HT 1.5 ARD从加密货币生态系统的网络攻击中造成的损失暴露了严重的安全漏洞,同时也突出了提升漏洞赏金计划的紧迫性。
加密货币行业正面临着日益增加的网络攻击浪潮,仅在2月份就造成了高达HT 1.5 ARD的损失。根据区块链安全公司CertiK在3月3日发布的报告,这一数字创下了历史新高,表明许多交易所和加密钱包系统仍存在令人担忧的安全漏洞。
值得注意的是,对Bybit交易所的黑客攻击占据了大部分总损失,超过HT 1.4 ARD,反映了一个需要紧急解决的系统性问题。
网络安全公司FearsOff的首席运营官、经验丰富的白帽黑客Marwan Hachem认为,目前的漏洞赏金计划还不足以吸引顶级安全专家。他表示,Bybit遭黑客攻击的根源在于一个超出漏洞赏金计划范围的漏洞,这意味着即使白帽黑客发现问题,也没有被鼓励进行报告。
具体来说,Safe(Bybit的multisignature钱包供应商)的漏洞赏金计划不包括与用户界面(UI)和后端相关的错误,为黑客利用漏洞并造成严重损失创造了条件。此外,最高奖励金额过低(Bybit平台上为4,000刀,HackerOne平台上为10,000刀)也降低了白帽黑客报告漏洞的动力。
Hachem强调,交易所应该主动提高初始漏洞赏金,而不是只在事故发生后慷慨悬赏来鼓励黑客归还资产。这种方法有助于在漏洞被黑客利用之前发现和修复它们。
除了改善漏洞赏金计划,CertiK还建议交易所采取更严格的安全措施,包括使用离线签名设备、部署隔离的操作系统环境来批准交易,以及对大额交易实施更高级别的身份验证。此外,定期的安全审核和模拟网络钓鱼攻击也被建议,以降低社会工程学风险。
根据CertiK的分析,Bybit遭黑客攻击源于一起网络钓鱼攻击,导致multisignature交易签名人无意中批准了一份恶意合约,使黑客得以提取资金。
文章声明:以上内容(如有图片或视频亦包括在内)除非注明,否则均为谈天说币原创文章,转载或复制请以超链接形式并注明出处。