Resolv-ის ჰაკი: როგორ დაბეჭდა ერთმა კომპრომეტირებულმა გასაღებმა $23 მილიონი | Mewayz Blog Skip to main content
Hacker News

Resolv-ის ჰაკი: როგორ დაბეჭდა ერთმა კომპრომეტირებულმა გასაღებმა $23 მილიონი

კომენტარები

1 min read Via www.chainalysis.com

Mewayz Team

Editorial Team

Hacker News
<სხეული>

Resolv Hack: როგორ დაიბეჭდა ერთი კომპრომეტირებული გასაღები $23 მილიონი

დეცენტრალიზებული ფინანსების სამყარო (DeFi) მოძრაობს თვალწარმტაცი ტემპით, ჰპირდება ინოვაციებს, მაგრამ ასევე შეიცავს ღრმა რისკებს. რამდენიმე ინციდენტი უკეთ ასახავს ამ დიქოტომიას, ვიდრე Resolv-ის 2023 წლის ექსპლუატაცია, DeFi პროტოკოლი, რომელიც შექმნილია სადაზღვევო პრეტენზიების მოსაგვარებლად. განსაცვიფრებელი დარღვევით, ერთმა კომპრომეტირებულმა კერძო კლავიშმა გამოიწვია პლატფორმის 23 მილიონ დოლარზე მეტი ღირებულების უნებართვო მოჭრა, რამაც შოკი გამოიწვია კრიპტო საზოგადოებაში. ეს არ იყო რთული ჭკვიანი კონტრაქტის შეცდომა, არამედ ფუნდამენტური წარუმატებლობა წვდომის კონტროლში - მკვეთრი შეხსენება იმისა, რომ ციფრულ ეპოქაში, ერთი მარცხის წერტილი შეიძლება კატასტროფულად ძვირი იყოს.

კატასტროფული წარუმატებლობის ერთი წერტილი

განსხვავებით დახვეწილი ჰაკერებისგან, რომლებიც იყენებენ ჩახლართულ კოდს, Resolv შეტევა სასტიკად მარტივი იყო. პროტოკოლის დიზაინი მოიცავდა პრივილეგირებულ ფუნქციას, რომელსაც აკონტროლებს კერძო კრიპტოგრაფიული გასაღები, რომელიც საშუალებას აძლევდა შექმნას (დაჭრის) მისი სტაბილური კოინი, eUSD. როდესაც ეს გასაღები არასწორ ხელში ჩავარდა, თავდამსხმელმა მოიპოვა ღმერთის მსგავსი უნარი, დაებეჭდა ფული ჰაერიდან. მათ განაგრძეს განსაცვიფრებელი 870 მილიონი eUSD-ის გამომუშავება, მისი ნაწილის შეცვლა სხვა კრიპტოვალუტით სხვადასხვა დეცენტრალიზებულ ბირჟებზე. ექსპლოიტმა ხაზი გაუსვა კრიტიკულ დაუცველობას: ზედმეტად დამოკიდებულებას ცენტრალიზებულ კლავიშებზე დაფუძნებულ კონტროლზე სავარაუდოდ დეცენტრალიზებულ სისტემაში. ეს იყო მთავარი გასაღები, რომელმაც განბლოკა მთელი სარდაფი.

"Resolv ექსპლოიტი არის კლასიკური შემთხვევა "პრივილეგიების ესკალაციის" თავდასხმის DeFi სივრცეში. ის ხაზს უსვამს, რომ სისტემის უსაფრთხოება მხოლოდ ისეთივე ძლიერია, როგორც ყველაზე სუსტი რგოლი მის ოპერაციულ სტრუქტურაში, რომელიც ხშირად რჩება ადამიანური ან პროცედურული."

კოდის მიღმა: ოპერაციული უსაფრთხოების ბათილობა

ჰაკმა გადალახა მხოლოდ ტექნიკური ხარვეზი, გამოავლინა ღრმა ოპერატიული უსაფრთხოების სიცარიელე. მაშინვე გაჩნდა კითხვები: როგორ ინახებოდა პირადი გასაღები? ვის ჰქონდა მასზე წვდომა? ეს იყო ერთი ინდივიდუალური თუ მრავალხელმოწერიანი სქემა? ინციდენტმა დაამტკიცა, რომ უნაკლო ჭკვიანი კონტრაქტის კოდი უაზროა, თუ ამ კონტრაქტების მარეგულირებელი ადმინისტრაციული გასაღებები არ არის დაცული სამხედრო დონის ოპერატიული პროტოკოლებით. ეს არის სადაც ტრადიციული ბიზნეს ინფრასტრუქტურა ვერ ახერხებს თანამედროვე Web3 პროექტებს. ასეთი უკიდურესი პრივილეგიების მართვა მოითხოვს უფრო მეტს, ვიდრე პაროლის მენეჯერი; ის მოითხოვს სტრუქტურირებულ, აუდიტორულ და თანამშრომლობით ოპერაციულ გარემოს.

ძირითადი გაკვეთილები მოდულური ბიზნესის ეპოქისთვის

Resolv ჰაკი, თუმცა სპეციფიკურია DeFi-სთვის, გთავაზობთ უნივერსალურ გაკვეთილებს ციფრულ სფეროში მოქმედი ნებისმიერი ბიზნესისთვის, განსაკუთრებით მოდულურ, თავსებად სისტემებზე აგებულებისთვის. ის გვასწავლის, რომ უსაფრთხოება უნდა იყოს ჰოლისტიკური, მოიცავდეს როგორც ციფრულ აქტივებს, ასევე მათ გარშემო არსებულ ადამიანურ პროცესებს. თანამედროვე პლატფორმები, ისევე როგორც მოდულური ბიზნეს ოპერაციული ოპერაციული სისტემა, უნდა იყოს დაცული მინიმუმ პრივილეგიისა და გამჭვირვალე მუშაობის პრინციპებით.

  • პრივილეგიების მართვა უმნიშვნელოვანესია: კრიტიკული ფუნქციები არასოდეს არ უნდა დაეყრდნოს ერთ კლავიშს. მრავალხელმოწერიანი სქემები და დროში ჩაკეტილი ქმედებები შეთანხმებას არ ექვემდებარება.
  • გამჭვირვალობა ქმნის ანგარიშვალდებულებას: ძირითადი ქმედებები, განსაკუთრებით ის, რაც ფინანსურ პარამეტრებს მოიცავს, უნდა იყოს ხილული ავტორიზებული დაინტერესებული მხარეებისთვის უცვლელ ჟურნალში.
  • მოდულარობა არ უნდა ნიშნავდეს ფრაგმენტაციას: კლასში საუკეთესო ხელსაწყოების გამოყენებამ არ უნდა შექმნას უსაფრთხოების ხარვეზები. ისინი უნდა იყოს ინტეგრირებული შეკრულ ოპერაციულ ფენაში.
  • პროცესი ისეთივე მნიშვნელოვანია, როგორც ტექნოლოგია: წვდომის მართვის ნათელი, განმეორებადი და აუდიტორული პროცედურები უსაფრთხოების საფუძველია.

ინტეგრირებული კონტროლის საფუძველი

აქ ერთიანი ოპერატიული პლატფორმა ხდება კრიტიკული. წარმოიდგინეთ, რომ Resolv-ის ძირითადი ადმინისტრაციული ფუნქციები იყოს არა მხოლოდ გასაღები ლეპტოპზე, არამედ მართული პროცესი სისტემაში, როგორიცაა Mewayz. მოდულურ ბიზნეს OS-ს შეუძლია უზრუნველყოს სტრუქტურირებული გარემო, სადაც ასეთი უმაღლესი პრივილეგიები არა მხოლოდ ინახება, არამედ რეგულირდება. წვდომის კონტროლის, დავალების დელეგირებისა და აუდიტის შესვლის ყოველდღიურ ოპერაციულ სისტემაში ინტეგრაციით, ბიზნესს შეუძლია შექმნას შემოწმებები და ბალანსები, რომლებიც თავიდან აიცილებენ წარუმატებლობის ერთ წერტილს. Mewayz საშუალებას აძლევს გუნდებს შექმნან უსაფრთხო, გამჭვირვალე სამუშაო ნაკადები მათი ყველაზე მგრძნობიარე ოპერაციების გარშემო, რაც უზრუნველყოფს, რომ მოდულური სისწრაფე არ მოხდეს უსაფრთხოების ფასად. Resolv-ის $23 მილიონიანი გაკვეთილი ნათელია: დღევანდელ ურთიერთდაკავშირებულ ბიზნეს სამყაროში თქვენი ოპერაციული მთლიანობა თქვენი ყველაზე ღირებული აქტივია. მისი დაცვა მოითხოვს ფრაგმენტული ხელსაწყოების მიღმა გადასვლას სისტემაზე, რომელიც შექმნილია უსაფრთხო, ერთობლივი კონტროლისთვის.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

ხშირად დასმული კითხვები

Resolv Hack: როგორ დაიბეჭდა ერთი კომპრომეტირებული გასაღები $23 მილიონი

დეცენტრალიზებული ფინანსების სამყარო (DeFi) მოძრაობს თვალწარმტაცი ტემპით, ჰპირდება ინოვაციებს, მაგრამ ასევე შეიცავს ღრმა რისკებს. რამდენიმე ინციდენტი უკეთ ასახავს ამ დიქოტომიას, ვიდრე Resolv-ის 2023 წლის ექსპლუატაცია, DeFi პროტოკოლი, რომელიც შექმნილია სადაზღვევო პრეტენზიების მოსაგვარებლად. განსაცვიფრებელი დარღვევით, ერთმა კომპრომეტირებულმა კერძო კლავიშმა გამოიწვია პლატფორმის 23 მილიონ დოლარზე მეტი ღირებულების უნებართვო მოჭრა, რამაც შოკი გამოიწვია კრიპტო საზოგადოებაში. ეს არ იყო რთული ჭკვიანი კონტრაქტის შეცდომა, არამედ ფუნდამენტური წარუმატებლობა წვდომის კონტროლში - მკვეთრი შეხსენება იმისა, რომ ციფრულ ეპოქაში, ერთი მარცხის წერტილი შეიძლება კატასტროფულად ძვირი იყოს.

კატასტროფული მარცხის ერთი წერტილი

განსხვავებით დახვეწილი ჰაკერებისგან, რომლებიც იყენებენ ჩახლართულ კოდს, Resolv შეტევა სასტიკად მარტივი იყო. პროტოკოლის დიზაინი მოიცავდა პრივილეგირებულ ფუნქციას, რომელსაც აკონტროლებს კერძო კრიპტოგრაფიული გასაღები, რომელიც საშუალებას აძლევდა შექმნას (დაჭრის) მისი სტაბილური კოინი, eUSD. როდესაც ეს გასაღები არასწორ ხელში ჩავარდა, თავდამსხმელმა მოიპოვა ღმერთის მსგავსი უნარი, დაებეჭდა ფული ჰაერიდან. მათ განაგრძეს განსაცვიფრებელი 870 მილიონი eUSD-ის გამომუშავება, მისი ნაწილის შეცვლა სხვა კრიპტოვალუტით სხვადასხვა დეცენტრალიზებულ ბირჟებზე. ექსპლოიტმა ხაზი გაუსვა კრიტიკულ დაუცველობას: ზედმეტად დამოკიდებულებას ცენტრალიზებულ კლავიშებზე დაფუძნებულ კონტროლზე სავარაუდოდ დეცენტრალიზებულ სისტემაში. ეს იყო მთავარი გასაღები, რომელმაც განბლოკა მთელი სარდაფი.

კოდის მიღმა: ოპერაციული უსაფრთხოების ბათილობა

ჰაკმა გადალახა მხოლოდ ტექნიკური ხარვეზი, გამოავლინა ღრმა ოპერატიული უსაფრთხოების სიცარიელე. მაშინვე გაჩნდა კითხვები: როგორ ინახებოდა პირადი გასაღები? ვის ჰქონდა მასზე წვდომა? ეს იყო ერთი ინდივიდუალური თუ მრავალხელმოწერიანი სქემა? ინციდენტმა დაამტკიცა, რომ უნაკლო ჭკვიანი კონტრაქტის კოდი უაზროა, თუ ამ კონტრაქტების მარეგულირებელი ადმინისტრაციული გასაღებები არ არის დაცული სამხედრო დონის ოპერატიული პროტოკოლებით. ეს არის სადაც ტრადიციული ბიზნეს ინფრასტრუქტურა ვერ ახერხებს თანამედროვე Web3 პროექტებს. ასეთი უკიდურესი პრივილეგიების მართვა მოითხოვს უფრო მეტს, ვიდრე პაროლის მენეჯერი; ის მოითხოვს სტრუქტურირებულ, აუდიტორულ და თანამშრომლობით ოპერაციულ გარემოს.

ძირითადი გაკვეთილები მოდულური ბიზნესის ეპოქისთვის

Resolv ჰაკი, თუმცა სპეციფიკურია DeFi-სთვის, გთავაზობთ უნივერსალურ გაკვეთილებს ციფრულ სფეროში მოქმედი ნებისმიერი ბიზნესისთვის, განსაკუთრებით მოდულურ, თავსებად სისტემებზე აგებულებისთვის. ის გვასწავლის, რომ უსაფრთხოება უნდა იყოს ჰოლისტიკური, მოიცავდეს როგორც ციფრულ აქტივებს, ასევე მათ გარშემო არსებულ ადამიანურ პროცესებს. თანამედროვე პლატფორმები, ისევე როგორც მოდულური ბიზნეს ოპერაციული ოპერაციული სისტემა, უნდა იყოს დაცული მინიმუმ პრივილეგიისა და გამჭვირვალე მუშაობის პრინციპებით.

ინტეგრირებული კონტროლის საფუძველი

აქ ერთიანი ოპერატიული პლატფორმა ხდება კრიტიკული. წარმოიდგინეთ, რომ Resolv-ის ძირითადი ადმინისტრაციული ფუნქციები იყოს არა მხოლოდ გასაღები ლეპტოპზე, არამედ მართული პროცესი სისტემაში, როგორიცაა Mewayz. მოდულურ ბიზნეს OS-ს შეუძლია უზრუნველყოს სტრუქტურირებული გარემო, სადაც ასეთი უმაღლესი პრივილეგიები არა მხოლოდ ინახება, არამედ რეგულირდება. წვდომის კონტროლის, დავალების დელეგირებისა და აუდიტის შესვლის ყოველდღიურ ოპერაციულ სისტემაში ინტეგრაციით, ბიზნესს შეუძლია შექმნას შემოწმებები და ბალანსები, რომლებიც თავიდან აიცილებენ წარუმატებლობის ერთ წერტილს. Mewayz საშუალებას აძლევს გუნდებს შექმნან უსაფრთხო, გამჭვირვალე სამუშაო ნაკადები მათი ყველაზე მგრძნობიარე ოპერაციების გარშემო, რაც უზრუნველყოფს, რომ მოდულური სისწრაფე არ მოხდეს უსაფრთხოების ფასად. Resolv-ის $23 მილიონიანი გაკვეთილი ნათელია: დღევანდელ ურთიერთდაკავშირებულ ბიზნეს სამყაროში თქვენი ოპერაციული მთლიანობა თქვენი ყველაზე ღირებული აქტივია. მისი დაცვა მოითხოვს ფრაგმენტული ხელსაწყოების მიღმა გადასვლას სისტემაზე, რომელიც შექმნილია უსაფრთხო, ერთობლივი კონტროლისთვის.

გამარტივეთ თქვენი ბიზნესი Mewayz-ით

Mewayz აერთიანებს 208 ბიზნეს მოდულს ერთ პლატფორმაში — CRM, ინვოისის შედგენა, პროექტის მენეჯმენტი და სხვა. შეუერთდით 138000+ მომხმარებელს, რომლებმაც გაამარტივეს სამუშაო პროცესი.

დღეს უფასოა