С начала года хакеры активизировались и взломали сразу несколько крупных NFT-протоколов и смарт-контрактов игр в формате play-to-earn. Основные цели преступников − проекты с большим количеством активов, поэтому в ход идут и фишинговый сайты, и удаленные атаки, и внедрение вирусов. Как защитить свои активы от кибермошенников и понять, что они охотятся на ваши деньги, рассказывает СЕО Hacken Дмитрий Будорин
Об учащении количества взломов DeFi протоколов
С начала года хакеры взломали сразу несколько крупных DeFi и украли токены на миллионы долларов. Прозрачность − одно из главных конкурентных преимуществ протоколов DeFi, утверждает глава Hacken, блокчейн-компании, оказывающей услуги в области кибербезопасности. Однако в то же самое время они являются и их серьезной слабостью, поскольку хакеры могут планировать атаки путем поиска уязвимости кода, который находится в свободном доступе. Кроме того, существуют проблемы с оракулами, уязвимыми до манипуляций с ценами.
«Сейчас мы имеем дело с последствиями ажиотажа вокруг DeFi, который наблюдался в 2021 году. Проекты с плохой экспертизой в области кибербезопасности вложили огромные средства в такие продукты. Таким образом, новые крупные взломы неизбежны, особенно во время кибервойны», − говорит Дмитрий Будорин.
О взломах NFT-протоколов
Они в основном случаются через слабое управление частными ключами. Недавние крупные взломы связаны с flash loan атаками в результате манипулирования ценами. Этот недостаток может быть устранен за счет использования децентрализованных оракулов ценообразования, которые представляют точные цены криптовалют вместо того, чтобы полагаться исключительно на одну DEX. Злоумышленники также используют ошибки в функции минтинга, которые должны предотвращаться в ходе профессионального аудита смарт-контрактов третьей стороной.
Тенденция та же, что и в проектах DeFi: они отдают предпочтение скорости, а не безопасности, и поэтому не замечают ошибки в кодах. Проекты ошибочно считают, что лучше инвестировать деньги в разработку новых продуктов, чем в улучшение безопасности уже существующих решений.
О защите от мошенников
В настоящее время одним из самых популярных методов мошенничества является использование рекламных объявлений. Например, после загрузки фишингового кошелька MetaMask пользователь, скорее всего, импортирует закрытый ключ, тем самым предоставляя злоумышленникам доступ к другим своим кошелькам. Самый эффективный метод защиты − двойная проверка. Популярные криптокошельки − это расширения браузера, а не веб-сайты с URL-адресами. Всегда следует проверять, имеете ли вы дело с нужным вам сайтом. Часто мошенники добавляют к названию кошелька букву или цифру.
«Переходите только по тем ссылкам, которые видите на официальных страницах проекта в социальных сетях или на его сайте. Также не используйте адреса смарт-контрактов, найденные в Google или отправленные вам случайным пользователем, даже если им был сотрудником проекта в общей группе (есть риск подделки аккаунта). Только те адреса, которые представлены на CoinGecko и CoinMarketCap, могут считаться безопасными. Всегда проверяйте любой адрес как минимум дважды. Ваша безопасность прежде всего в ваших руках», − комментирует Дмитрий.
Читайте также: «Как я лишилась 3000 USDT за 5 минут, воспользовавшись кошельком MetaMask»: честный рассказ журналиста BeInCrypto
О целевых проектах хакеров
Бриджи, протоколы DeFi и NFT-проекты − основные цели для хакеров. Взломы централизованных бирж происходят нечасто. Например, в 2019 году злоумышленники сломали 11 бирж, а в 2021 году − только 4. Кроме того, криптовалютные кошельки являются популярной целью для киберпреступников.
«Хакеры атакуют в основном проекты, которые аккумулируют большой объем активов, оставаясь при этом только на начальных этапах построения политики безопасности. Часто это проекты, которые добились начального успеха за счет ажиотажа или чрезмерных обещаний. Быть популярным не значит быть защищенным», − рассказывает Дмитрий Будорин.
Проверять безопасность проектов можно с помощью агрегаторов данных или платформ. Например, с помощью нового рейтинга криптовалют, который выпустила команда CER.live.
О выявлении скрытых атак или как понять, что хакеры начали на вас охоту
Говоря о кошельках, такие вредоносные действия, как неожиданное одобрение или запросы на снятие средств, могут указывать на то, что хакеры пытаются украсть ваши активы. К другим индикаторам также относятся запросы на ввод вашей seed-фразы там, где это вообще не требуется, или неавторизованное поступление средств. Более того, большое количество сообщений об аирдропах или подарках является предупреждающим знаком, поскольку их можно использовать для получения доступа к вашему кошельку.
Комплексные и продвинутые методы взлома трудно обнаружить до того, как они нанесут ущерб вашему проекту. Однако менее продвинутые атаки, такие как социальная инженерия, могут быть обнаружены заранее. Если ваши сотрудники начинают получать странные сообщения от так называемых партнеров или отраслевых органов, существует риск того, что на них целятся хакеры, чтобы получить доступ к системам проекта.
О защите смарт-контрактов от хакеров
Самый эффективный способ защитить смарт-контракты − проходить регулярные аудиты. Крайне важно уделять приоритетное внимание безопасности на ранних этапах разработки кода.
«Чтобы обезопасить свой крипто-кошелек от взлома, вы должны понимать, что все, что слишком хорошо, чтобы быть правдой, может быть мошенничеством, направленным на то, чтобы позволить хакерам получить доступ к вашим данным. Кроме того, не забудьте надежно хранить исходную фразу. С этой целью вы можете использовать доверенный менеджер паролей или хранить его в автономном режиме, чтобы только вы знали, где он находится. Избегайте использования общедоступного Wi-Fi для проведения транзакций с криптой. Если же у вас нет альтернативы, включите VPN», − делится секретами защиты Дмитрий Будорин.
О защите NFT от хакеров
По словам Дмитрия Будорина, очень ценные NFT должны храниться только в холодных кошельках. Они сравнительно безопаснее, чем горячие. Также не стоит переходить по ссылкам с чрезвычайно привлекательными наградами, которыми делятся в чатах проекта.
Переходите только по тем ссылкам, которыми поделился официальный аккаунт проекта или его сотрудники. Избегайте любого взаимодействия с подозрительными торговыми площадками. Используйте только проверенные.
Читайте также: Мошенничество с NFT: топ-7 самых популярных схем
Об основных трендах защиты блокчейнов
Одна из основных тенденций − большее вовлечение проектов в процесс повышения безопасности. Даже когда они делегируют безопасность третьим лицам, они стараются быть в курсе всех обновлений и процессов.
Проекты начинают рассматривать кибербезопасность как непрерывную деятельность, а не разовое действие. Стоит отметить и международное сотрудничество проектов, направленных на укрепление общей безопасности. Оно имеет форму международных союзов или ассоциаций.
Также мы рассказывали, как мошенники зарабатывают на конфликте Украины и РФ
Согласно правилам Trust Project, данная статья отражает точку зрения автора и может не совпадать с мнением редакции BeInCrypto. Политика BeInCrypto — освещать любые события беспристрастно и соблюдать высочайшие стандарты журналистики. BeInCrypto рекомендует читателям самостоятельно проверять информацию и консультироваться со специалистом, прежде чем принимать любые финансовые решения на основе этого контента. Также обратите внимание, что наши «Условия и положения», «Политика конфиденциальности» и «Дисклеймеры» были обновлены