Ostatnio @UXLINKofficial miało skompromitowanych swoich @safe właścicieli, co pozwoliło atakującym na modyfikację ustawień Safe i wyczerpanie z niego ponad 10 milionów dolarów. Haker dodał swój własny adres jako właściciela, obniżył próg do 1 i usunął oryginalnych właścicieli z Safe. Mówiłem to wcześniej i powtórzę to jeszcze raz: nie używaj portfeli hot jako właścicieli w multisigach. To nie jest kwestia tego, czy zostaniesz skompromitowany, ale kiedy, więc lepiej upewnij się, że szkody, które mogą być wyrządzone, gdy zostaniesz skompromitowany, są minimalne. Chociaż zazwyczaj niewiele można zrobić, gdy klucze prywatne zostały skompromitowane, uważam, że posiadanie pewnych zabezpieczeń w portfelach multisig jest koniecznością. Na przykład: - nie pozwalać na więcej niż jedną zmianę właściciela na 24 godziny - nie pozwalać na obniżenie progu - pozwalać na nowych właścicieli tylko z wcześniej zdefiniowanej listy zapasowych właścicieli - dzienne limity wydatków Dzięki takim zabezpieczeniom atakującym znacznie trudniej jest przeprowadzać ataki skutecznie, ponieważ oryginalni właściciele wciąż mogą podpisywać i wykonywać transakcje, aby zminimalizować szkody. To nie jest idealne rozwiązanie, ale każdy Wei, który możemy zapobiec przed wpadnięciem w ręce złych ludzi, jest tego wart. W @phylaxsystems obecnie wdrażamy Credible Layer z kilkoma łańcuchami, aby ułatwić dodawanie zabezpieczeń do każdego smart kontraktu i zapobiegać hackom. Sprawdź post poniżej, aby zobaczyć artykuł, który napisaliśmy na temat hacku UXlink.

Istnieje wiele sposobów, w jakie można było zapobiec temu exploitowi. Przede wszystkim, odpowiednia higiena kluczy prywatnych. Nie trzymaj swojego klucza prywatnego na tej samej maszynie, na której robisz głupoty w internecie. Nie dołączaj do przypadkowych rozmów na Zoomie z ludźmi, którzy oferują ci pracę z lepszą pensją znikąd. Użyj swojego rozumu! Po drugie, higiena multisig jest równie ważna. 2/m nie jest bezpieczne. Użyj wiarygodnej warstwy @phylaxsystems, aby zdefiniować zasady dla swojego Safe, takie jak: nie pozwalać na obniżenie progu, pozwalać tylko na dodawanie adresów z białej listy jako właścicieli. Mógłbym tak mówić w nieskończoność, ale wydaje się, że ludzi to nie obchodzi, a ja mam dość powtarzania się co tydzień. Jeśli nie jesteś pewien, czy twoja konfiguracja może być poprawiona, lub po prostu chcesz drugiej opinii, skontaktuj się, a chętnie pomogę. Musimy to naprawić.