Curve Financen verkkosivusto kärsi merkittävästä DNS-kaappauksesta aiemmin tässä kuussa, ja huoli kasvaa siitä, miten kehittyneillä ja uusilla tavoilla hakkerit kohdistavat hyökkäyksiään kryptoyrityksiin. Sosiaalisen median kompromisseista käyttöliittymän hyväksikäyttöihin ja älysopimusten haavoittuvuuksiin, web3-ekosysteemi kohtaa jatkuvan uhan.
DeFi:n ja krypton suosion kasvaessa ne houkuttelevat yhä enemmän pahantahtoisia katseita. Hyökkäyksistä on tullut lähes väistämättömiä. Miten vastustuskyky saavutetaan? Michael Egorov, Curve Financen perustaja, käsitteli näitä aiheita ja paljon muuta yksinoikeudella BeInCrypto-lehden haastattelussa.
Curve Finance vastaa hakkerointiin
Suurin varkaus kryptohistoriassa tapahtui tänä vuonna, eikä se ollut yksittäinen tapaus. Kehittyneet hyökkäykset DeFi-ekosysteemiin ovat kasvussa, kuten sisäpiirin tietojenkalastelu Coinbasessa, protokollatason hyväksikäytöt zkSyncissä ja merkittävä DNS-hyökkäys Curve Financessa.
Egorov keskusteli Web3-teollisuuden rakenteellisista haavoittuvuuksista ja siitä, miten niihin voidaan vastata.
“Perinteiset verkkoturvallisuusongelmat eivät ole oikeastaan mitään uutta. Web2-maailmassa tällaisten ongelmien aiheuttamat vahingot ovat usein hallittavissa, joten tämä ei ollut niin suuri ongelma. Kryptossa panokset ovat kuitenkin hyvin erilaiset, koska kaikki tapahtumat tulevat lopullisiksi lähes välittömästi. Tämän seurauksena turvallisuusstandardien rima on paljon korkeampi tälle sektorille, ja nykyinen internetin infrastruktuuri ei ole rakennettu vastaamaan näitä vaatimuksia,” hän totesi.
Curve Finance, merkittävä hajautettu pörssi, on vahvasti mukana keskustelemassa DeFi:n haavoittuvuuksista. Pitkän historiansa aikana Curve on kohdannut ja hallinnut kriittisiä turvallisuusongelmia useaan otteeseen, mikä on pakottanut yrityksen jatkuvasti mukauttamaan turvallisuuslähestymistapaansa.
Kuitenkin aiemmin tässä kuussa pörssin verkkosivusto oli viimeisin kohde. Lopulta DEX joutui vaihtamaan virallisen verkkotunnuksensa. Egorovin näkemyksen mukaan ongelma on lopulta sisäänrakennettu internetiin sellaisena kuin me sen tunnemme.
“Mielestäni emme olisi voineet tehdä mitään paremmin teknologian osalta. Tällä kertaa ongelma oli ulkoinen. Mielestäni on perustavanlaatuinen ongelma siinä, miten verkkosovellukset rakennetaan. Tarvitsemme turvallisia työpöytäsovelluksia, jotka on rakennettu alusta alkaen turvallisuus etusijalla,” Egorov totesi.
Hän korosti erityisesti muutamia rakenteellisia haavoittuvuuksia, jotka mahdollistivat Curven hyökkäyksen ja muut viimeaikaiset hakkeroinnit. Web3-sovellusten on edelleen oltava vuorovaikutuksessa jonkinlaisen staattisen verkkosivuston kanssa, käyttäen DNS-rekisteröijiä yhdistämään sivuston verkkotunnus käyttöliittymän isännöintiin.
Jos hyökkääjät huijaavat, kaappaavat tai lahjovat näitä palvelimia, se avaa erittäin tehokkaan hyökkäyspolun, jota käytettiin äskettäin Curvessa.
Tämä on vain yksi monista rakenteellisista ongelmista nykyisessä ‘Web2’ Internetin infrastruktuurissa. Esimerkiksi verkkosivut luottavat tuhansiin JavaScript-mikropaketteihin, joita on vaikea tarkastaa yksitellen.
Kompromissipaketit voivat salakavalasti ja tehokkaasti kiertää DeFi-protokollan turvallisuuden monin eri tavoin. Kaiken kaikkiaan Web3 on altis monille Web2-hyökkäyksille.
Web3-ongelmat vaativat uudempia ratkaisuja
Egorov väitti, että kryptoalan on tehtävä merkittäviä rakenteellisia muutoksia näiden ongelmien pysyväksi ratkaisemiseksi. Hän mainitsi esimerkiksi Ethereum Name Servicen (ENS) lohkoketjuun perustuvana tapana välttää DNS-hyökkäyksiä.
Jos ENS otetaan käyttöön, se olisi tehokas, mutta sillä ei ole riittävästi selaintason tukea tullakseen valtavirtaan.
Vaikka Curve saisi institutionaalista tukea estääkseen hakkeroinnit enemmän Web3-pohjaisilla turvallisuustoimenpiteillä, uusi ekosysteemi saattaa olla meille jossain määrin tunnistamaton.
Egorov mainitsi esimerkiksi, että koko verkkoliikenteen kaupallistamisrakenteen olisi muututtava. Sen sijaan suurten toimijoiden olisi hoidettava ylläpitokustannukset, joita kannustettaisiin lisääntyneellä turvallisuudella.
“Tällaisen sovelluksen rakentaminen olisi paljon työtä — se vaatisi DeFi-käyttöliittymien uudelleen toteuttamista, välttäen verkkoteknologioita kokonaan ja todennäköisesti ilman mahdollisuutta kaupallistaa. Mutta uskon, että sille on vahva kysyntä, erityisesti laitoksilta, jotka käsittelevät merkittäviä käyttäjävaroja,” hän huomautti.
Nämä ratkaisut ovat epäilemättä radikaaleja, mutta Egorov korosti, että nämä ongelmat ovat sosiaalisia, eivät teknologisia. Hän ehdotti vain turvallisuustoimenpiteitä, jotka ovat mahdollisia rakentaa olemassa olevan lohkoketjututkimuksen avulla, mutta ne olisivat riittäviä.
Toisin sanoen, jos suurten hyökkäysten tahti jatkaa kasvuaan, se saattaa lisätä innostusta näihin uudistuksiin. Curve Finance on valmis rakentamaan Web3-tulevaisuuden ilman näitä haavoittuvuuksia.
Nykyisten turvallisuusuhkien jatkuessa Egorovin neuvo DeFi:lle on rakentaa enemmän omistettuja työpöytäsovelluksia.
“Kuten mainitsin aiemmin, nykyinen malli käyttöliittymäsovellusten rakentamisessa on liian turvaton ja sillä on erittäin suuri hyökkäyspinta-ala. Saavuttaakseen paremman turvallisuustason, DeFi-vuorovaikutusten tulisi ihanteellisesti siirtyä omistettuihin työpöytäsovelluksiin,” Curve-perustaja päätti.
Vastuuvapauslauseke
Kaikki verkkosivustollamme olevat tiedot julkaistaan vilpittömässä mielessä ja ainoastaan yleiseen tiedottamiseen. Lukijan on toimittava verkkosivustomme tietojen perusteella täysin omalla vastuullaan.
