„Resolv“ įsilaužimas: kaip vienas pažeistas raktas išspausdino 23 mln. USD

The Resolv Hack: kaip vienas pažeistas raktas išspausdino 23 mln. USD

Decentralizuotų finansų (DeFi) pasaulis juda kvapą gniaužiančiu tempu, žadėdamas naujovių, bet ir slepiantis didelę riziką. Keletas incidentų geriau iliustruoja šią dichotomiją nei 2023 m. Resolv, DeFi protokolo, skirto draudimo išmokoms tvarkyti, išnaudojimas. Stulbinantis pažeidimas, dėl vieno pažeisto privataus rakto neteisėtai buvo nukaldinta daugiau nei 23 mln. Tai nebuvo sudėtinga išmaniosios sutarties klaida, o esminis prieigos kontrolės gedimas – ryškus priminimas, kad skaitmeniniame amžiuje vienas gedimo taškas gali būti katastrofiškai brangus.

Vienas katastrofiškos nesėkmės taškas

Skirtingai nuo sudėtingų įsilaužimų, kuriuose naudojamas sudėtingas kodas, „Resolv“ ataka buvo žiauriai paprasta. Protokolo konstrukcijoje buvo privilegijuota funkcija, valdoma privačiu kriptografiniu raktu, kuri leido sukurti (kaldinti) jo stabilią monetą eUSD. Kai šis raktas pateko į netinkamas rankas, užpuolikas įgijo dievišką sugebėjimą spausdinti pinigus iš oro. Jie pradėjo nukaldinti stulbinančius 870 milijonų eUSD, iškeisdami jo dalis į kitas kriptovaliutas įvairiose decentralizuotose biržose. Išnaudojimas išryškino kritinį pažeidžiamumą: pernelyg didelį pasitikėjimą centralizuotu raktu pagrįstu valdymu tariamai decentralizuotoje sistemoje. Tai buvo pagrindinis raktas, kuris atrakino visą saugyklą.

"Resolv exploit yra klasikinis "privilegijų eskalavimo" atakos DeFi erdvėje atvejis. Jis pabrėžia, kad sistemos saugumas yra tiek stiprus, kiek yra silpniausia jos veikimo struktūros grandis, kuri dažnai lieka žmogiška arba procedūrinė."

Be kodekso: veikimo saugumo negaliojimas

Įsilaužimas pranoko tik techninį trūkumą ir atskleidė didelę veikimo saugumo tuštumą. Iš karto kilo klausimai: kaip buvo saugomas privatus raktas? Kas turėjo prieigą prie jo? Ar tai buvo vienas asmuo, ar kelių parašų schema? Įvykis įrodė, kad nepriekaištingas išmaniųjų sutarčių kodas yra beprasmis, jei tas sutartis reglamentuojantys administraciniai raktai nėra apsaugoti karinio lygio operaciniais protokolais. Čia tradicinė verslo infrastruktūra žlugdo šiuolaikinius Web3 projektus. Norint valdyti tokias ypatingas privilegijas, reikia daugiau nei slaptažodžių tvarkyklės; tam reikalinga struktūrizuota, audituojama ir bendradarbiaujanti veiklos aplinka.

Pagrindinės modulinio verslo eros pamokos

„Resolv“ įsilaužimas, nors ir būdingas „DeFi“, siūlo universalias pamokas bet kuriai skaitmeninėje srityje veikiančiai įmonei, ypač toms, kurios sukurtos naudojant modulines, sąveikias sistemas. Joje mokoma, kad saugumas turi būti holistinis, apimantis tiek skaitmeninius išteklius, tiek aplinkinius žmogaus procesus. Šiuolaikinės platformos, kaip ir modulinė verslo OS, turi išlikti nuo pat pradžių mažiausių privilegijų ir skaidraus veikimo principais.

• Privilegijų valdymas yra svarbiausias dalykas: svarbiausios funkcijos niekada neturi pasikliauti vienu raktu. Dėl kelių parašų schemų ir veiksmų su laiko užraktu negalima derėtis.
• Skaidrumas sukuria atskaitomybę: pagrindiniai veiksmai, ypač susiję su finansiniais parametrais, turi būti matomi įgaliotoms suinteresuotosioms šalims nekintamame žurnale.
• Moduliškumas neturėtų reikšti susiskaidymo: naudojant kelis geriausius savo klasėje įrankius neturėtų atsirasti saugumo spragų. Jie turi būti integruoti į vientisą veikimo sluoksnį.
• Procesas yra toks pat svarbus kaip technologija: aiškios, pakartojamos ir tikrinamos prieigos valdymo procedūros yra saugumo pagrindas.

Rengiamasi integruoto valdymo pagrindu

Štai kur vieninga veiklos platforma tampa labai svarbi. Įsivaizduokite, kad pagrindinės „Resolv“ administracinės funkcijos būtų ne tik nešiojamojo kompiuterio raktas, bet ir valdomas procesas tokioje sistemoje kaip „Mewayz“. Modulinė verslo OS gali suteikti struktūrizuotą aplinką, kurioje tokios aukščiausios privilegijos yra ne tik saugomos, bet ir valdomos. Integruodamos prieigos kontrolę, užduočių delegavimą ir audito registravimą į kasdienę veiklą, įmonės gali sukurti patikrinimus ir balansus, kurie apsaugo nuo vieno gedimo taško. „Mewayz“ leidžia komandoms sukurti saugias, skaidrias darbo eigas, susijusias su jautriausiomis operacijomis, užtikrinant, kad modulinis judrumas nekainuotų saugumo. 23 mln. USD vertės „Resolv“ pamoka yra aiški: šiandieniniame tarpusavyje susijusiame verslo pasaulyje jūsų veiklos vientisumas yra jūsų vertingiausias turtas. Norint ją apsaugoti, reikia ne tik suskaidytus įrankius, bet ir pereiti prie sistemos, sukurtos saugiam bendradarbiaujančiam valdymui.

Dažniausiai užduodami klausimai

The Resolv Hack: kaip vienas pažeistas raktas išspausdino 23 mln. USD

Decentralizuotų finansų (DeFi) pasaulis juda kvapą gniaužiančiu tempu, žadėdamas naujovių, bet ir slepiantis didelę riziką. Keletas incidentų geriau iliustruoja šią dichotomiją nei 2023 m. Resolv, DeFi protokolo, skirto draudimo išmokoms tvarkyti, išnaudojimas. Stulbinantis pažeidimas, dėl vieno pažeisto privataus rakto neteisėtai buvo nukaldinta daugiau nei 23 mln. Tai nebuvo sudėtinga išmaniosios sutarties klaida, o esminis prieigos kontrolės gedimas – ryškus priminimas, kad skaitmeniniame amžiuje vienas gedimo taškas gali būti katastrofiškai brangus.

Vienas katastrofiškos nesėkmės taškas

Skirtingai nuo sudėtingų įsilaužimų, kuriuose naudojamas sudėtingas kodas, „Resolv“ ataka buvo žiauriai paprasta. Protokolo konstrukcijoje buvo privilegijuota funkcija, valdoma privačiu kriptografiniu raktu, kuri leido sukurti (kaldinti) jo stabilią monetą eUSD. Kai šis raktas pateko į netinkamas rankas, užpuolikas įgijo dievišką sugebėjimą spausdinti pinigus iš oro. Jie pradėjo nukaldinti stulbinančius 870 milijonų eUSD, iškeisdami jo dalis į kitas kriptovaliutas įvairiose decentralizuotose biržose. Išnaudojimas išryškino kritinį pažeidžiamumą: pernelyg didelį pasitikėjimą centralizuotu raktu pagrįstu valdymu tariamai decentralizuotoje sistemoje. Tai buvo pagrindinis raktas, kuris atrakino visą saugyklą.

Be kodekso: veikimo saugumo negaliojimas

Įsilaužimas pranoko tik techninį trūkumą ir atskleidė didelę veikimo saugumo tuštumą. Iš karto kilo klausimai: kaip buvo saugomas privatus raktas? Kas turėjo prieigą prie jo? Ar tai buvo vienas asmuo, ar kelių parašų schema? Įvykis įrodė, kad nepriekaištingas išmaniųjų sutarčių kodas yra beprasmis, jei tas sutartis reglamentuojantys administraciniai raktai nėra apsaugoti karinio lygio operaciniais protokolais. Čia tradicinė verslo infrastruktūra žlugdo šiuolaikinius Web3 projektus. Norint valdyti tokias ypatingas privilegijas, reikia daugiau nei slaptažodžių tvarkyklės; tam reikalinga struktūrizuota, audituojama ir bendradarbiaujanti veiklos aplinka.

Pagrindinės modulinio verslo eros pamokos

„Resolv“ įsilaužimas, nors ir būdingas „DeFi“, siūlo universalias pamokas bet kuriai skaitmeninėje srityje veikiančiai įmonei, ypač toms, kurios sukurtos naudojant modulines, sąveikias sistemas. Joje mokoma, kad saugumas turi būti holistinis, apimantis tiek skaitmeninius išteklius, tiek aplinkinius žmogaus procesus. Šiuolaikinės platformos, kaip ir modulinė verslo OS, turi išlikti nuo pat pradžių mažiausių privilegijų ir skaidraus veikimo principais.

Kūrimas integruoto valdymo pagrindu

Štai kur vieninga veiklos platforma tampa labai svarbi. Įsivaizduokite, kad pagrindinės „Resolv“ administracinės funkcijos būtų ne tik nešiojamojo kompiuterio raktas, bet ir valdomas procesas tokioje sistemoje kaip „Mewayz“. Modulinė verslo OS gali suteikti struktūrizuotą aplinką, kurioje tokios aukščiausios privilegijos yra ne tik saugomos, bet ir valdomos. Integruodamos prieigos kontrolę, užduočių delegavimą ir audito registravimą į kasdienę veiklą, įmonės gali sukurti patikrinimus ir balansus, kurie apsaugo nuo vieno gedimo taško. „Mewayz“ leidžia komandoms sukurti saugias, skaidrias darbo eigas, susijusias su jautriausiomis operacijomis, užtikrinant, kad modulinis judrumas nekainuotų saugumo. 23 mln. USD vertės „Resolv“ pamoka yra aiški: šiandieniniame tarpusavyje susijusiame verslo pasaulyje jūsų veiklos vientisumas yra jūsų vertingiausias turtas. Norint ją apsaugoti, reikia ne tik suskaidytus įrankius, bet ir pereiti prie sistemos, sukurtos saugiam bendradarbiaujančiam valdymui.