История взлома
В этом последнем уроке мы рассмотрим некоторые наиболее распространенные виды атак на криптопространство против отдельных лиц, а также несколько недавних примеров успешных атак на платформы и проекты. Мы также рассмотрим, как можно было бы избежать этих нападений, и предложим лучшие практики, которым люди должны следовать в будущем, чтобы защитить себя от подобных нападений. Люди могут значительно снизить свои шансы стать жертвой этих типов атак, изучив стратегии, используемые злоумышленниками, и предприняв активные действия по защите своих активов и личной информации. Независимо от того, являетесь ли Вы опытным пользователем криптовалют или только начинаете, очень важно быть информированным и знать о рисках и лучших методах обеспечения безопасности криптовалют.
Атаки на отдельных людей
Тип Фишинговые аферы
Фишинговые аферы - один из самых популярных видов атак на людей в криптосфере. Злоумышленники посылают ложные электронные письма или сообщения, которые выглядят как сообщения от надежного источника, например, криптовалютной биржи или поставщика кошельков, в попытке обмануть получателя и заставить его раскрыть свои учетные данные или перевести средства на кошелек злоумышленника.
Как этого можно избежать
Один из способов избежать фишинговых афер - всегда подтверждать достоверность электронных писем или текстов, прежде чем действовать. Это можно сделать, подтвердив адрес электронной почты отправителя или связавшись с компанией напрямую, чтобы подтвердить достоверность сообщения. Пользователи также должны избегать нажатия на ссылки или загрузки вложений из незнакомых или подозрительных источников, поскольку они могут содержать вредоносное ПО или другие опасные программы.
Тип: Замена SIM-карты
Подмена SIM-карты - еще одна распространенная атака на людей в криптовалютной сфере. Злоумышленники используют обман, чтобы убедить оператора сотовой связи передать телефонный номер жертвы на устройство, контролируемое злоумышленником, что позволяет им перехватить SMS-токены двухфакторной аутентификации и получить доступ к криптовалютным кошелькам жертвы.
Как этого можно избежать
Пользователи могут предотвратить атаки подмены SIM-карты, установив PIN-код или пароль у своего мобильного оператора, используя физический аппаратный кошелек для хранения биткоина и используя приложения-аутентификаторы или другие виды двухфакторной аутентификации, которые не полагаются на SMS-коды.
Тип: Социальная инженерия
Нападения с применением социальной инженерии подразумевают, что злоумышленники обманывают и манипулируют жертвами, заставляя их раскрывать конфиденциальную информацию или совершать действия, наносящие ущерб их безопасности. Атаки социальной инженерии в криптовалютной сфере могут включать злоумышленников, выдающих себя за доверенного человека или использующих мошеннические предложения по трудоустройству или инвестиционные возможности для получения доступа к биткоинам жертвы.
Как этого можно избежать
Пользователи всегда должны остерегаться незапрашиваемых сообщений или запросов на получение конфиденциальной информации, и они никогда никому не должны давать свои закрытые ключи или начальные фразы. Кроме того, пользователи должны проверять личность любого, кто запрашивает доступ к их криптовалюте или личной информации, а также изучать варианты инвестиций или возможности трудоустройства через надежные источники.
Атаки на компании/протоколы
Mt. Gox : Взлет и падение крупнейшей биржи Биткоина
В 2014 году Mt. Gox, некогда крупнейшая в мире Биткоин-биржа, подала заявление о банкротстве после того, как потеряла около 850 000 Биткоинов, которые на тот момент стоили около 450 млн. долларов. Компания объяснила эту потерю долгосрочной хакерской атакой, которая предпринималась в течение нескольких лет.
Как это можно было предотвратить
Одной из основных причин, почему на горе Mt. Взлом Gox был настолько успешным, что компания не приняла надлежащих мер безопасности. Например, компания хранила свои биткоины в горячем кошельке, который подключен к Интернету и поэтому более подвержен попыткам взлома. Если бы компания хранила свои Биткоины в холодном кошельке, который отключен от Интернета, взлом, возможно, не был бы успешным. Кроме того, компания не проводила регулярных аудитов безопасности и не обновляла свое программное обеспечение, что сделало ее уязвимой к известным уязвимостям в программном обеспечении Bitcoin. Если бы компания постоянно обновляла свое программное обеспечение и регулярно проверяла свои меры безопасности, она, возможно, смогла бы обнаружить и предотвратить атаку до того, как она привела к столь масштабным потерям.
Взлом Bitfinex: уязвимость кошелька с несколькими подписями привела к краже $72 млн. биткоинов
В 2016 году Bitfinex, одна из крупнейших в мире криптовалютных бирж, в результате взлома потеряла Биткоин на сумму около 72 млн. долларов. Злоумышленники использовали уязвимость в программном обеспечении кошелька компании с несколькими подписями, что позволило им украсть Биткоин, хранящийся в кошельке.
Как это можно было предотвратить
Одной из основных причин успеха взлома Bitfinex было то, что компания слишком сильно полагалась на свое программное обеспечение кошелька с несколькими подписями. Хотя кошельки с несколькими подписями могут быть более безопасными, чем другие типы кошельков, они не застрахованы от атак. Если бы компания применила другие меры безопасности, например, хранила свои Биткоины в холодном кошельке или использовала комбинацию горячих и холодных кошельков, возможно, ей удалось бы предотвратить атаку.
Взлом системы безопасности DAO: в 2016 году было украдено 50 млн долларов Ethereum
В 2016 году децентрализованная автономная организация (ДАО) под названием The DAO, построенная на блокчейне Ethereum, была взломана. Злоумышленники использовали уязвимость в коде смарт-контракта DAO, что позволило им украсть Ethereum на сумму около $50 млн.
Как это можно было предотвратить
Одной из основных причин успеха взлома DAO было то, что код смарт-контракта не был должным образом проверен перед его развертыванием. Если бы DAO провела тщательный аудит кода своего смарт-контракта, она, возможно, смогла бы обнаружить и устранить уязвимость до того, как ею воспользовались злоумышленники. Блокчейн Ethereum не был разработан для работы с уязвимостями смарт-контрактов, что затруднило возврат украденных средств. Если бы разработчики Ethereum создали механизм возврата украденных средств в случае взлома, потери могли бы быть не такими серьезными.
Полисеть : Кросс-чейн протокол взломан на $600M
В августе 2021 года Poly Network, протокол межцепочечной совместимости, был взломан для получения криптовалюты на сумму более 600 миллионов долларов, включая Ethereum, Binance Smart Chain и Polygon. Хакеры использовали уязвимость в смарт-контракте протокола, что позволило им перевести средства на собственные кошельки.
Как это можно было предотвратить
Одной из основных причин успеха взлома Poly Network было то, что код смарт-контракта не был должным образом проверен перед его развертыванием. Если бы компания провела тщательный аудит кода своего смарт-контракта, она, возможно, смогла бы обнаружить и устранить уязвимость до того, как ею воспользовались злоумышленники. Кроме того, в компании не были приняты надлежащие меры безопасности для обнаружения и предотвращения атаки. Если бы компания применила другие меры безопасности, например, мониторинг необычных транзакций или использование кошельков с несколькими подписями, возможно, она смогла бы предотвратить атаку до того, как она привела к столь масштабным потерям.
BAYC подвергся крупному взлому, украдено Эфиров на сумму $750 тыс.
В ноябре 2021 года яхт-клуб Bored Ape Yacht Club ( BAYC ), популярный проект NFT, был взломан для получения Эфира на сумму более 750 000 долларов. Злоумышленники использовали уязвимость на сайте проекта, что позволило им получить доступ к закрытым ключам кошелька проекта.
Как это можно было предотвратить
Одной из основных причин успеха взлома яхт-клуба Bored Ape было то, что проект не имел надлежащих мер безопасности для защиты своих закрытых ключей. Если бы проект хранил свои закрытые ключи в защищенном автономном кошельке, взлом, возможно, не был бы успешным.
Сливки финансов : Эксплуатация смарт-контракта привела к взлому 25 миллионов долларов
В сентябре 2021 года Cream Finance, децентрализованный финансовый (DeFi) протокол кредитования, был взломан для получения криптовалюты на сумму более $25 млн. Хакеры использовали уязвимость в коде смарт-контракта протокола, что позволило им перевести средства на собственные кошельки.
Как это можно было предотвратить
Одной из основных причин успеха взлома Cream Finance было то, что код смарт-контракта не был должным образом проверен перед его развертыванием. Если бы компания провела тщательный аудит кода своего смарт-контракта, она, возможно, смогла бы обнаружить и устранить уязвимость до того, как ею воспользовались злоумышленники.
Заключение
В заключение, различные примеры взломов и мошенничества, рассмотренные в этом уроке, служат предостережением для частных лиц и компаний в криптопространстве. Очень важно извлечь уроки из этих атак и принять проактивные меры для защиты активов и личной информации.
Лучшие практики, описанные в Уроке 2 - Атака социальной инженерии, такие как подтверждение достоверности электронных писем или текстов, использование аппаратного кошелька и регулярный аудит программного обеспечения, могут значительно снизить риск стать жертвой атак.
Компании должны уделять первостепенное внимание мерам безопасности, таким как хранение средств в "холодном" кошельке, проведение регулярных аудитов безопасности и надлежащий аудит кодов смарт-контрактов перед развертыванием. Оставаться информированным и осведомленным о рисках и лучших методах обеспечения безопасности криптовалют крайне важно как для опытных, так и для новых пользователей криптовалют.
В дополнение к рассмотренным конкретным примерам взломов и мошенничества, людям важно знать о некоторых общих рисках и проблемах в криптопространстве. Децентрализованный и часто анонимный характер криптовалют может облегчить недобросовестным субъектам использование в своих интересах ничего не подозревающих людей. Кроме того, высокая волатильность криптовалютных рынков означает, что люди должны быть готовы к возможности значительных потерь. Важно подходить к криптовалютам с осторожностью и тщательно изучать любые проекты или инвестиции, прежде чем в них ввязываться.
Читать далее
Если Вы впервые приближаетесь к миру криптовалют, мы предлагаем Вам ознакомиться с другим нашим курсом Crypto Investing : курс предназначен для людей, которые хотят научиться инвестировать в криптовалюту, включая то, как исследовать и оценивать различные проекты, как диверсифицировать крипто-портфель и как управлять рисками.
История взлома
В этом последнем уроке мы рассмотрим некоторые наиболее распространенные виды атак на криптопространство против отдельных лиц, а также несколько недавних примеров успешных атак на платформы и проекты. Мы также рассмотрим, как можно было бы избежать этих нападений, и предложим лучшие практики, которым люди должны следовать в будущем, чтобы защитить себя от подобных нападений. Люди могут значительно снизить свои шансы стать жертвой этих типов атак, изучив стратегии, используемые злоумышленниками, и предприняв активные действия по защите своих активов и личной информации. Независимо от того, являетесь ли Вы опытным пользователем криптовалют или только начинаете, очень важно быть информированным и знать о рисках и лучших методах обеспечения безопасности криптовалют.
Атаки на отдельных людей
Тип Фишинговые аферы
Фишинговые аферы - один из самых популярных видов атак на людей в криптосфере. Злоумышленники посылают ложные электронные письма или сообщения, которые выглядят как сообщения от надежного источника, например, криптовалютной биржи или поставщика кошельков, в попытке обмануть получателя и заставить его раскрыть свои учетные данные или перевести средства на кошелек злоумышленника.
Как этого можно избежать
Один из способов избежать фишинговых афер - всегда подтверждать достоверность электронных писем или текстов, прежде чем действовать. Это можно сделать, подтвердив адрес электронной почты отправителя или связавшись с компанией напрямую, чтобы подтвердить достоверность сообщения. Пользователи также должны избегать нажатия на ссылки или загрузки вложений из незнакомых или подозрительных источников, поскольку они могут содержать вредоносное ПО или другие опасные программы.
Тип: Замена SIM-карты
Подмена SIM-карты - еще одна распространенная атака на людей в криптовалютной сфере. Злоумышленники используют обман, чтобы убедить оператора сотовой связи передать телефонный номер жертвы на устройство, контролируемое злоумышленником, что позволяет им перехватить SMS-токены двухфакторной аутентификации и получить доступ к криптовалютным кошелькам жертвы.
Как этого можно избежать
Пользователи могут предотвратить атаки подмены SIM-карты, установив PIN-код или пароль у своего мобильного оператора, используя физический аппаратный кошелек для хранения биткоина и используя приложения-аутентификаторы или другие виды двухфакторной аутентификации, которые не полагаются на SMS-коды.
Тип: Социальная инженерия
Нападения с применением социальной инженерии подразумевают, что злоумышленники обманывают и манипулируют жертвами, заставляя их раскрывать конфиденциальную информацию или совершать действия, наносящие ущерб их безопасности. Атаки социальной инженерии в криптовалютной сфере могут включать злоумышленников, выдающих себя за доверенного человека или использующих мошеннические предложения по трудоустройству или инвестиционные возможности для получения доступа к биткоинам жертвы.
Как этого можно избежать
Пользователи всегда должны остерегаться незапрашиваемых сообщений или запросов на получение конфиденциальной информации, и они никогда никому не должны давать свои закрытые ключи или начальные фразы. Кроме того, пользователи должны проверять личность любого, кто запрашивает доступ к их криптовалюте или личной информации, а также изучать варианты инвестиций или возможности трудоустройства через надежные источники.
Атаки на компании/протоколы
Mt. Gox : Взлет и падение крупнейшей биржи Биткоина
В 2014 году Mt. Gox, некогда крупнейшая в мире Биткоин-биржа, подала заявление о банкротстве после того, как потеряла около 850 000 Биткоинов, которые на тот момент стоили около 450 млн. долларов. Компания объяснила эту потерю долгосрочной хакерской атакой, которая предпринималась в течение нескольких лет.
Как это можно было предотвратить
Одной из основных причин, почему на горе Mt. Взлом Gox был настолько успешным, что компания не приняла надлежащих мер безопасности. Например, компания хранила свои биткоины в горячем кошельке, который подключен к Интернету и поэтому более подвержен попыткам взлома. Если бы компания хранила свои Биткоины в холодном кошельке, который отключен от Интернета, взлом, возможно, не был бы успешным. Кроме того, компания не проводила регулярных аудитов безопасности и не обновляла свое программное обеспечение, что сделало ее уязвимой к известным уязвимостям в программном обеспечении Bitcoin. Если бы компания постоянно обновляла свое программное обеспечение и регулярно проверяла свои меры безопасности, она, возможно, смогла бы обнаружить и предотвратить атаку до того, как она привела к столь масштабным потерям.
Взлом Bitfinex: уязвимость кошелька с несколькими подписями привела к краже $72 млн. биткоинов
В 2016 году Bitfinex, одна из крупнейших в мире криптовалютных бирж, в результате взлома потеряла Биткоин на сумму около 72 млн. долларов. Злоумышленники использовали уязвимость в программном обеспечении кошелька компании с несколькими подписями, что позволило им украсть Биткоин, хранящийся в кошельке.
Как это можно было предотвратить
Одной из основных причин успеха взлома Bitfinex было то, что компания слишком сильно полагалась на свое программное обеспечение кошелька с несколькими подписями. Хотя кошельки с несколькими подписями могут быть более безопасными, чем другие типы кошельков, они не застрахованы от атак. Если бы компания применила другие меры безопасности, например, хранила свои Биткоины в холодном кошельке или использовала комбинацию горячих и холодных кошельков, возможно, ей удалось бы предотвратить атаку.
Взлом системы безопасности DAO: в 2016 году было украдено 50 млн долларов Ethereum
В 2016 году децентрализованная автономная организация (ДАО) под названием The DAO, построенная на блокчейне Ethereum, была взломана. Злоумышленники использовали уязвимость в коде смарт-контракта DAO, что позволило им украсть Ethereum на сумму около $50 млн.
Как это можно было предотвратить
Одной из основных причин успеха взлома DAO было то, что код смарт-контракта не был должным образом проверен перед его развертыванием. Если бы DAO провела тщательный аудит кода своего смарт-контракта, она, возможно, смогла бы обнаружить и устранить уязвимость до того, как ею воспользовались злоумышленники. Блокчейн Ethereum не был разработан для работы с уязвимостями смарт-контрактов, что затруднило возврат украденных средств. Если бы разработчики Ethereum создали механизм возврата украденных средств в случае взлома, потери могли бы быть не такими серьезными.
Полисеть : Кросс-чейн протокол взломан на $600M
В августе 2021 года Poly Network, протокол межцепочечной совместимости, был взломан для получения криптовалюты на сумму более 600 миллионов долларов, включая Ethereum, Binance Smart Chain и Polygon. Хакеры использовали уязвимость в смарт-контракте протокола, что позволило им перевести средства на собственные кошельки.
Как это можно было предотвратить
Одной из основных причин успеха взлома Poly Network было то, что код смарт-контракта не был должным образом проверен перед его развертыванием. Если бы компания провела тщательный аудит кода своего смарт-контракта, она, возможно, смогла бы обнаружить и устранить уязвимость до того, как ею воспользовались злоумышленники. Кроме того, в компании не были приняты надлежащие меры безопасности для обнаружения и предотвращения атаки. Если бы компания применила другие меры безопасности, например, мониторинг необычных транзакций или использование кошельков с несколькими подписями, возможно, она смогла бы предотвратить атаку до того, как она привела к столь масштабным потерям.
BAYC подвергся крупному взлому, украдено Эфиров на сумму $750 тыс.
В ноябре 2021 года яхт-клуб Bored Ape Yacht Club ( BAYC ), популярный проект NFT, был взломан для получения Эфира на сумму более 750 000 долларов. Злоумышленники использовали уязвимость на сайте проекта, что позволило им получить доступ к закрытым ключам кошелька проекта.
Как это можно было предотвратить
Одной из основных причин успеха взлома яхт-клуба Bored Ape было то, что проект не имел надлежащих мер безопасности для защиты своих закрытых ключей. Если бы проект хранил свои закрытые ключи в защищенном автономном кошельке, взлом, возможно, не был бы успешным.
Сливки финансов : Эксплуатация смарт-контракта привела к взлому 25 миллионов долларов
В сентябре 2021 года Cream Finance, децентрализованный финансовый (DeFi) протокол кредитования, был взломан для получения криптовалюты на сумму более $25 млн. Хакеры использовали уязвимость в коде смарт-контракта протокола, что позволило им перевести средства на собственные кошельки.
Как это можно было предотвратить
Одной из основных причин успеха взлома Cream Finance было то, что код смарт-контракта не был должным образом проверен перед его развертыванием. Если бы компания провела тщательный аудит кода своего смарт-контракта, она, возможно, смогла бы обнаружить и устранить уязвимость до того, как ею воспользовались злоумышленники.
Заключение
В заключение, различные примеры взломов и мошенничества, рассмотренные в этом уроке, служат предостережением для частных лиц и компаний в криптопространстве. Очень важно извлечь уроки из этих атак и принять проактивные меры для защиты активов и личной информации.
Лучшие практики, описанные в Уроке 2 - Атака социальной инженерии, такие как подтверждение достоверности электронных писем или текстов, использование аппаратного кошелька и регулярный аудит программного обеспечения, могут значительно снизить риск стать жертвой атак.
Компании должны уделять первостепенное внимание мерам безопасности, таким как хранение средств в "холодном" кошельке, проведение регулярных аудитов безопасности и надлежащий аудит кодов смарт-контрактов перед развертыванием. Оставаться информированным и осведомленным о рисках и лучших методах обеспечения безопасности криптовалют крайне важно как для опытных, так и для новых пользователей криптовалют.
В дополнение к рассмотренным конкретным примерам взломов и мошенничества, людям важно знать о некоторых общих рисках и проблемах в криптопространстве. Децентрализованный и часто анонимный характер криптовалют может облегчить недобросовестным субъектам использование в своих интересах ничего не подозревающих людей. Кроме того, высокая волатильность криптовалютных рынков означает, что люди должны быть готовы к возможности значительных потерь. Важно подходить к криптовалютам с осторожностью и тщательно изучать любые проекты или инвестиции, прежде чем в них ввязываться.
Читать далее
Если Вы впервые приближаетесь к миру криптовалют, мы предлагаем Вам ознакомиться с другим нашим курсом Crypto Investing : курс предназначен для людей, которые хотят научиться инвестировать в криптовалюту, включая то, как исследовать и оценивать различные проекты, как диверсифицировать крипто-портфель и как управлять рисками.