Осы айдың басында Curve Finance веб-сайты ірі DNS бұзылуына ұшырағаннан кейін, хакерлердің крипто компанияларды нысанаға алудың күрделі және жаңа тәсілдері туралы алаңдаушылық артуда. Әлеуметтік медиа бұзылуынан бастап, фронт-энд эксплуатациялары мен смарт келісімшарт осалдықтарына дейін, web3 экожүйесі тұрақты қауіп-қатерге тап болып отыр.
DeFi мен крипто танымал бола бастаған сайын, олар зиянды көзқарастарды көбірек тартады. Шабуылдар қазір дерлік сөзсіз болып кетті. Қарсыласу қалай жүзеге асырылады? Curve Finance негізін қалаушы Майкл Егоров осы тақырыптарды және басқаларын BeInCrypto-ға берген эксклюзивті сұхбатында талқылады.
Curve Finance хакерлік шабуылға жауап берді
Крипто тарихындағы ең ірі ұрлық биыл орын алды және бұл оқшауланған оқиға емес еді. DeFi экожүйесіне жасалған күрделі шабуылдар өсуде, Coinbase-те ішкі фишинг, протокол деңгейіндегі zkSync-те эксплуатациялар және Curve Finance-те ірі DNS бұзылуы орын алды.
Егоров Web3 индустриясының құрылымдық осалдықтарын және осы сәтті қалай қарсы алу керектігін талқылады.
«Дәстүрлі веб қауіпсіздік мәселелері шынымен де жаңа нәрсе емес. Мәселе мынада, Web2 әлемінде мұндай мәселелерден келетін зиянды жиі шектеуге болады, сондықтан бұл үлкен проблема емес еді. Алайда, криптода барлық транзакциялар дерлік бірден соңғы болып табылады, сондықтан бұл сектор үшін қауіпсіздік стандарттарының деңгейі әлдеқайда жоғары, ал бүгінгі интернет инфрақұрылымы осы талаптарға сай келмейді», – деп мәлімдеді ол.
Curve Finance, ірі орталықтандырылмаған биржа, DeFi осалдықтарын талқылауда мықты тәжірибеге ие. Ұзақ тарихында, Curve бірнеше рет маңызды қауіпсіздік оқиғаларын бастан кешіріп, басқарды, бұл компанияны қауіпсіздік ұстанымын үнемі бейімдеуге мәжбүр етті.
Алайда, осы айдың басында биржаның веб-сайты соңғы нысанаға айналды. Ақырында, DEX ресми доменін өзгертуге мәжбүр болды. Егоровтың пікірінше, мәселе түптеп келгенде біз білетін интернеттің өзінде жатыр.
«Меніңше, технологиялық тұрғыдан біз жақсырақ ештеңе жасай алмадық. Бұл жолы мәселе сыртқы болды. Менің ойымша, веб-қосымшалардың қалай құрылатынында түбегейлі проблема бар. Бізге қауіпсіздік басымдық ретінде қарастырылғаннан бастап жасалған қауіпсіз жұмыс үстелі қосымшалары қажет», – деп мәлімдеді Егоров.
Атап айтқанда, ол Curve шабуылын және соңғы хактарды мүмкін еткен бірнеше құрылымдық осалдықтарды атап өтті. Web3 қосымшалары әлі де қандай да бір статикалық веб-сайтпен әрекеттесуге мәжбүр, сайт домен атауын фронт-энд хостингке қосу үшін DNS тіркеушілерін пайдаланады.
Егер шабуылдаушылар осы серверлерді алдап, басып алып немесе пара берсе, бұл өте тиімді шабуыл жолын ашады, бұл жақында Curve-те қолданылған тактика.
Бұл бүгінгі мұра ‘Web2’ интернет инфрақұрылымының бірнеше құрылымдық мәселелерінің бірі ғана. Мысалы, веб-беттерді жеке тексеру қиын мыңдаған JavaScript микро-пакеттеріне сүйенеді.
Компрометацияланған пакеттер DeFi протоколының қауіпсіздігін әртүрлі жолдармен жасырын және тиімді айналып өте алады. Бұл Web3-тің көптеген Web2 шабуылдарына осал екенін білдіреді.
Web3 мәселелері жаңа шешімдерді қажет етеді
Егоров крипто индустриясы осы мәселелерді түбегейлі шешу үшін үлкен құрылымдық өзгерістер енгізуі керек деп мәлімдеді. Мысалы, ол DNS шабуылдарынан аулақ болудың блокчейнге негізделген тәсілі ретінде Ethereum Name Service (ENS) атады.
Егер қабылданса, ENS тиімді болар еді, бірақ ол негізгі ағымға айналу үшін жеткілікті браузер деңгейіндегі қолдауға ие емес.
Curve Web3 негізіндегі қауіпсіздік шараларымен хактарды болдырмау үшін институционалдық қолдау алса да, жаңа экожүйе бізге біршама таныс болмауы мүмкін.
Мысалы, Егоров веб-трафиктің бүкіл монетизация құрылымын өзгерту керек екенін айтты. Оның орнына, негізгі ойыншылар қауіпсіздікті арттыру арқылы ынталандырылатын шығындарды жабу шығындарын көтеруі керек еді.
«Мұндай қосымшаны құру көп жұмыс болар еді — ол DeFi интерфейстерін қайта іске асыруды қажет етеді, веб-технологиялардан мүлдем аулақ болып, монетизация мүмкіндігінсіз. Бірақ менің ойымша, әсіресе елеулі пайдаланушы қаражатын басқаратын мекемелерден оған деген сұраныс жоғары», – деп атап өтті ол.
Бұл шешімдер сөзсіз радикалды, бірақ Егоров бұл мәселелердің технологиялық емес, әлеуметтік екенін баса айтты. Ол тек қолданыстағы блокчейн зерттеулерін пайдалана отырып құруға болатын қауіпсіздік шараларын ұсынды, бірақ олар жеткілікті болар еді.
Басқаша айтқанда, егер ірі шабуылдардың қарқыны арта берсе, бұл реформаларға деген ынта-жігерді арттыруы мүмкін. Curve Finance осы осалдықтарсыз Web3 болашағын құруға дайын.
Алайда, қазіргі қауіпсіздік қатерлері сақталып отырғандықтан, Егоровтың DeFi үшін кеңесі – арнайы жұмыс үстелі қосымшаларын көбірек құру.
«Бұрын айтқанымдай, фронт-энд қосымшаларын құрудың қазіргі моделі тым қауіпті және шабуыл беті өте үлкен. Қауіпсіздіктің жақсы деңгейіне қол жеткізу үшін DeFi өзара әрекеттесулері арнайы жұмыс үстелі қосымшаларына ауысуы керек», – деп қорытындылады Curve негізін қалаушы.
Жауапкершіліктен бас тарту
Біздің веб-сайттағы барлық ақпарат адал ниетпен және тек жалпы ақпарат беру мақсатында жарияланады. Біздің веб-сайттағы ақпаратқа сүйеніп қабылданған кез келген шешімге оқырманның өзі жауапты болады.
