Після того, як вебсайт Curve Finance зазнав значного викрадення DNS на початку цього місяця, зростають побоювання щодо складних і нових способів, якими хакери націлюються на криптокомпанії. Від компрометації соціальних мереж до експлойтів на фронтенді та вразливостей смартконтрактів, екосистема Web3 стикається з постійною загрозою.
Зі зростанням популярності DeFi та криптовалют, вони привертають все більше зловмисних поглядів. Атаки стали майже неминучими. Отже, як досягається опір? Майкл Єгоров, засновник Curve Finance, обговорив ці теми та інше в ексклюзивному інтерв’ю з BeInCrypto.
Curve Finance Реагує на Злом
Найбільше викрадення в історії криптовалют сталося цього року, і це не був ізольований випадок. Складні атаки на екосистему DeFi зростають, зокрема фішинг інсайдерів у Coinbase, експлойти на рівні протоколу у zkSync та значне викрадення DNS у Curve Finance.
Єгоров обговорив структурні вразливості індустрії Web3 та як відповідати на виклики.
«Традиційні проблеми безпеки в Інтернеті насправді не є чимось новим. Справа в тому, що у світі Web2 збитки від таких проблем часто можна стримати, тому це не було такою великою проблемою. Однак у криптовалюті ставки дуже різні, оскільки всі транзакції стають остаточними майже миттєво. Як результат, планка для стандартів безпеки значно вища для цього сектора, і сьогоднішня інтернет-інфраструктура просто не побудована для задоволення цих вимог», — заявив він.
Curve Finance, значна децентралізована біржа, має значний досвід у обговоренні вразливостей DeFi. Протягом своєї довгої історії Curve стикалася та управляла критичними інцидентами безпеки на кількох випадках, що змушувало компанію постійно адаптувати свій підхід до безпеки.
Проте, на початку цього місяця, вебсайт біржі став останньою ціллю. Зрештою, DEX довелося змінити свій офіційний домен. На думку Єгорова, проблема в кінцевому підсумку є внутрішньою для Інтернету, яким ми його знаємо.
«Наскільки я можу бачити, ми не могли зробити нічого кращого з точки зору технологій. Проблема цього разу була зовнішньою. На мою думку, існує фундаментальна проблема з тим, як побудовані вебзастосунки. Нам потрібні безпечні настільні застосунки, побудовані з нуля з пріоритетом на безпеку», — зазначив Єгоров.
Зокрема, він вказав на кілька структурних вразливостей, які дозволили здійснити атаку на Curve та інші нещодавні зломи. Застосунки Web3 все ще повинні взаємодіяти зі статичним вебсайтом певного типу, використовуючи реєстратори DNS для підключення доменного імені сайту до фронтенд-хостингу.
Якщо зловмисники обмануть, викрадуть або підкуплять ці сервери, це відкриває дуже ефективний шлях для атаки, тактику, яку нещодавно використали на Curve.
Це лише одна з кількох структурних проблем з інфраструктурою Інтернету ‘Web2’ сьогодні. Наприклад, вебсторінки покладаються на тисячі мікропакетів JavaScript, які важко перевірити окремо.
Компрометовані пакети можуть хитро та ефективно обійти безпеку протоколу DeFi у широкому діапазоні способів. Все це говорить про те, що Web3 вразливий до багатьох атак Web2.
Проблеми Web3 потребують нових рішень
Єгоров стверджував, що криптоіндустрія повинна здійснити значні структурні зміни, щоб постійно вирішувати ці проблеми. Наприклад, він згадав Ethereum Name Service (ENS) як блокчейн-нативний спосіб уникнути атак DNS.
Якщо ENS буде прийнято, він буде ефективним, але не має достатньої підтримки на рівні браузера, щоб стати загальноприйнятим.
Навіть якщо Curve отримає інституційну підтримку для запобігання зломам за допомогою більш Web3-орієнтованих заходів безпеки, нова екосистема може бути дещо невпізнанною для нас.
Наприклад, Єгоров зазначив, що вся структура монетизації вебтрафіку повинна змінитися. Замість цього, основні гравці повинні будуть покривати витрати на утримання, що буде стимулюватися підвищеною безпекою.
«Створення такого застосунку вимагатиме багато роботи — потрібно буде повторно реалізувати інтерфейси DeFi, уникаючи вебтехнологій взагалі і, ймовірно, без можливості монетизації. Але я вважаю, що є великий попит на це, особливо з боку установ, які обробляють значні кошти користувачів», — зазначив він.
Ці рішення безсумнівно радикальні, але Єгоров наголосив, що ці проблеми є соціальними, а не технологічними. Він лише запропонував заходи безпеки, які можливо побудувати, використовуючи існуючі дослідження блокчейну, але вони були б достатніми.
Іншими словами, якщо темп великих атак продовжить зростати, це може створити більше ентузіазму для цих реформ. Curve Finance готова будувати майбутнє Web3 без цих вразливостей.
Але оскільки поточні загрози безпеці зберігаються, порада Єгорова для DeFi полягає в тому, щоб створювати більше спеціалізованих настільних застосунків.
«Як я вже згадував раніше, поточна модель створення фронтенд-застосунків занадто небезпечна і має дуже велику поверхню атаки. Щоб досягти кращого рівня безпеки, взаємодії DeFi повинні ідеально перейти до спеціалізованих настільних застосунків», — підсумував засновник Curve.
Дисклеймер
Відповідно до принципів проєкту Trust Project, ця авторська стаття представляє точку зору автора і не обов'язково відображає погляди BeInCrypto. BeInCrypto залишається прихильником прозорої звітності та дотримання найвищих стандартів журналістики. Читачам рекомендується перевіряти інформацію самостійно і консультуватися з професіоналами, перш ніж приймати рішення на основі цього контенту. Зверніть увагу, що наші Загальні положення та умови, Полiтика конфіденційності та Дисклеймер були оновлені.
