Історія хака
У цьому останньому уроці ми розглянемо деякі з найпоширеніших типів крипто-просторових атак на окремих осіб, а також деякі останні приклади успішних атак на платформи та проекти. Ми також дослідимо, як можна було уникнути цих нападів, і запропонуємо найкращі практики, якими люди повинні слідувати в майбутньому, щоб захистити себе від подібних атак. Люди можуть значно знизити ймовірність стати жертвою таких типів атак, вивчаючи стратегії, які використовують зловмисники, і вживаючи активних заходів для захисту своїх активів і особистої інформації. Незалежно від того, чи є ви досвідченим користувачем криптовалюти чи тільки починаєте, важливо бути в курсі та знати про ризики та найкращі методи захисту криптовалюти.
Напади на окремих осіб
Тип: фішинг
Фішингове шахрайство є одним із найпопулярніших видів атак на людей у криптосфері. Зловмисники надсилають фальшиві електронні листи або повідомлення, які нібито надійшли з авторитетного джерела, наприклад біржі криптовалют або постачальника гаманців, намагаючись обдурити одержувача, щоб він розкрив свої облікові дані для входу або переказав кошти на гаманець зловмисника.
Як цього можна уникнути
Один із підходів, щоб уникнути фішингу, — це завжди підтверджувати дійсність електронних листів або текстових повідомлень, перш ніж діяти. Це можна зробити, підтвердивши адресу електронної пошти відправника або зв’язавшись безпосередньо з компанією, щоб підтвердити правдивість повідомлення. Користувачам також слід уникати натискання посилань або завантаження вкладень із незнайомих або підозрілих джерел, оскільки вони можуть містити зловмисне програмне забезпечення чи інші небезпечні програми.
Тип: заміна SIM-карти
Обмін SIM-картою – це ще одна поширена атака на людей у сфері криптовалют. Зловмисники використовують обман, щоб переконати оператора стільникового зв’язку передати номер телефону жертви на пристрій, контрольований зловмисником, що дозволяє їм перехоплювати токени двофакторної автентифікації на основі SMS і отримати доступ до криптовалютних гаманців жертви.
Як цього можна уникнути
Користувачі можуть запобігти атакам із заміною SIM-карти, встановивши PIN-код або пароль у свого оператора мобільного зв’язку, використовуючи фізичний апаратний гаманець для зберігання своїх біткойнів і використовуючи програми автентифікації або інші види двофакторної автентифікації, які не покладаються на коди на основі SMS.
Тип: Соціальна інженерія
Напади соціальної інженерії призводять до того, що зловмисники обманюють жертв і змушують їх розкрити конфіденційну інформацію або вчинити дії, які завдають шкоди їхній безпеці. Атаки соціальної інженерії на криптовалютній арені можуть включати зловмисників, які видають себе за довіреного контакта або використовують шахрайські пропозиції працевлаштування чи інвестиційні можливості, щоб отримати доступ до біткойнів жертви.
Як цього можна уникнути
Користувачам завжди слід остерігатися небажаних повідомлень або запитів на конфіденційну інформацію, і вони ніколи не повинні нікому передавати свої закриті ключі чи вихідні фрази. Крім того, користувачі повинні перевірити особу будь-кого, хто запитує доступ до їхньої криптовалюти або особистої інформації, а також вони повинні вивчати варіанти інвестування або можливості роботи з надійних джерел.
Атаки на компанії/протоколи
Mt. Gox: підйом і падіння найбільшої біржі Bitcoin
У 2014 році Mt. Gox, колись найбільша у світі біржа біткойнів, оголосила про банкрутство після втрати приблизно 850 000 біткойнів, вартістю близько 450 мільйонів доларів на той час. Компанія пояснила збитки тривалими хакерськими спробами, які тривали кілька років.
Як цьому можна було запобігти
Одна з головних причин, чому Mt. Злом Gox був настільки успішним, що компанія не вжила належних заходів безпеки. Наприклад, компанія зберігала свої біткойни в гарячому гаманці, який підключений до Інтернету і тому більш сприйнятливий до спроб злому. Якби компанія зберігала свої біткойни в холодному гаманці, який був відключений від Інтернету, злом міг бути невдалим. Крім того, компанія не проводила регулярні перевірки безпеки та не оновлювала своє програмне забезпечення, що робило її вразливою до відомих уразливостей у програмному забезпеченні Bitcoin. Якби компанія постійно оновлювала своє програмне забезпечення та регулярно перевіряла заходи безпеки, вона могла б виявити та запобігти атаці до того, як вона призведе до таких значних збитків.
Злом Bitfinex: вразливість гаманця з кількома підписами призводить до крадіжки біткойнів на 72 мільйони доларів
У 2016 році Bitfinex, одна з найбільших у світі криптовалютних бірж, втратила біткойн на суму приблизно 72 мільйони доларів в результаті злому. Зловмисники скористалися вразливістю в програмному забезпеченні гаманця компанії з мультипідписом, що дозволило їм викрасти біткойн, що зберігається в гаманці.
Як цьому можна було запобігти
Однією з головних причин успішного злому Bitfinex було те, що компанія занадто сильно покладалася на програмне забезпечення гаманця з кількома підписами. Хоча гаманці з кількома підписами можуть бути більш безпечними, ніж інші типи гаманців, вони не захищені від атак. Якби компанія запровадила інші заходи безпеки, такі як зберігання біткойнів у холодному гаманці або використання комбінації гарячих і холодних гаманців, вона могла б запобігти атаці.
Порушення безпеки DAO: у 2016 році вкрадено Ethereum на суму 50 мільйонів доларів
У 2016 році була зламана децентралізована автономна організація (DAO) під назвою The DAO, яка була побудована на блокчейні Ethereum. Зловмисники скористалися вразливістю в коді смарт-контракту DAO, що дозволило їм викрасти Ethereum на суму приблизно 50 мільйонів доларів.
Як цьому можна було запобігти
Однією з головних причин успішного злому DAO було те, що код смарт-контракту не був належним чином перевірений перед його розгортанням. Якби DAO провів ретельний аудит свого коду смарт-контракту, він міг би виявити та виправити вразливість до того, як нею скористалися зловмисники. Блокчейн Ethereum не був розроблений для обробки вразливостей смарт-контрактів, що ускладнювало повернення вкрадених коштів. Якби розробники Ethereum створили механізм для повернення вкрадених коштів у разі злому, втрати могли б бути не такими серйозними.
Poly Network: міжланцюговий протокол зламано на 600 мільйонів доларів
У серпні 2021 року Poly Network, протокол сумісності крос-ланцюгів, було зламано для отримання криптовалюти на суму понад 600 мільйонів доларів, включаючи Ethereum, Binance Smart Chain і Polygon. Хакери скористалися вразливістю в смарт-контракті протоколу, дозволяючи їм переказувати кошти на власні гаманці.
Як цьому можна було запобігти
Однією з головних причин успішного злому Poly Network було те, що код смарт-контракту не був належним чином перевірений перед його розгортанням. Якби компанія провела ретельний аудит свого коду смарт-контракту, вона могла б виявити та усунути вразливість до того, як її використали зловмисники. Крім того, компанія не мала належних заходів безпеки, щоб виявити та запобігти атаці. Якби компанія запровадила інші заходи безпеки, такі як моніторинг незвичайних транзакцій або використання гаманців з кількома підписами, вона могла б запобігти атаці до того, як вона призвела до таких великих збитків.
Серйозний злом BAYC, викрадено ефір на суму 750 тисяч доларів
У листопаді 2021 року Bored Ape Yacht Club (BAYC), популярний проект NFT, був зламаний за допомогою ефіру на суму понад 750 000 доларів. Зловмисники скористалися вразливістю на веб-сайті проекту, яка дозволила їм отримати доступ до закритих ключів гаманця проекту.
Як цьому можна було запобігти
Однією з головних причин успіху зламу Bored Ape Yacht Club було те, що проект не мав належних заходів безпеки для захисту своїх особистих ключів. Якби проект зберігав свої закриті ключі в захищеному автономному гаманці, злом міг бути невдалим.
Cream Finance: Експлойт смарт-контракту призвів до злому на 25 мільйонів доларів
У вересні 2021 року Cream Finance, протокол децентралізованого фінансування (DeFi), було зламано на криптовалюту на суму понад 25 мільйонів доларів. Хакери скористалися вразливістю в коді смарт-контракту протоколу, дозволяючи їм переказувати кошти на власні гаманці.
Як цьому можна було запобігти
Однією з головних причин успішного злому Cream Finance було те, що код смарт-контракту не був належним чином перевірений перед його розгортанням. Якби компанія провела ретельний аудит свого коду смарт-контракту, вона могла б виявити та усунути вразливість до того, як її використали зловмисники.
Висновок
На завершення, різні приклади хаків і шахрайства, розглянуті в цьому уроці, служать застереженням для окремих осіб і компаній у криптопросторі. Важливо винести уроки з цих атак і вжити профілактичних заходів для захисту активів і особистої інформації.
Найкращі практики, як показано в уроці 2. Атака соціальної інженерії, як-от підтвердження дійсності електронних листів або текстових повідомлень, використання апаратного гаманця та регулярний аудит програмного забезпечення, може значно знизити ризик стати жертвою атак.
Компанії повинні визначити пріоритетність заходів безпеки, таких як зберігання коштів у холодному гаманці, проведення регулярних перевірок безпеки та належний аудит кодів смарт-контрактів перед розгортанням. Бути в курсі та знати про ризики та найкращі практики криптобезпеки має вирішальне значення як для досвідчених, так і для нових користувачів криптовалют.
Окрім розглянутих конкретних прикладів злому та шахрайства, людям важливо знати про деякі загальні ризики та проблеми в криптопросторі. Децентралізований і часто анонімний характер криптовалют може полегшити зловмисникам можливість використовувати нічого не підозрюючих осіб. Крім того, висока волатильність крипторинків означає, що люди повинні бути готові до можливості значних втрат. Важливо підходити до криптовалют з обережністю та ретельно досліджувати будь-які проекти чи інвестиції, перш ніж брати участь.
Читати далі
Якщо ви вперше знайомитеся зі світом криптовалюти, ми пропонуємо вам переглянути наш інший курс «Криптоінвестування »: курс для людей, які хочуть навчитися інвестувати в криптовалюту, включно з тим, як досліджувати та оцінювати різні проекти, як диверсифікувати криптопортфель і як управляти ризиками
Історія хака
У цьому останньому уроці ми розглянемо деякі з найпоширеніших типів крипто-просторових атак на окремих осіб, а також деякі останні приклади успішних атак на платформи та проекти. Ми також дослідимо, як можна було уникнути цих нападів, і запропонуємо найкращі практики, якими люди повинні слідувати в майбутньому, щоб захистити себе від подібних атак. Люди можуть значно знизити ймовірність стати жертвою таких типів атак, вивчаючи стратегії, які використовують зловмисники, і вживаючи активних заходів для захисту своїх активів і особистої інформації. Незалежно від того, чи є ви досвідченим користувачем криптовалюти чи тільки починаєте, важливо бути в курсі та знати про ризики та найкращі методи захисту криптовалюти.
Напади на окремих осіб
Тип: фішинг
Фішингове шахрайство є одним із найпопулярніших видів атак на людей у криптосфері. Зловмисники надсилають фальшиві електронні листи або повідомлення, які нібито надійшли з авторитетного джерела, наприклад біржі криптовалют або постачальника гаманців, намагаючись обдурити одержувача, щоб він розкрив свої облікові дані для входу або переказав кошти на гаманець зловмисника.
Як цього можна уникнути
Один із підходів, щоб уникнути фішингу, — це завжди підтверджувати дійсність електронних листів або текстових повідомлень, перш ніж діяти. Це можна зробити, підтвердивши адресу електронної пошти відправника або зв’язавшись безпосередньо з компанією, щоб підтвердити правдивість повідомлення. Користувачам також слід уникати натискання посилань або завантаження вкладень із незнайомих або підозрілих джерел, оскільки вони можуть містити зловмисне програмне забезпечення чи інші небезпечні програми.
Тип: заміна SIM-карти
Обмін SIM-картою – це ще одна поширена атака на людей у сфері криптовалют. Зловмисники використовують обман, щоб переконати оператора стільникового зв’язку передати номер телефону жертви на пристрій, контрольований зловмисником, що дозволяє їм перехоплювати токени двофакторної автентифікації на основі SMS і отримати доступ до криптовалютних гаманців жертви.
Як цього можна уникнути
Користувачі можуть запобігти атакам із заміною SIM-карти, встановивши PIN-код або пароль у свого оператора мобільного зв’язку, використовуючи фізичний апаратний гаманець для зберігання своїх біткойнів і використовуючи програми автентифікації або інші види двофакторної автентифікації, які не покладаються на коди на основі SMS.
Тип: Соціальна інженерія
Напади соціальної інженерії призводять до того, що зловмисники обманюють жертв і змушують їх розкрити конфіденційну інформацію або вчинити дії, які завдають шкоди їхній безпеці. Атаки соціальної інженерії на криптовалютній арені можуть включати зловмисників, які видають себе за довіреного контакта або використовують шахрайські пропозиції працевлаштування чи інвестиційні можливості, щоб отримати доступ до біткойнів жертви.
Як цього можна уникнути
Користувачам завжди слід остерігатися небажаних повідомлень або запитів на конфіденційну інформацію, і вони ніколи не повинні нікому передавати свої закриті ключі чи вихідні фрази. Крім того, користувачі повинні перевірити особу будь-кого, хто запитує доступ до їхньої криптовалюти або особистої інформації, а також вони повинні вивчати варіанти інвестування або можливості роботи з надійних джерел.
Атаки на компанії/протоколи
Mt. Gox: підйом і падіння найбільшої біржі Bitcoin
У 2014 році Mt. Gox, колись найбільша у світі біржа біткойнів, оголосила про банкрутство після втрати приблизно 850 000 біткойнів, вартістю близько 450 мільйонів доларів на той час. Компанія пояснила збитки тривалими хакерськими спробами, які тривали кілька років.
Як цьому можна було запобігти
Одна з головних причин, чому Mt. Злом Gox був настільки успішним, що компанія не вжила належних заходів безпеки. Наприклад, компанія зберігала свої біткойни в гарячому гаманці, який підключений до Інтернету і тому більш сприйнятливий до спроб злому. Якби компанія зберігала свої біткойни в холодному гаманці, який був відключений від Інтернету, злом міг бути невдалим. Крім того, компанія не проводила регулярні перевірки безпеки та не оновлювала своє програмне забезпечення, що робило її вразливою до відомих уразливостей у програмному забезпеченні Bitcoin. Якби компанія постійно оновлювала своє програмне забезпечення та регулярно перевіряла заходи безпеки, вона могла б виявити та запобігти атаці до того, як вона призведе до таких значних збитків.
Злом Bitfinex: вразливість гаманця з кількома підписами призводить до крадіжки біткойнів на 72 мільйони доларів
У 2016 році Bitfinex, одна з найбільших у світі криптовалютних бірж, втратила біткойн на суму приблизно 72 мільйони доларів в результаті злому. Зловмисники скористалися вразливістю в програмному забезпеченні гаманця компанії з мультипідписом, що дозволило їм викрасти біткойн, що зберігається в гаманці.
Як цьому можна було запобігти
Однією з головних причин успішного злому Bitfinex було те, що компанія занадто сильно покладалася на програмне забезпечення гаманця з кількома підписами. Хоча гаманці з кількома підписами можуть бути більш безпечними, ніж інші типи гаманців, вони не захищені від атак. Якби компанія запровадила інші заходи безпеки, такі як зберігання біткойнів у холодному гаманці або використання комбінації гарячих і холодних гаманців, вона могла б запобігти атаці.
Порушення безпеки DAO: у 2016 році вкрадено Ethereum на суму 50 мільйонів доларів
У 2016 році була зламана децентралізована автономна організація (DAO) під назвою The DAO, яка була побудована на блокчейні Ethereum. Зловмисники скористалися вразливістю в коді смарт-контракту DAO, що дозволило їм викрасти Ethereum на суму приблизно 50 мільйонів доларів.
Як цьому можна було запобігти
Однією з головних причин успішного злому DAO було те, що код смарт-контракту не був належним чином перевірений перед його розгортанням. Якби DAO провів ретельний аудит свого коду смарт-контракту, він міг би виявити та виправити вразливість до того, як нею скористалися зловмисники. Блокчейн Ethereum не був розроблений для обробки вразливостей смарт-контрактів, що ускладнювало повернення вкрадених коштів. Якби розробники Ethereum створили механізм для повернення вкрадених коштів у разі злому, втрати могли б бути не такими серйозними.
Poly Network: міжланцюговий протокол зламано на 600 мільйонів доларів
У серпні 2021 року Poly Network, протокол сумісності крос-ланцюгів, було зламано для отримання криптовалюти на суму понад 600 мільйонів доларів, включаючи Ethereum, Binance Smart Chain і Polygon. Хакери скористалися вразливістю в смарт-контракті протоколу, дозволяючи їм переказувати кошти на власні гаманці.
Як цьому можна було запобігти
Однією з головних причин успішного злому Poly Network було те, що код смарт-контракту не був належним чином перевірений перед його розгортанням. Якби компанія провела ретельний аудит свого коду смарт-контракту, вона могла б виявити та усунути вразливість до того, як її використали зловмисники. Крім того, компанія не мала належних заходів безпеки, щоб виявити та запобігти атаці. Якби компанія запровадила інші заходи безпеки, такі як моніторинг незвичайних транзакцій або використання гаманців з кількома підписами, вона могла б запобігти атаці до того, як вона призвела до таких великих збитків.
Серйозний злом BAYC, викрадено ефір на суму 750 тисяч доларів
У листопаді 2021 року Bored Ape Yacht Club (BAYC), популярний проект NFT, був зламаний за допомогою ефіру на суму понад 750 000 доларів. Зловмисники скористалися вразливістю на веб-сайті проекту, яка дозволила їм отримати доступ до закритих ключів гаманця проекту.
Як цьому можна було запобігти
Однією з головних причин успіху зламу Bored Ape Yacht Club було те, що проект не мав належних заходів безпеки для захисту своїх особистих ключів. Якби проект зберігав свої закриті ключі в захищеному автономному гаманці, злом міг бути невдалим.
Cream Finance: Експлойт смарт-контракту призвів до злому на 25 мільйонів доларів
У вересні 2021 року Cream Finance, протокол децентралізованого фінансування (DeFi), було зламано на криптовалюту на суму понад 25 мільйонів доларів. Хакери скористалися вразливістю в коді смарт-контракту протоколу, дозволяючи їм переказувати кошти на власні гаманці.
Як цьому можна було запобігти
Однією з головних причин успішного злому Cream Finance було те, що код смарт-контракту не був належним чином перевірений перед його розгортанням. Якби компанія провела ретельний аудит свого коду смарт-контракту, вона могла б виявити та усунути вразливість до того, як її використали зловмисники.
Висновок
На завершення, різні приклади хаків і шахрайства, розглянуті в цьому уроці, служать застереженням для окремих осіб і компаній у криптопросторі. Важливо винести уроки з цих атак і вжити профілактичних заходів для захисту активів і особистої інформації.
Найкращі практики, як показано в уроці 2. Атака соціальної інженерії, як-от підтвердження дійсності електронних листів або текстових повідомлень, використання апаратного гаманця та регулярний аудит програмного забезпечення, може значно знизити ризик стати жертвою атак.
Компанії повинні визначити пріоритетність заходів безпеки, таких як зберігання коштів у холодному гаманці, проведення регулярних перевірок безпеки та належний аудит кодів смарт-контрактів перед розгортанням. Бути в курсі та знати про ризики та найкращі практики криптобезпеки має вирішальне значення як для досвідчених, так і для нових користувачів криптовалют.
Окрім розглянутих конкретних прикладів злому та шахрайства, людям важливо знати про деякі загальні ризики та проблеми в криптопросторі. Децентралізований і часто анонімний характер криптовалют може полегшити зловмисникам можливість використовувати нічого не підозрюючих осіб. Крім того, висока волатильність крипторинків означає, що люди повинні бути готові до можливості значних втрат. Важливо підходити до криптовалют з обережністю та ретельно досліджувати будь-які проекти чи інвестиції, перш ніж брати участь.
Читати далі
Якщо ви вперше знайомитеся зі світом криптовалюти, ми пропонуємо вам переглянути наш інший курс «Криптоінвестування »: курс для людей, які хочуть навчитися інвестувати в криптовалюту, включно з тим, як досліджувати та оцінювати різні проекти, як диверсифікувати криптопортфель і як управляти ризиками