Мошенничество с конечными пользователями и фишинговые атаки в Web3: о них не сообщается?

По словам Кристиана Зайферта, эксперта по кибербезопасности, конечные пользователи криптовалютного пространства сталкиваются с многочисленными атаками, о которых часто не сообщается. Для того, чтобы произошло широкое внедрение, необходимо решить проблемы безопасности технологий Web3 и повысить доверие конечных пользователей к этим системам.

Фишинг, уязвимости, вредоносное ПО, централизация — выбери свою отраву

Зайферт сказал Cryptonews.com что пространство Web3 заполнено атаками, нацеленными на протоколы. И в основном сообщается только о самых крупных взломах, таких как атака на мост Ронинов в марте этого года и Wintermute в сентябре.

Киберпреступники часто нацеливаются на компании Web3, чтобы украсть закрытые ключи, связанные с адресами их протоколов. Эти ключи могут быть получены с помощью фишинговых атак или путем использования уязвимостей, которые позволяют злоумышленникам получить контроль над адресами. Когда отрасли становится известно об этих уязвимостях, они обычно исправляются с помощью обновлений протоколов.

Некоторые протоколы не обновляют регулярно свои контракты, что делает их уязвимыми для атак. В дополнение к этим угрозам существует также множество вредоносных программ, которые могут красть закрытые ключи или изменять адреса транзакций.

Однако, утверждал Зайферт,

«Одна вещь, которую следует иметь в виду, это то, что протоколы действительно не должны быть структурированы таким образом, чтобы они полагались на доверие одного адреса или одного разработчика».

Никто не должен иметь возможность, например, изменить роль в контракте. Вместо этого он должен контролироваться чем-то вроде мультиподписи, когда несколько человек или сообщество одобряют решение, поэтому «даже если меня скомпрометирует вредоносное ПО и мой закрытый ключ будет скомпрометирован, я сам ничего не смогу сделать».

С этим связан вопрос о возможности приостановить блокчейн. Например, крупная криптобиржа Бинанс по словам ее генерального директора, приостановил вывод биткойнов (BTC) в июне из-за отставания. И это далеко не единственный, кто делает это, и многие выбирают этот вариант при атаке.

По словам Зайферта, пауза на базовом уровне, которым является сама цепочка блоков, вызывает беспокойство, «потому что она иллюстрирует централизованный характер этой конкретной цепочки блоков».

С другой стороны, пауза на уровне приложений — это отдельная история и необходимая мера для защиты средств пользователей в случае атаки, сказал он. Например, может быть функция паузы, которая влияет не на весь протокол, а на транзакции, превышающие определенное значение.

«Цель этих действий — смягчить атаку или замедлить ее, в то же время позволяя законным пользователям продолжать работу с протоколом», — говорит Зайферт.

Кроме того, по словам эксперта, важна прозрачность того, как реализуется безопасность, что позволяет пользователям иметь всю существующую информацию о мерах безопасности, чтобы решить, использовать протокол или нет. Он утверждал, что

«Безопасность через неизвестность — не лучший путь».

Широко распространенные, но недостаточно зарегистрированные преступления против конечных пользователей

До сих пор мы говорили о проблемах, влияющих на протоколы и компании, но даже в этом случае больше всего страдает конечный пользователь. Помимо этих крупных краж, существует также множество более мелких атак, когда, например, крадут активы на сумму от 40 000 до 50 000 долларов.

«Я думаю, что на самом деле о них занижают», — сказал Зайферт. «И я думаю, что еще больше занижается информация о краже, с которой сталкиваются конечные пользователи, потому что на самом деле нет механизма отчетности».

Конечные пользователи часто подвергаются атакам с помощью различных видов мошенничества и, как правило, с помощью «ледяного фишинга» — подписания транзакций утверждения, которые дают злоумышленнику доступ к цифровым активам, связанным с кошельком пользователя.

Зайферт также привел пример недавней атаки, когда конечных пользователей обманывали токенами, которые брали рейк за каждый своп — несколько долларов перекачивались разработчику токена в дополнение к комиссии за своп. Эти кражи не видны конечному пользователю, предупредил он.

Поэтому, добавил Зайферт, «мы много говорили о протоколах, но нам также нужно думать о конечных пользователях. И что действительно важно, так это то, что существуют службы безопасности для защиты конечных пользователей, блокирующие вредоносные учетные записи, а также абстрагирование учетных записей, которое позволяет пользователям устанавливать политики в отношении того, как приложения могут воздействовать на их цифровые активы».

Как защитить конечных пользователей

На вопрос, угрожают ли эти подрывные атаки существованию Web3 или это просто проблема начинания, Зайферт ответил, что «это комбинация», но в любом случае она оказывает негативное влияние. Это, безусловно, вредно для усыновления.

Например, если пользователь видит, что его криптовалюта или невзаимозаменяемый токен (NFT) украдены, он часто «не понимает, что произошло; они в основном сталкиваются с пустым кошельком», — сказал Зайферт, добавив:

«Я думаю, что это не увеличивает вероятность того, что эти люди останутся в Web3. Поэтому я думаю, что именно жертвы, вероятно, отвернутся от Web3. Многие из этих историй распространяются в Интернете, и это не внушает особого доверия».

Между тем, недавняя череда провалов проектов и банкротств, особенно падение FTX exchange вновь поставила вопрос централизации в центр внимания, что привело к большему доверию к децентрализованным финансам (DeFi) и решениям, не связанным с хранением, сказал эксперт.

Но где есть деньги, там и плохие актеры. Пользователи выводят средства с централизованных бирж, поэтому, вероятно, будет приток пользователей, использующих аспекты, не связанные с хранением, и участвующие в DeFi:

«Я уверен, что злоумышленники попытаются этим воспользоваться. Я думаю, что фишинг, мошенничество и все виды мошенничества, влияющие на конечных пользователей, будут широко пропагандироваться».

Следовательно, необходим более высокий уровень безопасности, который бы предупреждал пользователя о потенциально опасных действиях, больше информации для пользователей и улучшения удобства использования для конечных пользователей, включая большую простоту продуктов, удобные кошельки, а также решения, которые помогают конечные пользователи перемещаются по Web3. По словам Зайферта, именно этими сложностями в продуктах и ​​транзакциях, непонятными обычному пользователю, пользуются злоумышленники.

«Даже крупным поставщикам кошельков необходимо использовать расширенные функции безопасности для защиты конечных пользователей».

В то же время отрасль довольно молода, и за последние пару лет Зайферт увидел «множество» сервисов безопасности, которые появляются в сети и помогают конечным пользователям и протоколам защитить себя.

По словам Зайферта, некоторые из важных компонентов комплексной стратегии безопасности:

• аудит: аудиты — наиболее распространенный метод обеспечения безопасности протокола, и не следует пытаться изобретать велосипед, а использовать уже проверенные библиотеки шаблонов, устраняющие многие известные ошибки;
• вознаграждения за обнаружение ошибок: растет количество вознаграждений, при этом исследователи в области безопасности делают большую работу с соблюдением этических норм; протокол должен стимулировать потенциальных злоумышленников к работе с нет против Это;
• мониторинг: после развертывания протокола мониторинг имеет первостепенное значение, поскольку он дает время для принятия мер в случае атаки для ее смягчения;
• возможности реагирования на инциденты: автоматические или ручные, необходимые для того, чтобы иметь возможность действовать и защищать средства;
• функция паузы: как обсуждалось выше, это помогает остановить дальнейший слив средств;
• обновляемые контракты;
• киберстрахование.

Он добавил, что

«В идеале они должны быть интегрированы с первого дня. Но многие протоколы создаются небольшими командами, которые быстро внедряют инновации и хотят быстро выйти на рынок. И в результате безопасность в этой среде не является главным приоритетом».

Однако по мере того, как они выходят на рынок, и если они добьются успеха, они увидят приток пользователей и рост их общей заблокированной стоимости (TVL) — и именно здесь меняется профиль риска этого протокола.

«Злоумышленники видят, сколько цифровых активов в протоколе, и вы станете мишенью. И вам необходимо принять комплексную стратегию безопасности, как только вы станете источником риска».

Между тем, то, что мы наблюдаем в индустрии Web2, — это концентрация услуг безопасности у поставщиков управляемых услуг, где малый бизнес может попросить такого поставщика защитить их. «И я ожидаю, что нечто подобное будет и в пространстве Web3», — сказал Зайферт. Существует проблема централизации, и отрасли необходимо будет найти способы смягчить ее.

Атаки представляют собой огромную проблему как для пользователей, так и для протоколов, и индустрия признает их таковыми, создавая «шквал» компаний, децентрализованных автономных организаций (DAO) и сообществ, которые создают службы безопасности.

«И поэтому я очень ожидаю, что через пять лет безопасность в пространстве Web3 станет более зрелой, и мы начинаем это видеть», — заключил Зайферт.

____

Учить больше:
— Генеральный директор Binance предупреждает пользователей о новом взломе, направленном на криптовалютную индустрию
— Протокол DeFi Ankr страдает от эксплойта Infinity Minting — вот что произошло

— 160 миллионов долларов? – Платформа для ставок на криптовалюту Freeway приостанавливает снятие средств, ссылаясь на «беспрецедентную волатильность»
— GameFi Rug Pull и случайно закрытый обмен — Остерегайтесь рисков в криптографии

— Пул майнинга BTC Poolin приостанавливает снятие средств с кошелька в попытке «стабилизировать ликвидность»
— Верните нам наши деньги: проблема с кастодиальными кошельками и последствия прекращения вывода средств для репутации Crypto