iznīcinātu visu protokolu.
Revīzija jāveic visaptveroši: drošības revīzijas ir jāaptver gan viedlīgumi, gan privātās atslēgas pārvaldības procesi, kā arī visu trešo pušu komponentu (piemēram, krusttīkla tiltu) konfigurācija.
Uzraudzīt monētu izsistīšanas darbības: jebkuram līgumam ar izsistīšanas funkciju ir jāiestata reāllaika brīdinājumi par lieliem izsistīšanas gadījumiem.
#跨链安全 #私钥管理 #配置错误 #GriffinAI
🔐 Drošības zināšanas | Kā reaģēt uz Tornado Cash naudas atmazgāšanas uzbrukumiem?
Saskaroties ar jau par standartu kļuvušo "zādzība → pārrobežu → naudas maisīšana" uzbrukumu, projektu komandai jāizveido pilnīga reakcijas ķēde:
🕵️ Reakcija trīs posmos:
Iepriekšēja uzraudzība: sadarbojoties ar datu analīzes pusēm, uzraudzīt pašas protokola un saistītās adreses, iekļaut galvenās naudas maisītāja adreses melnajā sarakstā.
Reakcija uz notikumu: kad uzbrukums notiek, nekavējoties publiskot uzbrucēja adresi, izmantojot kopienas un biržu spēku izsekošanai.
Pamatizsardzība: pirms projekta palaišanas pabeigt visaptverošu drošības auditu, kas aptver biznesa loģiku un pārrobežu mijiedarbību.
💎 Galvenā doma:
Cīņa ar naudas maisītājiem ir sacensība ar laiku. Pilnīgas ķēdes izveidošana "uzraudzība - trauksme - izsekošana" ir atslēga maksimāli samazināt zaudējumus pēc uzbrukuma.
#TornadoCash #链上追踪 #安全响应 #DeFi安全
Saskaroties ar jau par standartu kļuvušo "zādzība → pārrobežu → naudas maisīšana" uzbrukumu, projektu komandai jāizveido pilnīga reakcijas ķēde:
🕵️ Reakcija trīs posmos:
Iepriekšēja uzraudzība: sadarbojoties ar datu analīzes pusēm, uzraudzīt pašas protokola un saistītās adreses, iekļaut galvenās naudas maisītāja adreses melnajā sarakstā.
Reakcija uz notikumu: kad uzbrukums notiek, nekavējoties publiskot uzbrucēja adresi, izmantojot kopienas un biržu spēku izsekošanai.
Pamatizsardzība: pirms projekta palaišanas pabeigt visaptverošu drošības auditu, kas aptver biznesa loģiku un pārrobežu mijiedarbību.
💎 Galvenā doma:
Cīņa ar naudas maisītājiem ir sacensība ar laiku. Pilnīgas ķēdes izveidošana "uzraudzība - trauksme - izsekošana" ir atslēga maksimāli samazināt zaudējumus pēc uzbrukuma.
#TornadoCash #链上追踪 #安全响应 #DeFi安全
🚨 Notikumu ziņojums | GANA maksājums tika uzbrukts, zaudējumi 310 miljoni dolāru
Novembrī BSC ķēdē maksājumu projekts GANA maksājums tika uzbrukts hakeru, zaudējumi aptuveni 310 miljoni dolāru.
Uzbrucēji ātri pārvietoja aktīvus caur krustojuma tiltu un noguldīja kopējo vērtību pārsniedzot 200 miljonus dolāru nozagtās naudas Tornado Cash maisītājā.
💡 Galvenie punkti:
Līdzekļu stāvoklis: joprojām ir 104.6 miljoni dolāru (346 ETH) pagaidu uzbrucēja adresē, kas ir svarīgs izsekošanas logs.
Uzbrukuma mode: zādzība → krustojuma pārvietošana → maisīšana, ir kļuvis par hakeru standarta “naudas atmazgāšanas” procesu.
✅ Brīdinājums projektiem:
Ārkārtas reaģēšanas efektivitāte: pēc uzbrukuma notikšanas dažu stundu laikā līdzekļi tika pārvietoti un maisīti, izceļot automatizētas uzraudzības un ārkārtas reaģēšanas mehānisma izveides ārkārtīgi svarīgumu.
Krustojuma risks: krustojuma tilts ir kļuvis par hakeru standartizētu rīku līdzekļu pārvietošanai un vienas ķēdes uzraudzības izvairīšanai, drošības aizsardzības līnijai jāaptver visas saistītās ķēdes.
Vājuma izmaksas: šis incidents vēlreiz parāda, ka neizdevīga vājuma atklāšana var uzreiz iznīcināt projektu.
#链上安全 #GANA支付 #BSC #混币器
Novembrī BSC ķēdē maksājumu projekts GANA maksājums tika uzbrukts hakeru, zaudējumi aptuveni 310 miljoni dolāru.
Uzbrucēji ātri pārvietoja aktīvus caur krustojuma tiltu un noguldīja kopējo vērtību pārsniedzot 200 miljonus dolāru nozagtās naudas Tornado Cash maisītājā.
💡 Galvenie punkti:
Līdzekļu stāvoklis: joprojām ir 104.6 miljoni dolāru (346 ETH) pagaidu uzbrucēja adresē, kas ir svarīgs izsekošanas logs.
Uzbrukuma mode: zādzība → krustojuma pārvietošana → maisīšana, ir kļuvis par hakeru standarta “naudas atmazgāšanas” procesu.
✅ Brīdinājums projektiem:
Ārkārtas reaģēšanas efektivitāte: pēc uzbrukuma notikšanas dažu stundu laikā līdzekļi tika pārvietoti un maisīti, izceļot automatizētas uzraudzības un ārkārtas reaģēšanas mehānisma izveides ārkārtīgi svarīgumu.
Krustojuma risks: krustojuma tilts ir kļuvis par hakeru standartizētu rīku līdzekļu pārvietošanai un vienas ķēdes uzraudzības izvairīšanai, drošības aizsardzības līnijai jāaptver visas saistītās ķēdes.
Vājuma izmaksas: šis incidents vēlreiz parāda, ka neizdevīga vājuma atklāšana var uzreiz iznīcināt projektu.
#链上安全 #GANA支付 #BSC #混币器
🔐 Drošības zināšanas | No Hyperliquid notikuma skatoties uz derivātu protokolu risku vadības attīstību
📌 Tradicionālās risku vadības aklās vietas
Tradicionālā drošības audita galvenokārt pievērš uzmanību viedlīguma kodu trūkumiem, taču tādi “ekonomiskā modeļa uzbrukumi” kā Hyperliquid 2025. gada maijā liecina, ka vislielākie draudi var rasties no protokola noteikumu ļaunprātīgas izmantošanas. Uzbrucēji likumīgi radīja finanšu krīzi noteikumu ietvaros.
✅ Nākamās paaudzes risku vadības trīs pīlāri
Uzvedības analīze un apvienotā uzraudzība
Izmantojot ķēdes analīzi, identificēt milzīgas pozīcijas, kuras kontrolē vairāki saistīti adreses ar kopīgu nodomu.
Uzraudzīt pasūtījumu grāmatu, brīdināt par acīmredzamiem pasūtījumu modeļiem, kas tiek izmantoti īstermiņa manipulācijām, nevis īstām tirdzniecībām.
Dinamiski riska pārvaldības parametri
Lielām vai augstas koncentrācijas pozīcijām ieviest augstākas maržas prasības, paaugstinot uzbrukuma izmaksas.
Izmantojot “pakāpenisku norēķinu” vai “aizkavētu norēķinu” mehānismus, izvairīties no katastrofālas sliktas parāda veidošanās, kad likviditāte ir momentāni izsīkusi.
Protokola pārvaldība un drošības infrastruktūra
Izveidot un apgādāt “riska garantiju fondu”, lai uzsūktu šādās ekstremālajās situācijās radušos negaidītos zaudējumus, aizsargājot parastos LP.
Skaidri noteikt “steidzamas apturēšanas” pārvaldības procedūras un pilnvaras, lai varētu ātri reaģēt, ja tiek konstatēta tirgus manipulācija.
💎 Kopsavilkums
Nākotnes DeFi drošība, it īpaši atvasinājumu jomā, būs koda drošības, finanšu inženierijas drošības un uzvedības spēļu drošības apvienojums. Protokola komanda ir jādomā proaktīvi, kā projektējot produktu, par visiem ceļiem, pa kuriem tās ekonomiskā mehānika varētu tikt uzbrukta.
#衍生品风控 #经济安全 #DeFi设计 #协议治理
📌 Tradicionālās risku vadības aklās vietas
Tradicionālā drošības audita galvenokārt pievērš uzmanību viedlīguma kodu trūkumiem, taču tādi “ekonomiskā modeļa uzbrukumi” kā Hyperliquid 2025. gada maijā liecina, ka vislielākie draudi var rasties no protokola noteikumu ļaunprātīgas izmantošanas. Uzbrucēji likumīgi radīja finanšu krīzi noteikumu ietvaros.
✅ Nākamās paaudzes risku vadības trīs pīlāri
Uzvedības analīze un apvienotā uzraudzība
Izmantojot ķēdes analīzi, identificēt milzīgas pozīcijas, kuras kontrolē vairāki saistīti adreses ar kopīgu nodomu.
Uzraudzīt pasūtījumu grāmatu, brīdināt par acīmredzamiem pasūtījumu modeļiem, kas tiek izmantoti īstermiņa manipulācijām, nevis īstām tirdzniecībām.
Dinamiski riska pārvaldības parametri
Lielām vai augstas koncentrācijas pozīcijām ieviest augstākas maržas prasības, paaugstinot uzbrukuma izmaksas.
Izmantojot “pakāpenisku norēķinu” vai “aizkavētu norēķinu” mehānismus, izvairīties no katastrofālas sliktas parāda veidošanās, kad likviditāte ir momentāni izsīkusi.
Protokola pārvaldība un drošības infrastruktūra
Izveidot un apgādāt “riska garantiju fondu”, lai uzsūktu šādās ekstremālajās situācijās radušos negaidītos zaudējumus, aizsargājot parastos LP.
Skaidri noteikt “steidzamas apturēšanas” pārvaldības procedūras un pilnvaras, lai varētu ātri reaģēt, ja tiek konstatēta tirgus manipulācija.
💎 Kopsavilkums
Nākotnes DeFi drošība, it īpaši atvasinājumu jomā, būs koda drošības, finanšu inženierijas drošības un uzvedības spēļu drošības apvienojums. Protokola komanda ir jādomā proaktīvi, kā projektējot produktu, par visiem ceļiem, pa kuriem tās ekonomiskā mehānika varētu tikt uzbrukta.
#衍生品风控 #经济安全 #DeFi设计 #协议治理
🚨 Pētījums par gadījumu | Hyperliquid bija mērķtiecīgi uzbrukts ar "slēdzenes izgāšanu" ar ieguldījumu, zaudējot 490 000 ASV dolārus
11. mēnesī uzbrucējs plānoja precīzu uzbrukumu derīvātu protokolam Hyperliquid, kas saistīts ar POPCAT tirgu.
🔍 Uzbrukuma metode:
Plānošana: Izmantojot 19 maciņus, ar 3 miljoniem ASV dolāru kapitālu, tika izveidoti 20-30 miljoniem ASV dolāru 5 reizes lielāki pirkuma pozīcijas.
Manipulācija: Vienlaikus tika izveidotas lielas pirkuma pasūtījumu masas, radot mākslīgu ilgstošu pirkuma spiedienu, lai atbalstītu cenu.
Pārtraukums: Pēkšņi tika noņemti visi atbalsta pirkuma pasūtījumi, kas izraisīja POPCAT cenas straujo krišanu un izraisīja savstarpēju pozīciju likvidāciju.
Pārņemšana: Tā kā tirgus dziļums bija pietiekami mazs, protokola HLP (likviditātes sniedzēju) konteineri bija spiesti pārņemt zaudējumus, kas beigās izraisīja 490 000 ASV dolāru zaudējumus.
💡 Būtība un brīdinājums:
Šis ir tipisks "ekonomikas modela uzbrukums". Uzbrucējs neizmantoja kodeksa kļūdas, bet ļaunprātīgi izmantoja paša protokola slēdzenes, likvidācijas un likviditātes konteineru noteikumus, sistēmātiski pārņemot risku uz protokolu un visiem likviditātes sniedzējiem.
Tas brīdina visus DeFi projektus, īpaši derīvātu protokolus: risku pārvaldībai ir jāspēj identificēt un aizsargāties pret šādu sarežģītu darījumu stratēģiju, kas notiek noteikumu ietvaros, taču ir skaidri viltīga.
#DeFi安全 #经济模型攻击 #衍生品 #Hyperliquid
11. mēnesī uzbrucējs plānoja precīzu uzbrukumu derīvātu protokolam Hyperliquid, kas saistīts ar POPCAT tirgu.
🔍 Uzbrukuma metode:
Plānošana: Izmantojot 19 maciņus, ar 3 miljoniem ASV dolāru kapitālu, tika izveidoti 20-30 miljoniem ASV dolāru 5 reizes lielāki pirkuma pozīcijas.
Manipulācija: Vienlaikus tika izveidotas lielas pirkuma pasūtījumu masas, radot mākslīgu ilgstošu pirkuma spiedienu, lai atbalstītu cenu.
Pārtraukums: Pēkšņi tika noņemti visi atbalsta pirkuma pasūtījumi, kas izraisīja POPCAT cenas straujo krišanu un izraisīja savstarpēju pozīciju likvidāciju.
Pārņemšana: Tā kā tirgus dziļums bija pietiekami mazs, protokola HLP (likviditātes sniedzēju) konteineri bija spiesti pārņemt zaudējumus, kas beigās izraisīja 490 000 ASV dolāru zaudējumus.
💡 Būtība un brīdinājums:
Šis ir tipisks "ekonomikas modela uzbrukums". Uzbrucējs neizmantoja kodeksa kļūdas, bet ļaunprātīgi izmantoja paša protokola slēdzenes, likvidācijas un likviditātes konteineru noteikumus, sistēmātiski pārņemot risku uz protokolu un visiem likviditātes sniedzējiem.
Tas brīdina visus DeFi projektus, īpaši derīvātu protokolus: risku pārvaldībai ir jāspēj identificēt un aizsargāties pret šādu sarežģītu darījumu stratēģiju, kas notiek noteikumu ietvaros, taču ir skaidri viltīga.
#DeFi安全 #经济模型攻击 #衍生品 #Hyperliquid
🔐 Iekšējā aizsardzības rādītājs | Kā izveidot "fiziski izturīgu" aizsardzības līniju savai vairāku parakstu maciņam?
2700 USD miljoni zaudējumi brīdinājums: kad uzbrukums tiek uzlabots, aizsardzībai ir jāiet dziļāk fiziskajā un operatīvajā līmenī.
✅ Izveidojiet vairāku parakstu sistēmu, kurā netic nevienam ierīcei
1. Privātā atslēga izveidošanas absolūtā tīrība
Katru vairāku parakstu privāto atslēgu jāizveido uz jaunas, atslēgtas no tīkla ierīces (vai hardvera maciņa), kas nekad nav bijusi savienota ar tīklu.
Pēc izveidošanas nekavējoties iznīciniet visus tīkla komponentus šajā ierīcē (piemēram, Wi-Fi/bluetooh moduļus) vai pārveidojiet to par "paraksta speciālistu".
2. Paraksta procesa fiziskā atdalīšana
Paraksta laikā izmantojiet atslēgtu QR kodu vai SD karti, lai pārsūtītu neparakstītus transakcijas datus starp paraksta ierīci un tīklā esošo transakcijas veidošanas ierīci.
Absolūti aizliegts izmantot USB kabeli tieši savienot vai jebkuru citu datu pārsūtīšanas tīkla protokolu.
3. Ierīču un vides maksimālā kontrole
Specializētās ierīces: datoram vai telefonam, ko izmanto paraksta procesam, jābūt instalētām tikai paraksta programmatūrai un nepieciešamajiem sistēmas komponentiem, jānepārskata tīmekļa lapas vai jāapstrādā e-pasti.
Fiziskā atdalīšana: paraksta ierīču glabāšanas telpā jāievieš stingra fiziska piekļuves kontrole un tīkla bloķēšana.
💎 Galvenā princips
Lielām aktīvām vērtībām mērķis nav "grūti pārvarēt", bet gan "fiziski neiespējami tālu pārvarēt". Pārveidojiet savu vairāku parakstu risinājumu no "programmatūras drošības" līmenī uz "ierīču un procesu drošības" līmeni.
#多签安全 #硬件安全 #冷存储 #操作安全
2700 USD miljoni zaudējumi brīdinājums: kad uzbrukums tiek uzlabots, aizsardzībai ir jāiet dziļāk fiziskajā un operatīvajā līmenī.
✅ Izveidojiet vairāku parakstu sistēmu, kurā netic nevienam ierīcei
1. Privātā atslēga izveidošanas absolūtā tīrība
Katru vairāku parakstu privāto atslēgu jāizveido uz jaunas, atslēgtas no tīkla ierīces (vai hardvera maciņa), kas nekad nav bijusi savienota ar tīklu.
Pēc izveidošanas nekavējoties iznīciniet visus tīkla komponentus šajā ierīcē (piemēram, Wi-Fi/bluetooh moduļus) vai pārveidojiet to par "paraksta speciālistu".
2. Paraksta procesa fiziskā atdalīšana
Paraksta laikā izmantojiet atslēgtu QR kodu vai SD karti, lai pārsūtītu neparakstītus transakcijas datus starp paraksta ierīci un tīklā esošo transakcijas veidošanas ierīci.
Absolūti aizliegts izmantot USB kabeli tieši savienot vai jebkuru citu datu pārsūtīšanas tīkla protokolu.
3. Ierīču un vides maksimālā kontrole
Specializētās ierīces: datoram vai telefonam, ko izmanto paraksta procesam, jābūt instalētām tikai paraksta programmatūrai un nepieciešamajiem sistēmas komponentiem, jānepārskata tīmekļa lapas vai jāapstrādā e-pasti.
Fiziskā atdalīšana: paraksta ierīču glabāšanas telpā jāievieš stingra fiziska piekļuves kontrole un tīkla bloķēšana.
💎 Galvenā princips
Lielām aktīvām vērtībām mērķis nav "grūti pārvarēt", bet gan "fiziski neiespējami tālu pārvarēt". Pārveidojiet savu vairāku parakstu risinājumu no "programmatūras drošības" līmenī uz "ierīču un procesu drošības" līmeni.
#多签安全 #硬件安全 #冷存储 #操作安全
🚨 Īstas lietotāja brīdinājums | 27 miljoni ASV dolāru smags mācību piemērs: kā ļaunprātīga programmatūra izlauzās cauri augstākajam vairāku parakstu aizsardzības līmenim
💸 Notikuma būtība
Paziņots, ka augsti vērtīgi lietotājs Babur, izpildot ļaunprātīgu failu, iekļuva inficētā ierīcē un zaudēja apmēram 27 miljonus ASV dolāru vērtības kriptovalūtas. Uzbrucēji izlauzās pie parakstu atslēgām, kas nepieciešamas Ethereum Safe vairāku parakstu maciņam.
🔍 Uzbrukuma dziļā analīze
Šis nav vienkāršs mānīšanas uzbrukums, bet gan mērķtiecīgs augstā līmeņa uzbrukums:
Pārvarēja galveno aizsardzību: uzbrukuma mērķis bija vairāku parakstu maciņš, kas prasa vairākas privātās atslēgas, lai veiktu parakstīšanu, kas ir viens no personīgām vērtībām piemērotākajiem aizsardzības risinājumiem.
Precīza atslēgu izlaušana: ļaunprātīgā programmatūra nevienmēr izlauzās tieši pēc kriptovalūtām, bet gan slēpās un atrada ierīcē glabātās vairāku parakstu privātās atslēgas failus, tādējādi iznīcinot aizsardzības pamatus.
Pārslēgšana starp ķēdēm: pēc piekļuves uzbrucēji ātri pārvietoja vērtības Ethereum un Solana tīklos, kas palielināja pētīšanas grūtības.
💡 Galvenās drošības iedvesmas
Izolācija ar hardvera maciņiem ir vienīgais risinājums: vairāku parakstu maciņiem, kas pārvalda ļoti lielas vērtības, katru privāto atslēgu jāģenerē un jāglabā pilnīgi atslēgtā hardvera maciņā, nekad neizmantojot savienotās ierīces.
"Vairāki paraksti" nav vienāds ar "absolūtu drošību": ja visas paraksta ierīces ir pakļautas vienai un tai pašai tīkla riskam (piemēram, inficētas ar vienu un to pašu ļaunprātīgu programmatūru), vairāku parakstu aizsardzības nozīme pilnībā pazūd.
Uzmanīgi pret izvērstiem sabiedriskās inženierijas uzbrukumiem: uzbrukums sākās ar "ļaunprātīgu failu", kas ļoti varētu būt augstā līmeņa mērķtiecīgs fisherācijas uzbrukums.
#钱包安全 #恶意软件 #多签钱包
💸 Notikuma būtība
Paziņots, ka augsti vērtīgi lietotājs Babur, izpildot ļaunprātīgu failu, iekļuva inficētā ierīcē un zaudēja apmēram 27 miljonus ASV dolāru vērtības kriptovalūtas. Uzbrucēji izlauzās pie parakstu atslēgām, kas nepieciešamas Ethereum Safe vairāku parakstu maciņam.
🔍 Uzbrukuma dziļā analīze
Šis nav vienkāršs mānīšanas uzbrukums, bet gan mērķtiecīgs augstā līmeņa uzbrukums:
Pārvarēja galveno aizsardzību: uzbrukuma mērķis bija vairāku parakstu maciņš, kas prasa vairākas privātās atslēgas, lai veiktu parakstīšanu, kas ir viens no personīgām vērtībām piemērotākajiem aizsardzības risinājumiem.
Precīza atslēgu izlaušana: ļaunprātīgā programmatūra nevienmēr izlauzās tieši pēc kriptovalūtām, bet gan slēpās un atrada ierīcē glabātās vairāku parakstu privātās atslēgas failus, tādējādi iznīcinot aizsardzības pamatus.
Pārslēgšana starp ķēdēm: pēc piekļuves uzbrucēji ātri pārvietoja vērtības Ethereum un Solana tīklos, kas palielināja pētīšanas grūtības.
💡 Galvenās drošības iedvesmas
Izolācija ar hardvera maciņiem ir vienīgais risinājums: vairāku parakstu maciņiem, kas pārvalda ļoti lielas vērtības, katru privāto atslēgu jāģenerē un jāglabā pilnīgi atslēgtā hardvera maciņā, nekad neizmantojot savienotās ierīces.
"Vairāki paraksti" nav vienāds ar "absolūtu drošību": ja visas paraksta ierīces ir pakļautas vienai un tai pašai tīkla riskam (piemēram, inficētas ar vienu un to pašu ļaunprātīgu programmatūru), vairāku parakstu aizsardzības nozīme pilnībā pazūd.
Uzmanīgi pret izvērstiem sabiedriskās inženierijas uzbrukumiem: uzbrukums sākās ar "ļaunprātīgu failu", kas ļoti varētu būt augstā līmeņa mērķtiecīgs fisherācijas uzbrukums.
#钱包安全 #恶意软件 #多签钱包
🔐 Zinātnes analīze | Kā aizsargāties pret šāda veida "līguma līmeņa APT"?
✅ Trīslīmeņa dziļā aizsardzības shēma
1. Ievietošanas posms: procesa stiprināšana, izvairīšanās no priekšlaicīgās darbības
Standartizēti ievietošanas skripti: izmantojiet stingri pārbaudītus, nemaināmus skriptus aģenta inicializācijai, izvairoties no rokām veiktām darbībām.
Dažu parakstu inicializācija: aģenta līguma inicializācijas tiesības vajadzētu apstiprināt vairāku parakstu vērā, ārpus tīkla, nevis izpildīt ar vienu privāto atslēgu.
2. Pārbaudes posms: pārbaudīt procesu, ne tikai kodu
Īpaša aģenta pārbaude: pārbaudei jāiekļauj pilnīga aģenta atjaunināšanas ceļa, inicializācijas tiesību un visu pārvaldības funkciju pārbaude.
Laika aizkavējuma pārbaude: pārbaudes speciālists vajadzētu pieņemt, ka pastāv "apstāšanās loģika", pārbaudot, vai kāda funkcija varētu nākotnē tikt aktivizēta neautORIZētām personām.
3. Uzraudzības posms: nepārtraukta uzraudzība, reāllaika brīdinājumi
Atjaunināšanas darbības uzraudzība: iestatīt reāllaika brīdinājumus par jebkādiem saistītiem atjaunināšanas izsaukumiem, piemēram, upgradeTo.
Pārvaldības tiesību izmaiņu sekosana: uzraudzīt svarīgu tiesību izmaiņas, piemēram, līguma īpašnieks vai DEFAULT_ADMIN_ROLE.
💎 Ieteikumi projektu izstrādātājiem
Saskaroties ar šāda veida uzbrukumiem, ir jāveido pilnīgs drošības skatījums no ievietošanas līdz atjaunināšanai. Izvēloties drošības partneri, tas vajadzētu ne tikai pārbaudīt kodu, bet arī piedāvāt risinājumus jūsu ievietošanas procesam un darbības uzraudzībai.
#CPIMP攻击 #代理合约安全 #持续监控 #安全架构
✅ Trīslīmeņa dziļā aizsardzības shēma
1. Ievietošanas posms: procesa stiprināšana, izvairīšanās no priekšlaicīgās darbības
Standartizēti ievietošanas skripti: izmantojiet stingri pārbaudītus, nemaināmus skriptus aģenta inicializācijai, izvairoties no rokām veiktām darbībām.
Dažu parakstu inicializācija: aģenta līguma inicializācijas tiesības vajadzētu apstiprināt vairāku parakstu vērā, ārpus tīkla, nevis izpildīt ar vienu privāto atslēgu.
2. Pārbaudes posms: pārbaudīt procesu, ne tikai kodu
Īpaša aģenta pārbaude: pārbaudei jāiekļauj pilnīga aģenta atjaunināšanas ceļa, inicializācijas tiesību un visu pārvaldības funkciju pārbaude.
Laika aizkavējuma pārbaude: pārbaudes speciālists vajadzētu pieņemt, ka pastāv "apstāšanās loģika", pārbaudot, vai kāda funkcija varētu nākotnē tikt aktivizēta neautORIZētām personām.
3. Uzraudzības posms: nepārtraukta uzraudzība, reāllaika brīdinājumi
Atjaunināšanas darbības uzraudzība: iestatīt reāllaika brīdinājumus par jebkādiem saistītiem atjaunināšanas izsaukumiem, piemēram, upgradeTo.
Pārvaldības tiesību izmaiņu sekosana: uzraudzīt svarīgu tiesību izmaiņas, piemēram, līguma īpašnieks vai DEFAULT_ADMIN_ROLE.
💎 Ieteikumi projektu izstrādātājiem
Saskaroties ar šāda veida uzbrukumiem, ir jāveido pilnīgs drošības skatījums no ievietošanas līdz atjaunināšanai. Izvēloties drošības partneri, tas vajadzētu ne tikai pārbaudīt kodu, bet arī piedāvāt risinājumus jūsu ievietošanas procesam un darbības uzraudzībai.
#CPIMP攻击 #代理合约安全 #持续监控 #安全架构
🚨 Gadījumu brīdinājums | Stabilā nauda USPD ir pakļauta “miega bumbas” uzbrukumam, zaudējumi miljonus dolāru
💸 Notikuma kodols
Saskaņā ar PeckShield un citu iestāžu apstiprinājumu, stabilās naudas projekts USPD nesen piedzīvoja rūpīgi plānots “CPIMP” (starptautiskais aģents) uzbrukumu. Uzbrucēji, izmantojot projekta inicializācijas procesu, ielika miega ļaunprātīgu kodu un aktivizēja to pēc vairākiem mēnešiem, nelikumīgi izgatavojot 98 miljonus USPD un nozogot aptuveni 232 stETH, kopējie zaudējumi apmēram 1 miljons dolāru.
🔍 Uzbrukuma metodes analīze
Pirms laika izvietošana, “kronas” iegūšana: projekta izvietošanas posmā uzbrucēji izmantoja Multicall3 rīku, lai pirms laika inicializētu aģenta līgumu, tādējādi slepeni iegūstot augstākā administratora tiesības.
Ieliek “miega loģiku”: uzbrucēji ļaunprātīgu uzlabojumu loģiku maskēja kā auditu izturējušus normālus līguma kodus, kas tika izvietoti kopā, un šī loģika pēc izvietošanas palika miegā, izvairoties no drošības pārbaudēm pirms un pēc palaišanas.
Mēnešu laikā slēpās, pēkšņi aktivizējās: kad komanda un kopiena ir atslābinājusies vairāku mēnešu laikā, uzbrucēji attālināti aktivizēja miega loģiku, veica ļaunprātīgu uzlabojumu un vienā mirklī veica milzīgu zādzību.
💡 Nozares drošības brīdinājums
Audita “laika aklums”: tradicionālais vienreizējais audits nevar aizsargāt pret šādu laika posmu, kas ilgst vairākus mēnešus, “augsta līmeņa pastāvīgu draudu” gadījumā. Kods audita laikā ir “nevainīgs”, nenozīmē, ka nākotnē tas ir uz visiem laikiem drošs.
Izvietošanas process ir letāla vājība: projekta visvājākais brīdis bieži ir palaišanas brīdis. Ir jāstandartizē un jāaizsargā pats izvietošanas process (piemēram, aģenta inicializācija) ar vairāku parakstu aizsardzību.
Nepārtraukta uzraudzība ir neaizstājama: projektiem, kuriem ir aģenta uzlabošanas iespējas, ir jāizveido 7×24 stundu izņēmuma uzraudzība attiecībā uz līguma pārvaldību un uzlabošanas darbībām.
#智能合约安全 #高级持续性威胁 #代理攻击 #USPD
💸 Notikuma kodols
Saskaņā ar PeckShield un citu iestāžu apstiprinājumu, stabilās naudas projekts USPD nesen piedzīvoja rūpīgi plānots “CPIMP” (starptautiskais aģents) uzbrukumu. Uzbrucēji, izmantojot projekta inicializācijas procesu, ielika miega ļaunprātīgu kodu un aktivizēja to pēc vairākiem mēnešiem, nelikumīgi izgatavojot 98 miljonus USPD un nozogot aptuveni 232 stETH, kopējie zaudējumi apmēram 1 miljons dolāru.
🔍 Uzbrukuma metodes analīze
Pirms laika izvietošana, “kronas” iegūšana: projekta izvietošanas posmā uzbrucēji izmantoja Multicall3 rīku, lai pirms laika inicializētu aģenta līgumu, tādējādi slepeni iegūstot augstākā administratora tiesības.
Ieliek “miega loģiku”: uzbrucēji ļaunprātīgu uzlabojumu loģiku maskēja kā auditu izturējušus normālus līguma kodus, kas tika izvietoti kopā, un šī loģika pēc izvietošanas palika miegā, izvairoties no drošības pārbaudēm pirms un pēc palaišanas.
Mēnešu laikā slēpās, pēkšņi aktivizējās: kad komanda un kopiena ir atslābinājusies vairāku mēnešu laikā, uzbrucēji attālināti aktivizēja miega loģiku, veica ļaunprātīgu uzlabojumu un vienā mirklī veica milzīgu zādzību.
💡 Nozares drošības brīdinājums
Audita “laika aklums”: tradicionālais vienreizējais audits nevar aizsargāt pret šādu laika posmu, kas ilgst vairākus mēnešus, “augsta līmeņa pastāvīgu draudu” gadījumā. Kods audita laikā ir “nevainīgs”, nenozīmē, ka nākotnē tas ir uz visiem laikiem drošs.
Izvietošanas process ir letāla vājība: projekta visvājākais brīdis bieži ir palaišanas brīdis. Ir jāstandartizē un jāaizsargā pats izvietošanas process (piemēram, aģenta inicializācija) ar vairāku parakstu aizsardzību.
Nepārtraukta uzraudzība ir neaizstājama: projektiem, kuriem ir aģenta uzlabošanas iespējas, ir jāizveido 7×24 stundu izņēmuma uzraudzība attiecībā uz līguma pārvaldību un uzlabošanas darbībām.
#智能合约安全 #高级持续性威胁 #代理攻击 #USPD
🔐 Drošības zinātnes analīze | Griezuma drošības risks un labākās prakses smarta kontraktu atjaunošanai
🚨 Risks pēc apjoma
2024. gadā zaudējumi, ko izraisīja kontraktu atjaunošanas kļūdas, pieauga par 220%
43% no projektiem ir dizaina trūkumi atjaunošanas mehānismā
Vidēji katrs atjauninātais kontrakts satur 2,8 bīstamas kļūdas
✅ Atjaunošanas drošības ietvara
1️⃣ Arhitektūras izvēle
Transparenta aizstāvēšanas režīms: atjaunošanas loģika ir skaidra, bet gāzes izmaksas ir augstākas
UUPS režīms: vieglāks, bet prasa stingru atļauju kontroli
Diamanta standarts: atbalsta modulāru atjaunošanu, taču sarežģītība strauji pieaug
2️⃣ Svarīgākie aizsardzības punkti
Glabāšanas izkārtojuma aizsardzība: novērst glabāšanas vietas konfliktus atjaunošanas laikā
Inicializācijas drošība: novērst inicializācijas funkcijas atkārtotu izsaukšanu
Atļauju pārbaude: vairāku parakstu + laika slēguma atjaunošanas apstiprināšanas mehānisms
3️⃣ Auditēšanas punkti
Formālā pārbaude atjaunošanas ceļam
Simulēt jauno un veco versiju savietojamības testus
Pārbaudīt atgriešanās mehānismu efektivitāti
🏗️ Ieviešanas ieteikumi
Izmantojiet pakāpenisku atjaunošanas stratēģiju, mazās soļos, lai samazinātu riskus
Katram versijai izveidojiet pilnu testu gadījumu bibliotēku
Ievietojiet daudzstāvu uzraudzības un brīdinājumu sistēmu, lai reāllaikā pārbaudītu atjaunošanas anomālijas
#智能合约升级 #代理模式 #安全审计 #DeFi开发
🚨 Risks pēc apjoma
2024. gadā zaudējumi, ko izraisīja kontraktu atjaunošanas kļūdas, pieauga par 220%
43% no projektiem ir dizaina trūkumi atjaunošanas mehānismā
Vidēji katrs atjauninātais kontrakts satur 2,8 bīstamas kļūdas
✅ Atjaunošanas drošības ietvara
1️⃣ Arhitektūras izvēle
Transparenta aizstāvēšanas režīms: atjaunošanas loģika ir skaidra, bet gāzes izmaksas ir augstākas
UUPS režīms: vieglāks, bet prasa stingru atļauju kontroli
Diamanta standarts: atbalsta modulāru atjaunošanu, taču sarežģītība strauji pieaug
2️⃣ Svarīgākie aizsardzības punkti
Glabāšanas izkārtojuma aizsardzība: novērst glabāšanas vietas konfliktus atjaunošanas laikā
Inicializācijas drošība: novērst inicializācijas funkcijas atkārtotu izsaukšanu
Atļauju pārbaude: vairāku parakstu + laika slēguma atjaunošanas apstiprināšanas mehānisms
3️⃣ Auditēšanas punkti
Formālā pārbaude atjaunošanas ceļam
Simulēt jauno un veco versiju savietojamības testus
Pārbaudīt atgriešanās mehānismu efektivitāti
🏗️ Ieviešanas ieteikumi
Izmantojiet pakāpenisku atjaunošanas stratēģiju, mazās soļos, lai samazinātu riskus
Katram versijai izveidojiet pilnu testu gadījumu bibliotēku
Ievietojiet daudzstāvu uzraudzības un brīdinājumu sistēmu, lai reāllaikā pārbaudītu atjaunošanas anomālijas
#智能合约升级 #代理模式 #安全审计 #DeFi开发
🚨 Pārskats par gadījumu | MetaMask tika uzbrukts ar mānīšanas metodi, lietotāji zaudēja 850 000 ASV dolārus
📌 Notikuma pārskats
2024. gada septembrī viens MetaMask lietotājs, noklikšķinot uz mānīšanas DeFi aizvietošanas saiti, piekrita ļaunam darījumam mānīšanas tīmekļa vietnē, tādējādi 850 000 ASV dolāru aktīvi tika iztukšoti 2 minūtēs.
🔍 Kļūdas analīze
Tradicionālā tīmekļa drošība: uzbrukums izmantoja "pārsvītrošanas skripta" (XSS) kļūdu, ļaunprātīgs skripts noklīda lietotāja maciņa tiesības
Sociālā inženierija: mānīšanas DeFi projektu satura interfeiss tika izmantots, lai iedrošinātu lietotāju pašu darbību
Pārlūkprogrammas paplašinājuma risks: ļaunprātīgs paplašinājums tika maskēts kā atbilstošs rīks un mainīja darījumu saturu
🛡️ Mūsu ieteikumi:
1. Tehniskā līmenī
Ieviest stingru saturu drošības politiku priekš priekšējās puses lapām
Izmantot apakšresursu integritātes pārbaudi, lai novērstu trešo pušu skriptu pārveidošanu
Veikt drošības pārbaudi pārlūkprogrammas paplašinājumiem
2. Lietotāju izglītība
Pārliecināties, ka darbinieki piedalās sociālās inženierijas aizsardzības apmācībās
Ieviest mānīšanas uzbrukumu simulācijas testēšanas sistēmu
Izmantot vairāku parakstu maciņus lielu naudas summu pārvaldīšanai
3. Uzmanības sistēma
Ieviest 24 stundu ķēdes anamāliju darījumu uzraudzību
Izveidot ļaunprātīgu adresi reāllaika brīdinājumu sistēmu
💡 Galvenie mācības
Web3 drošībai ir jābūt daudzslāņu aizsardzības sistēmai, kas aptver no priekšējās puses līdz ķēdei, no tehnoloģijas līdz cilvēkiem, tradicionālā tīmekļa uzbrukumi strauji iekļūst Web3 jomā.
#钱包安全 #社会工程学 #网络安全 #MetaMask
📌 Notikuma pārskats
2024. gada septembrī viens MetaMask lietotājs, noklikšķinot uz mānīšanas DeFi aizvietošanas saiti, piekrita ļaunam darījumam mānīšanas tīmekļa vietnē, tādējādi 850 000 ASV dolāru aktīvi tika iztukšoti 2 minūtēs.
🔍 Kļūdas analīze
Tradicionālā tīmekļa drošība: uzbrukums izmantoja "pārsvītrošanas skripta" (XSS) kļūdu, ļaunprātīgs skripts noklīda lietotāja maciņa tiesības
Sociālā inženierija: mānīšanas DeFi projektu satura interfeiss tika izmantots, lai iedrošinātu lietotāju pašu darbību
Pārlūkprogrammas paplašinājuma risks: ļaunprātīgs paplašinājums tika maskēts kā atbilstošs rīks un mainīja darījumu saturu
🛡️ Mūsu ieteikumi:
1. Tehniskā līmenī
Ieviest stingru saturu drošības politiku priekš priekšējās puses lapām
Izmantot apakšresursu integritātes pārbaudi, lai novērstu trešo pušu skriptu pārveidošanu
Veikt drošības pārbaudi pārlūkprogrammas paplašinājumiem
2. Lietotāju izglītība
Pārliecināties, ka darbinieki piedalās sociālās inženierijas aizsardzības apmācībās
Ieviest mānīšanas uzbrukumu simulācijas testēšanas sistēmu
Izmantot vairāku parakstu maciņus lielu naudas summu pārvaldīšanai
3. Uzmanības sistēma
Ieviest 24 stundu ķēdes anamāliju darījumu uzraudzību
Izveidot ļaunprātīgu adresi reāllaika brīdinājumu sistēmu
💡 Galvenie mācības
Web3 drošībai ir jābūt daudzslāņu aizsardzības sistēmai, kas aptver no priekšējās puses līdz ķēdei, no tehnoloģijas līdz cilvēkiem, tradicionālā tīmekļa uzbrukumi strauji iekļūst Web3 jomā.
#钱包安全 #社会工程学 #网络安全 #MetaMask
🔐 Drošības zināšanas | Kā aizsargāties pret DeFi ekonomikas modelēšanas uzbrukumiem?
Ekonomikas modelēšanas uzbrukumi kļūst sarežģītāki un izraisīt lielākas zaudējumus nekā koda plaisas. Šeit ir svarīgi punkti, kā projekti var izveidot aizsardzību:
✅ Projektēšanas posms:
Formālā pārbaude: matemātiski pierādīt, ka pamata finanšu formulas un stāvokļa pārejas loģika ir pareizas dažādos robežnosacījumos.
Ekstremālu parametru pārbaude: simulēt ātrās aizdevuma līmeņa finanšu apjomus un citus ekstremālus ievades datus, lai pārbaudītu, vai modelis nezaudē kontroli.
✅ Pārbaudes posms:
Speciāla modelēšanas pārbaude: uzsaukt ekspertus ar finanšu inženierijas vai matemātiskām zināšanām, lai neatkarīgi novērtētu ekonomisko mehānismu.
Simulētu uzbrukumu treniņi: pieprasīt pārbaudītājiem veikt "balto cepuri" uzbrukumus, meklējot iespējamās izmantošanas vai manipulācijas ceļus modelī.
✅ Riska pārvaldības posms:
Ieviest ātruma ierobežojumus: ierobežot lietotāju būtiskās darbības biežumu un summu, palielinot uzbrukuma izmaksas un sarežģītību.
Ieviest uzraudzības un brīdinājumu sistēmu: reāllaikā uzraudzīt protokola būtiskos rādītājus (piemēram, balvu izmaksu ātrumu, nodrošinājuma likmi) un iestatīt anomāliju slieksni.
💎 Būtiskās prasības:
DeFi vidē kods ir jāizpilda ekonomiskās nodomājuma pilnīgums un izturība. dziļa ekonomikas modelēšanas pārbaude var būt svarīgākais ieguldījums, lai novērstu "mācību grāmatas" kļūdu.
#DeFi风控 #经济模型审计 #安全设计
Ekonomikas modelēšanas uzbrukumi kļūst sarežģītāki un izraisīt lielākas zaudējumus nekā koda plaisas. Šeit ir svarīgi punkti, kā projekti var izveidot aizsardzību:
✅ Projektēšanas posms:
Formālā pārbaude: matemātiski pierādīt, ka pamata finanšu formulas un stāvokļa pārejas loģika ir pareizas dažādos robežnosacījumos.
Ekstremālu parametru pārbaude: simulēt ātrās aizdevuma līmeņa finanšu apjomus un citus ekstremālus ievades datus, lai pārbaudītu, vai modelis nezaudē kontroli.
✅ Pārbaudes posms:
Speciāla modelēšanas pārbaude: uzsaukt ekspertus ar finanšu inženierijas vai matemātiskām zināšanām, lai neatkarīgi novērtētu ekonomisko mehānismu.
Simulētu uzbrukumu treniņi: pieprasīt pārbaudītājiem veikt "balto cepuri" uzbrukumus, meklējot iespējamās izmantošanas vai manipulācijas ceļus modelī.
✅ Riska pārvaldības posms:
Ieviest ātruma ierobežojumus: ierobežot lietotāju būtiskās darbības biežumu un summu, palielinot uzbrukuma izmaksas un sarežģītību.
Ieviest uzraudzības un brīdinājumu sistēmu: reāllaikā uzraudzīt protokola būtiskos rādītājus (piemēram, balvu izmaksu ātrumu, nodrošinājuma likmi) un iestatīt anomāliju slieksni.
💎 Būtiskās prasības:
DeFi vidē kods ir jāizpilda ekonomiskās nodomājuma pilnīgums un izturība. dziļa ekonomikas modelēšanas pārbaude var būt svarīgākais ieguldījums, lai novērstu "mācību grāmatas" kļūdu.
#DeFi风控 #经济模型审计 #安全设计
🚨 Gadījumu analīze | DeFi ekonomikas modeļu trūkumi ir daudz slēptāki un nāvējošāki nekā koda trūkumi
Pagājušajā gadā DeFi protokols Margin Fund tika izmantots tā atlīdzību aprēķinu modeļa būtiskā matemātiskā formulas defekta dēļ, ar zaudējumiem ap 3700 miljoniem dolāru.
🔍 Trūkuma avots:
Uzbrucēji, veicot vienreizēju lielu iemaksu, aktivizēja atlīdzību formulas ne-lineāro pastiprināšanas efektu, tādējādi nelikumīgi izgatavojot un pārdodot lielu daudzumu atlīdzību žetonu, iztērējot protokola naudas rezervi.
💡 Galvenais brīdinājums:
Ekonomiskā drošība ≠ koda drošība: visnāvējošākie trūkumi var būt paslēpti uzņēmējdarbības loģikā un matemātiskajos modeļos, nevis viedlīguma koda rindās.
Revīzijai jāaptver modeļi: pirms protokola palaišanas ir jāveic speciāla ekonomikas modeļa stresa testēšana un formāla verifikācija, simulējot dažādas ekstrēmas ievades nosacījumus.
Iestatīt drošības robežas: ir jānosaka saprātīgi limita augšējie ierobežojumi kritiskām darbībām (piemēram, vienreizēja iemaksa/saņemšana), kas ir efektīvs riska kontroles pasākums pret šāda veida precīziem triecieniem.
#DeFi安全 #经济模型漏洞 #MarginFund
Pagājušajā gadā DeFi protokols Margin Fund tika izmantots tā atlīdzību aprēķinu modeļa būtiskā matemātiskā formulas defekta dēļ, ar zaudējumiem ap 3700 miljoniem dolāru.
🔍 Trūkuma avots:
Uzbrucēji, veicot vienreizēju lielu iemaksu, aktivizēja atlīdzību formulas ne-lineāro pastiprināšanas efektu, tādējādi nelikumīgi izgatavojot un pārdodot lielu daudzumu atlīdzību žetonu, iztērējot protokola naudas rezervi.
💡 Galvenais brīdinājums:
Ekonomiskā drošība ≠ koda drošība: visnāvējošākie trūkumi var būt paslēpti uzņēmējdarbības loģikā un matemātiskajos modeļos, nevis viedlīguma koda rindās.
Revīzijai jāaptver modeļi: pirms protokola palaišanas ir jāveic speciāla ekonomikas modeļa stresa testēšana un formāla verifikācija, simulējot dažādas ekstrēmas ievades nosacījumus.
Iestatīt drošības robežas: ir jānosaka saprātīgi limita augšējie ierobežojumi kritiskām darbībām (piemēram, vienreizēja iemaksa/saņemšana), kas ir efektīvs riska kontroles pasākums pret šāda veida precīziem triecieniem.
#DeFi安全 #经济模型漏洞 #MarginFund
🔐 Aizsardzības rādītājs | Trīs līmeņu stratēģija pret piegādes ķēdes uzbrukumiem
Piegādes ķēdes uzbrukumi izplatās, piesārņojot programmatūras atkarības, un aizsardzībai nepieciešama projektu izstrādātāju un lietotāju sadarbība.
✅ Projektu izstrādātāji: nostiprināt savu aizsardzības līniju
Sīkāka un pārbaude: minimizēt trešo pušu atkarības un veikt drošības pārbaudi galvenajām bibliotēkām.
Fiksēšana un pārbaude: izmantot bloķēšanas failus, lai fiksētu atkarību versijas, un ieslēgt resursu integritātes pārbaudi web resursiem.
Uzraudzība un reakcija: automatizēt atkarību spraudņu uzraudzību un izstrādāt skaidru reakcijas plānu uz nesenie notikumiem.
✅ Lietotāji: apgūt pašaizsardzības būtiskos aspektus
Uzmanīga atjaunināšana: uzmanīgi vērot atjauninājumus galvenajām drošības programmatūrām (piemēram, maciņa spraudņiem), neuzsākt nevajadzīgu jaunāko versiju izmantošanu.
Beigu pārbaude: pirms transakcijas veikšanas obligāti jāpārbauda beigu informācija, izmantojot ārējo ekrānu, kas atrodas ārpus tīkla, tas ir neizbēgams solis.
Risku izkliedēšana: izmantot vairāku parakstu maciņu, lai pārvaldītu augstvērtīgus aktīvus.
Būtība ir ievērot "nullās uzticības" principu: neuzticēties nevienam ārējam kodam pēc noklusējuma un vienmēr pārbaudīt ar tehniskiem līdzekļiem.
#供应链防御 #安全开发 #用户安全
Piegādes ķēdes uzbrukumi izplatās, piesārņojot programmatūras atkarības, un aizsardzībai nepieciešama projektu izstrādātāju un lietotāju sadarbība.
✅ Projektu izstrādātāji: nostiprināt savu aizsardzības līniju
Sīkāka un pārbaude: minimizēt trešo pušu atkarības un veikt drošības pārbaudi galvenajām bibliotēkām.
Fiksēšana un pārbaude: izmantot bloķēšanas failus, lai fiksētu atkarību versijas, un ieslēgt resursu integritātes pārbaudi web resursiem.
Uzraudzība un reakcija: automatizēt atkarību spraudņu uzraudzību un izstrādāt skaidru reakcijas plānu uz nesenie notikumiem.
✅ Lietotāji: apgūt pašaizsardzības būtiskos aspektus
Uzmanīga atjaunināšana: uzmanīgi vērot atjauninājumus galvenajām drošības programmatūrām (piemēram, maciņa spraudņiem), neuzsākt nevajadzīgu jaunāko versiju izmantošanu.
Beigu pārbaude: pirms transakcijas veikšanas obligāti jāpārbauda beigu informācija, izmantojot ārējo ekrānu, kas atrodas ārpus tīkla, tas ir neizbēgams solis.
Risku izkliedēšana: izmantot vairāku parakstu maciņu, lai pārvaldītu augstvērtīgus aktīvus.
Būtība ir ievērot "nullās uzticības" principu: neuzticēties nevienam ārējam kodam pēc noklusējuma un vienmēr pārbaudīt ar tehniskiem līdzekļiem.
#供应链防御 #安全开发 #用户安全
🚨 Piemērs brīdinājumam | Drošības aizsardzība tika pārkāpta no visu uzticamākās vietas
Jūnijā hardvera maciņa ražotājs Ledger sava pamatprogrammatūras bibliotēka @ledgerhq/connect-kit tika ievietota ļaunprātīgs kods npm. Hakeri iekļuva darbinieku kontos un piesārņoja šo bibliotēku, kas izraisīja daudzu DApp priekšējo daļu pārveidošanu, pārsūtot lietotāju darījumus uz uzbrucēja adresi.
🔍 Galvenā plaisa
Piekļuves ķēdes vienīgā vājā vieta: plaši uzticamā oficiālā bibliotēka kļuva par iekļūšanas punktu, uzticības ķēde tūlīt sabruka.
Ekosistēmas drošības aizsegs: hardvers ir cieši aizsargāts, taču tā programmatūras atkarību ķēde kļuva par visvājāko vienību.
🛡️ Būtiskās darbības
Projekta izstrādātājiem: piemērojiet versiju bloķēšanu un integritātes pārbaudi svarīgām atkarībām, kā arī izveidojiet trešo pušu bibliotēku drošības uzraudzības sistēmu.
Lietotājiem: jebkurā hardvera maciņa darījuma apstiprināšanā pirms apstiprināšanas obligāti pārbaudiet saņemtās adreses uz ekrāna, rakstāmā kārtā, tas ir galvenā aizsardzība pret priekšējās daļas pārveidošanu.
Šis notikums parāda: mūsdienu kriptoe-kosistēmā nav izolētas „absolūtās drošības“, drošība ir atkarīga no visvājākās vietas visā ķēdē.
#供应链安全 #硬件钱包 #Ledger #安全生态
Jūnijā hardvera maciņa ražotājs Ledger sava pamatprogrammatūras bibliotēka @ledgerhq/connect-kit tika ievietota ļaunprātīgs kods npm. Hakeri iekļuva darbinieku kontos un piesārņoja šo bibliotēku, kas izraisīja daudzu DApp priekšējo daļu pārveidošanu, pārsūtot lietotāju darījumus uz uzbrucēja adresi.
🔍 Galvenā plaisa
Piekļuves ķēdes vienīgā vājā vieta: plaši uzticamā oficiālā bibliotēka kļuva par iekļūšanas punktu, uzticības ķēde tūlīt sabruka.
Ekosistēmas drošības aizsegs: hardvers ir cieši aizsargāts, taču tā programmatūras atkarību ķēde kļuva par visvājāko vienību.
🛡️ Būtiskās darbības
Projekta izstrādātājiem: piemērojiet versiju bloķēšanu un integritātes pārbaudi svarīgām atkarībām, kā arī izveidojiet trešo pušu bibliotēku drošības uzraudzības sistēmu.
Lietotājiem: jebkurā hardvera maciņa darījuma apstiprināšanā pirms apstiprināšanas obligāti pārbaudiet saņemtās adreses uz ekrāna, rakstāmā kārtā, tas ir galvenā aizsardzība pret priekšējās daļas pārveidošanu.
Šis notikums parāda: mūsdienu kriptoe-kosistēmā nav izolētas „absolūtās drošības“, drošība ir atkarīga no visvājākās vietas visā ķēdē.
#供应链安全 #硬件钱包 #Ledger #安全生态
🔐 Drošības zināšanas: praktiskās vērtības | Drošības pārbaude: kāpēc tā ir jābūt projekta pirmajai prioritātei?
📊 Asins cenu mācības: pārbaudes „trūkuma izmaksas“
2025. gada oktobrī notikušais orakula virknes likvidācijas notikums izraisīja 190 miljardu ASV dolāru kapitāla iznīcināšanu, un tā būtiskā risks (vienīgā atkarība, trūkst apstāšanas mehānismu) būtu varējis tikt identificēts ar profesionālu pārbaudi. Pēc nozarē izstrādātās ziņojuma, vienas pilnīgas pārbaudes vidējā izmaksa ir no 5 līdz 15 miljoniem ASV dolāru, kamēr viena drošības incidenta vidējā zaudējuma summa 2025. gadā pārsniedza 40 miljonus ASV dolāru. Tas atklāj nežēlīgu formulu: pārbaudes ieguldījumi ≈ aizsardzības izmaksas, pārbaudes trūkums ≈ potenciālā bankrota risks.
🛡️ Profesionālās pārbaudes trīs neatvietojamās vērtības
Sistēmiskās riska skatījums
Pareizi kvalificēts drošības pārbaudes speciālists domā kā hakeris, taču ar būvējošu mērķi. Viņi ne tikai pārbauda koda spraugas, bet arī novērtē protokola struktūru, ekonomisko modeli, pārvaldības mehānismus un ārējos atkarības (piemēram, orakuli) sistēmiskās kļūdas.
Uzticības galīgā zīmēšana
Dezentralizētajā pasaulē kods ir likums. Atbilstoša trešā puses drošības uzņēmuma izdotā publiska pārbaudes ziņojuma ir projekta uzticības „vērtspapīrs“ lietotājiem un investoriem.
Pastāvīgās drošības sākums, nevis beigas
Pārbaude nav tikai „vienreizējs apstiprinājums“ pirms izvietošanas. Profesionālās pārbaudes pakalpojumi ietver pastāvīgu uzraudzības ieteikumus, steidzamās reaģēšanas ietvarus un atjauninātas pārbaudes.
Labākās prakses: izveidojiet „pārbaude – labošana – pārskatīšana“ ciklu un palaist jaunu pārbaudes ciklu pēc katras lielas atjaunošanas.
💎 Ieteikumi projekta vadītājiem
Uzskatiet drošības pārbaudi par svarīgāko stratēģisko ieguldījumu, nevis samazināmu izmaksu. Izvēloties pārbaudes uzņēmumu, uzmanīgi pārbaudiet to pieredzi konkrētās jomās (piemēram, DeFi, NFT, starpārkārtojumu), kā arī spraugu atklāšanas spēju, nevis tikai cenu. Pirms izvietošanas pabeidziet pārbaudi un publicējiet ziņojumu – tas ir jūsu pamata un svarīgākā atbildība pret kopienas.
#安全审计 #DeFi开发 #风险管理 #智能合约安全
📊 Asins cenu mācības: pārbaudes „trūkuma izmaksas“
2025. gada oktobrī notikušais orakula virknes likvidācijas notikums izraisīja 190 miljardu ASV dolāru kapitāla iznīcināšanu, un tā būtiskā risks (vienīgā atkarība, trūkst apstāšanas mehānismu) būtu varējis tikt identificēts ar profesionālu pārbaudi. Pēc nozarē izstrādātās ziņojuma, vienas pilnīgas pārbaudes vidējā izmaksa ir no 5 līdz 15 miljoniem ASV dolāru, kamēr viena drošības incidenta vidējā zaudējuma summa 2025. gadā pārsniedza 40 miljonus ASV dolāru. Tas atklāj nežēlīgu formulu: pārbaudes ieguldījumi ≈ aizsardzības izmaksas, pārbaudes trūkums ≈ potenciālā bankrota risks.
🛡️ Profesionālās pārbaudes trīs neatvietojamās vērtības
Sistēmiskās riska skatījums
Pareizi kvalificēts drošības pārbaudes speciālists domā kā hakeris, taču ar būvējošu mērķi. Viņi ne tikai pārbauda koda spraugas, bet arī novērtē protokola struktūru, ekonomisko modeli, pārvaldības mehānismus un ārējos atkarības (piemēram, orakuli) sistēmiskās kļūdas.
Uzticības galīgā zīmēšana
Dezentralizētajā pasaulē kods ir likums. Atbilstoša trešā puses drošības uzņēmuma izdotā publiska pārbaudes ziņojuma ir projekta uzticības „vērtspapīrs“ lietotājiem un investoriem.
Pastāvīgās drošības sākums, nevis beigas
Pārbaude nav tikai „vienreizējs apstiprinājums“ pirms izvietošanas. Profesionālās pārbaudes pakalpojumi ietver pastāvīgu uzraudzības ieteikumus, steidzamās reaģēšanas ietvarus un atjauninātas pārbaudes.
Labākās prakses: izveidojiet „pārbaude – labošana – pārskatīšana“ ciklu un palaist jaunu pārbaudes ciklu pēc katras lielas atjaunošanas.
💎 Ieteikumi projekta vadītājiem
Uzskatiet drošības pārbaudi par svarīgāko stratēģisko ieguldījumu, nevis samazināmu izmaksu. Izvēloties pārbaudes uzņēmumu, uzmanīgi pārbaudiet to pieredzi konkrētās jomās (piemēram, DeFi, NFT, starpārkārtojumu), kā arī spraugu atklāšanas spēju, nevis tikai cenu. Pirms izvietošanas pabeidziet pārbaudi un publicējiet ziņojumu – tas ir jūsu pamata un svarīgākā atbildība pret kopienas.
#安全审计 #DeFi开发 #风险管理 #智能合约安全
🚨 Gadījumu analīze | Orākula vienas punkta kļūme izraisīja nozaru "zemestrīci", DeFi tirgus vērtība mirklī iznīcināta 190 miljardi dolāru
💸 Notikumu atskats
Oktobra sākumā kriptovalūtu tirgus piedzīvoja "melno gulbi" notikumu, ko izraisīja orākuls. Ņemot vērā, ka vairāki galvenie DeFi protokoli pārmērīgi paļāvās uz vienu orākula pakalpojumu datu avotu, šis datu avots pēkšņi piedāvāja neparastas cenas, izraisot masveida automātiskās likvidācijas procedūras. Saskaņā ar datiem, ko citēja autoritatīvās mediji, piemēram, "CoinDesk", šī ķēdes reakcija īsā laika posmā izraisīja visu kriptovalūtu tirgus vērtības iznīcināšanu par vairāk nekā 190 miljardiem dolāru, un liels skaits lietotāju pozīciju tika bezžēlīgi likvidētas.
🔍 Vainas avoti
Centralizētas atkarības risks: Daudzi galvenie aizdevumu un derību protokoli uzskatīja vienu un to pašu orākula mezglu grupu par cenu "patiesību", izveidojot fatālu vienas punkta kļūmi.
Trūkst drošības mehānisma: Protokola riska kontroles sistēma nespēja efektīvi pārbaudīt orākula straujo ekstremālo novirzi vai aktivizēt pārtraukšanas mehānismu.
Augsta sviras efekta ķēdes reakcija: Lietotāju aktīvi tiek atkārtoti ieķīlāti starp dažādiem protokoliem, un likvidācija vienā protokolā ātri izplatās visā ekosistēmā, izraisot nāves spirāli.
💡 Galvenās drošības atziņas
Pārbaudiet savu infrastruktūru: Šis notikums skarbi atklāja, ka protokola drošība nav tikai atkarīga no paša koda, bet arī no tā, uz kādiem ārējiem datu piegādes ķēdēm tas paļaujas. Projekta komandai jāveic neatkarīga un padziļināta orākula risinājumu drošības novērtēšana.
Apskaujiet redundanci un decentralizāciju: Izmantojot vairākus orākula apvienošanas risinājumus un filtrējot novirzes, ir atslēga, lai pretotos šāda veida sistēmiskajam riskam. Decentralizācija nedrīkst apstāties pie līguma, bet tai jāaptver visi svarīgie komponenti.
Dizainam jābūt tirgus cieņai: Finanšu protokola mehānisma dizainam ir jāietver "spiediena testi" un automātiskās drošības mehānismi pret ekstremālām situācijām, iekļaujot "neiespējamos negadījumus" aizsardzības robežās.
Visiem būvētājiem tas ir dārgs mācības: sarežģītajā DeFi Lego pasaulē vislielākais risks var neveidot jūsu uzbūvētos blokos, bet gan tajā, uz kā jūs paļaujaties zem kājām.
#DeFi安全 #系统性风险 #预言机 #黑天鹅事件
💸 Notikumu atskats
Oktobra sākumā kriptovalūtu tirgus piedzīvoja "melno gulbi" notikumu, ko izraisīja orākuls. Ņemot vērā, ka vairāki galvenie DeFi protokoli pārmērīgi paļāvās uz vienu orākula pakalpojumu datu avotu, šis datu avots pēkšņi piedāvāja neparastas cenas, izraisot masveida automātiskās likvidācijas procedūras. Saskaņā ar datiem, ko citēja autoritatīvās mediji, piemēram, "CoinDesk", šī ķēdes reakcija īsā laika posmā izraisīja visu kriptovalūtu tirgus vērtības iznīcināšanu par vairāk nekā 190 miljardiem dolāru, un liels skaits lietotāju pozīciju tika bezžēlīgi likvidētas.
🔍 Vainas avoti
Centralizētas atkarības risks: Daudzi galvenie aizdevumu un derību protokoli uzskatīja vienu un to pašu orākula mezglu grupu par cenu "patiesību", izveidojot fatālu vienas punkta kļūmi.
Trūkst drošības mehānisma: Protokola riska kontroles sistēma nespēja efektīvi pārbaudīt orākula straujo ekstremālo novirzi vai aktivizēt pārtraukšanas mehānismu.
Augsta sviras efekta ķēdes reakcija: Lietotāju aktīvi tiek atkārtoti ieķīlāti starp dažādiem protokoliem, un likvidācija vienā protokolā ātri izplatās visā ekosistēmā, izraisot nāves spirāli.
💡 Galvenās drošības atziņas
Pārbaudiet savu infrastruktūru: Šis notikums skarbi atklāja, ka protokola drošība nav tikai atkarīga no paša koda, bet arī no tā, uz kādiem ārējiem datu piegādes ķēdēm tas paļaujas. Projekta komandai jāveic neatkarīga un padziļināta orākula risinājumu drošības novērtēšana.
Apskaujiet redundanci un decentralizāciju: Izmantojot vairākus orākula apvienošanas risinājumus un filtrējot novirzes, ir atslēga, lai pretotos šāda veida sistēmiskajam riskam. Decentralizācija nedrīkst apstāties pie līguma, bet tai jāaptver visi svarīgie komponenti.
Dizainam jābūt tirgus cieņai: Finanšu protokola mehānisma dizainam ir jāietver "spiediena testi" un automātiskās drošības mehānismi pret ekstremālām situācijām, iekļaujot "neiespējamos negadījumus" aizsardzības robežās.
Visiem būvētājiem tas ir dārgs mācības: sarežģītajā DeFi Lego pasaulē vislielākais risks var neveidot jūsu uzbūvētos blokos, bet gan tajā, uz kā jūs paļaujaties zem kājām.
#DeFi安全 #系统性风险 #预言机 #黑天鹅事件
Pieraksties, lai skatītu citu saturu