Efter Curve Finances hjemmeside blev udsat for et stort DNS-kapring tidligere på måneden, stiger bekymringerne om sofistikerede og nye måder, hackere målretter kryptofirmaer på. Fra kompromittering af sociale medier til front-end udnyttelser og smart contract sårbarheder, står web3-økosystemet over for en vedvarende trussel.
Efterhånden som DeFi og krypto bliver mere populære, tiltrækker de flere ondsindede øjne. Angreb er nu næsten uundgåelige. Så, hvordan opnås modstand? Michael Egorov, grundlægger af Curve Finance, adresserede disse emner og mere i et eksklusivt interview med BeInCrypto.
Curve Finance reagerer på hack
Det største tyveri i kryptohistorien skete i år, og det var ikke en isoleret hændelse. Sofistikerede angreb på DeFi-økosystemet vokser, med insider phishing hos Coinbase, protokolniveau udnyttelser hos zkSync, og et stort DNS-angreb hos Curve Finance.
Egorov diskuterede Web3-industriens strukturelle sårbarheder og hvordan man kan imødekomme øjeblikket.
“Traditionelle web-sikkerhedsproblemer er ikke rigtig noget nyt. Sagen er, at i Web2-verdenen er skaden fra sådanne problemer ofte begrænset, så det var ikke et stort problem. I krypto er indsatsen dog meget anderledes, fordi alle transaktioner bliver endelige næsten øjeblikkeligt. Som et resultat er standarden for sikkerhedskrav meget højere for denne sektor, og dagens internetinfrastruktur er simpelthen ikke bygget til at imødekomme disse krav,” sagde han.
Curve Finance, en stor decentraliseret børs, har en stærk baggrund i at diskutere DeFi’s sårbarheder. Gennem sin lange historie har Curve stået over for og håndteret kritiske sikkerhedshændelser ved flere lejligheder, hvilket har tvunget virksomheden til konstant at tilpasse sin sikkerhedsstrategi.
Alligevel var børsens hjemmeside tidligere på måneden det seneste mål. Til sidst måtte DEX ændre sit officielle domæne. Ifølge Egorov er problemet i sidste ende iboende i internettet, som vi kender det.
“Så vidt jeg kan se, var der intet, vi kunne have gjort bedre teknologisk. Problemet denne gang var eksternt. Efter min mening er der et grundlæggende problem med, hvordan webapplikationer er bygget. Vi har brug for sikre desktop-applikationer bygget fra bunden med sikkerhed som prioritet,” udtalte Egorov.
Specifikt påpegede han nogle strukturelle sårbarheder, der muliggjorde Curve-angrebet og andre nylige hacks. Web3-apps skal stadig interagere med en statisk hjemmeside af en slags, ved at bruge DNS-registratorer til at forbinde sidens domænenavn til front-end hosting.
Hvis angribere narrer, kaprer eller bestikker disse servere, åbner det en meget effektiv angrebsvej, en taktik der for nylig blev brugt på Curve.
Det er blot et af flere strukturelle problemer med den nuværende ‘Web2’ internetinfrastruktur i dag. For eksempel er websteder afhængige af tusindvis af JavaScript-mikropakker, som er svære at gennemgå individuelt.
Kompromitterede pakker kan snigende og effektivt omgå en DeFi-protokols sikkerhed på mange måder. Alt dette siger, at Web3 er sårbar over for mange Web2-angreb.
Web3 problemer kræver nyere løsninger
Egorov hævdede, at kryptoindustrien vil skulle foretage store strukturelle ændringer for permanent at løse disse problemer. For eksempel nævnte han Ethereum Name Service (ENS) som en blockchain-indfødt måde at undgå DNS-angreb på.
Hvis det bliver udbredt, ville ENS være effektivt, men det har ikke nok browser-understøttelse til at blive mainstream.
Selv hvis Curve fik institutionel opbakning til at forhindre hacks med mere Web3-baserede sikkerhedsforanstaltninger, kan det nye økosystem være noget ukendeligt for os.
For eksempel nævnte Egorov, at hele monetariseringsstrukturen for webtrafik ville skulle ændres. I stedet ville store aktører skulle håndtere vedligeholdelsesomkostninger, hvilket ville blive motiveret af øget sikkerhed.
“At bygge en sådan app ville kræve meget arbejde — det ville være nødvendigt at genimplementere DeFi-grænseflader, undgå webteknologier helt og sandsynligvis uden nogen mulighed for at tjene penge. Men jeg tror, at der er en stærk efterspørgsel efter det, især fra institutioner, der håndterer betydelige brugerfonde,” bemærkede han.
Disse løsninger er uden tvivl radikale, men Egorov understregede, at disse problemer er sociale, ikke teknologiske. Han foreslog kun sikkerhedsforanstaltninger, der er mulige at bygge ved hjælp af eksisterende blockchain research, men de ville være tilstrækkelige.
Med andre ord, hvis tempoet i store angreb fortsætter med at stige, kan det skabe mere entusiasme for disse reformer. Curve Finance er klar til at bygge en Web3-fremtid uden disse sårbarheder.
Men da de nuværende sikkerhedstrusler vedvarer, er Egorovs råd til DeFi at bygge flere dedikerede desktop-applikationer.
“Som jeg nævnte før, er den nuværende model for at bygge frontend-apps for usikker og har en meget stor angrebsflade. For at opnå et bedre sikkerhedsniveau bør DeFi-interaktioner ideelt set skifte til dedikerede desktop-applikationer,” konkluderede Curve-grundlæggeren.
Disclaimer
Alle oplysninger på vores hjemmeside offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, der foretages af læserne på grundlag af oplysningerne på vores hjemmeside, er udelukkende på egen risiko.
