עכשיו אנחנו יודעים: הפריצה שרוקנת אלפי ארנקי משתמשים(יותר מ-8,000 בזמן הכתיבה) בפלטפורמת מטבעות קריפטוגרפיים Solana לא הייתה תוצאה של כשל מערכת רחב טווח. סביר מאוד להניח שזה היה בגלל נוהלי אבטחה גרועים ביותר של ספקית ארנקי המטבעות הקריפטוגרפיים Slope.

לפי חברת האבטחה Otter, הפריצה נבעה מכך ש-Slope שלחה את ביטויי ה-Seed של המשתמשים בטקסט פשוט לשרת מרכזי. ביטוי זרע הוא מקבילה למפתח קריפטו פרטי; זו מחרוזת של מילים ש"פותחת" את הכספים בארנק קריפטו, ומאפשרת למי שבבעלותו הביטוי לעשות איתם מה שבא לו. "טקסט פשוט" פירושו שהביטויים הללו נשלחו דרך האינטרנט ללא מוצפן, מה שהופך אותם למטרה קלה עבור האקרים.

ייתכן שהציוץ נמחק

בקיצור: סלופ עשתה משהו שאף חברה לא צריכה לעשות, וזה עלה למשתמשים שלה יותר מ-4 מיליון דולר. (למען הפרוטוקול, שיפועאמרבהצהרה רשמית ש"שום דבר עדיין לא ברור" בנוגע לפריצה, אבלכַּמָהאַחֵרמומחיםמסכים עם אוטר.)

המספר אינו עצום בעולם המטבעות הקריפטוגרפיים, שבו ישנן מספר מיליוני פריצותדָבָר רָגִיל. אבל הפריצה הייתה חומר סיוטים עבור משתמשי קריפטו, שכן הכספים של אנשים פשוט החלו להיעלם באקראי מהארנקים שלהם, ולקח כמעט יום עד שמומחי אבטחה להדביק את הפער ולהבין מה קרה.

אז מה אתה יכול לעשות כדי לוודא שאירועים כאלה לא ישפיעו עליך בעתיד? אף אסטרטגיה אינה חסינת תקלות, אבל הנה כמה עצות.

1. ארנקי תוכנה קריפטוגרפיים יכולים להיות גרועים עד כדי גיחוך בכל הנוגע לאבטחה

אפשר היה לחשוב שחברה המתמחה בארנקי קריפטו אפילו לא תשלח אמוג'י לא מוצפן, אבל אחד מהם טועה. נראה ש-Slope ביצע את אחת העבירות הגרועות ביותר האפשריות על ידי שליחת ביטויי הזרע של משתמשים לא מוצפנים דרך האינטרנט.

ייתכן שהציוץ נמחק

הלקח שצריך ללמוד כאן הוא זה: גם כאשר חברה אומרת שאבטחה היא בראש סדר העדיפויות; גם כשהיא פועלת במרחב שבו האבטחה חשובה ביותר; אפילו כשהם פינקי נשבעים שהכספים שלך בטוחים, אתה עדיין חייב להישאר ערני.

2. כל ההצפנה שבעולם לא עוזר כשיש חוליה חלשה

כאשר אתה מגדיר ארנק קריפטו, בדרך כלל תקבל הודעות שאומרות שאתה צריך לשמור על ביטוי המקור והמפתח הפרטי שלך בטוח ולא להראות אותם לאף אחד. ייתכן שתראה גם הודעות על כך שפועלת כאן קריפטוגרפיה מתקדמת, ואם תאבד גם את ביטוי ה-Seed שלך וגם את הגישה למפתח הפרטי שלך, לעולם לא תוכל לקבל את הכספים שלך בחזרה.

למרות שזה עשוי להיות נכון במקרים מסוימים, אם הארנק עצמו יטפל בביטוי המקור שלך, אמצעי ההגנה ההצפנה המתקדמים ביותר יועילו מעט.

3. השתמש בארנק חומרה במידת האפשר

ארנק קריפטו חומרה הוא מכשיר, לרוב דומה למקל USB, המאפשר לשמור, לבזבז ולקבל מטבעות קריפטו. זה בדרך כלל מציע יותר אבטחה מאשר ארנק תוכנה, אם כי זה קצת יותר מסובך לשימוש.

כאשר התקפת Slope החלה לפגוע בארנקי המשתמשים, גם Solana וגם Slope המליצו למשתמשים להעביר את הכספים שלהם לארנק חומרה. זו עצה טובה באופן עקרוני, אבל לרוב המשתמשים אין ארנק חומרה בהישג יד, והזמנת אחד באינטרנט וקבלתו לוקחת בדרך כלל כמה ימים.

אז דבר אחד שאתה יכול לעשות, במיוחד אם אתה מטפל בכמויות משמעותיות של קריפטו, הוא להזמין ארנק חומרה לפני שהאסון יתרחש. חברות אוהבותכַּסֶפֶתופִּנקָסלהציע אחד. עם זאת, זכור שאפילו לארנקי חומרה יכולים להיות חורי אבטחה, ולחברות שמייצרות אותם יכולים להיות נוהלי אבטחה גרועים. לדוגמה, ללדגר היה אדליפת נתונים איומהשבו האקרים קיבלו אחיזה בשמות המשתמשים, כתובות הבית ונתונים אחרים. מנגד, טרזור, בעל רקורד אבטחה טוב, אינו תומך בסולנה נכון לכתיבת שורות אלה.

4. לפעמים, בורסה מרוכזת יכולה להציל אותך

בקריפטו, יש פתגם שאומר: לא המפתחות שלך, לא המטבעות שלך. זה אומר שאם אתה שומר את המטבעות שלך אצל צד שלישי, בורסת קריפטו ריכוזית כזו, אתה לא באמת שולט במה שקורה להם.

אבל במקרה של פריצת Slope מאתמול, הדבר הטוב ביותר שתוכל לעשות כדי להגן על המטבעות שלך (אם לא הייתה לך גישה לארנק חומרה) היה לשלוח אותם לבורסה כגון FTX או Binance, מכיוון שלא היה סביר ש גם חילופי דברים אלו הושפעו מאותה סוגיה. כאמצעי בטיחות מהיר, זו הייתה אפשרות הגונה; תמיד תוכל להעביר את המטבעות שלך למקום אחר לאחר שהאבק שקע.