Etter at Curve Finance sitt nettsted ble utsatt for en stor DNS-kapring tidligere denne måneden, øker bekymringene for sofistikerte og nye måter hackere retter seg mot kryptofirmaer. Fra kompromittering av sosiale medier til front-end utnyttelser og sårbarheter i smarte kontrakter, står web3-økosystemet overfor en vedvarende trussel.
Etter hvert som DeFi og krypto blir mer populære, tiltrekker de seg flere ondsinnede blikk. Angrep har nå blitt nesten uunngåelige. Så, hvordan oppnås motstand? Michael Egorov, grunnlegger av Curve Finance, tok opp disse temaene og mer i et eksklusivt intervju med BeInCrypto.
Curve Finance svarer på hack
Det største tyveriet i kryptohistorien skjedde i år, og det var ikke en isolert hendelse. Sofistikerte angrep på DeFi-økosystemet øker, med innsider-phishing hos Coinbase, protokollnivå utnyttelser hos zkSync, og en stor DNS-kapring hos Curve Finance.
Egorov diskuterte Web3-industrien sine strukturelle sårbarheter og hvordan man kan møte øyeblikket.
“Tradisjonelle web-sikkerhetsproblemer er egentlig ikke noe nytt. Saken er at i Web2-verdenen er skaden fra slike problemer ofte håndterbar, så dette var ikke et så stort problem. I krypto er imidlertid innsatsen veldig annerledes fordi alle transaksjoner blir endelige nesten umiddelbart. Som et resultat er standarden for sikkerhet mye høyere for denne sektoren, og dagens internettinfrastruktur er rett og slett ikke bygget for å møte disse kravene,” hevdet han.
Curve Finance, en stor desentralisert børs, har en sterk bakgrunn i å diskutere DeFi sine sårbarheter. Gjennom sin lange historie har Curve stått overfor og håndtert kritiske sikkerhetshendelser ved flere anledninger, noe som har tvunget selskapet til kontinuerlig å tilpasse sin sikkerhetstilnærming.
Likevel, tidligere denne måneden, var børsens nettsted det siste målet. Til slutt måtte DEX endre sitt offisielle domene. I Egorovs syn er problemet til syvende og sist iboende i internett slik vi kjenner det.
“Så vidt jeg kan se, var det ingenting vi kunne ha gjort bedre teknologisk sett. Problemet denne gangen var eksternt. Etter min mening er det et grunnleggende problem med hvordan webapplikasjoner er bygget. Vi trenger sikre skrivebordsapplikasjoner bygget fra grunnen av med sikkerhet som prioritet,” uttalte Egorov.
Spesielt påpekte han noen strukturelle sårbarheter som muliggjorde Curve-angrepet og andre nylige hack. Web3-apper må fortsatt samhandle med et statisk nettsted av noe slag, ved å bruke DNS-registratorer for å koble nettstedets domenenavn til front-end hosting.
Hvis angripere lurer, kaprer eller bestikker disse serverne, åpner det en svært effektiv angrepsvei, en taktikk som nylig ble brukt på Curve.
Det er bare ett av flere strukturelle problemer med den gamle ‘Web2’ internettinfrastrukturen i dag. For eksempel er nettsider avhengige av tusenvis av JavaScript-mikropakker, som er vanskelige å revidere individuelt.
Kompromitterte pakker kan snikende og effektivt omgå en DeFi-protokolls sikkerhet på en rekke måter. Alt dette sier at Web3 er sårbar for mange Web2-angrep.
Web3 problemer krever nyere løsninger
Egorov hevdet at kryptoindustrien vil måtte gjøre store strukturelle endringer for permanent å løse disse problemene. For eksempel nevnte han Ethereum Name Service (ENS) som en blokkjede-innfødt måte å unngå DNS-angrep på.
Hvis det blir tatt i bruk, ville ENS være effektivt, men det har ikke nok støtte på nettlesernivå til å bli mainstream.
Selv om Curve fikk institusjonell støtte for å forhindre hack med mer Web3-baserte sikkerhetstiltak, kan det nye økosystemet være noe ugjenkjennelig for oss.
For eksempel nevnte Egorov at hele inntektsstrukturen for webtrafikk måtte endres. I stedet måtte store aktører håndtere vedlikeholdskostnader, som ville bli incentivert av økt sikkerhet.
“Å bygge en slik app ville være mye arbeid — det ville trenge å implementere DeFi-grensesnitt på nytt, unngå webteknologier helt og sannsynligvis uten noen mulighet for å tjene penger. Men jeg tror det er en sterk etterspørsel etter det, spesielt fra institusjoner som håndterer betydelige brukerfond,” bemerket han.
Disse løsningene er utvilsomt radikale, men Egorov understreket at disse problemene er sosiale, ikke teknologiske. Han foreslo bare sikkerhetstiltak som er mulig å bygge ved hjelp av eksisterende blokkjedeforskning, men de ville være tilstrekkelige.
Med andre ord, hvis tempoet i store angrep fortsetter å øke, kan det skape mer entusiasme for disse reformene. Curve Finance er klar til å bygge en Web3-fremtid uten disse sårbarhetene.
Men ettersom de nåværende sikkerhetstruslene vedvarer, er Egorovs råd for DeFi å bygge flere dedikerte skrivebordsapplikasjoner.
“Som jeg nevnte tidligere, er den nåværende modellen for å bygge frontend-apper for usikker og har en veldig stor angrepsflate. For å oppnå et bedre sikkerhetsnivå, bør DeFi-interaksjoner ideelt sett flytte til dedikerte skrivebordsapplikasjoner,” konkluderte Curve-grunnleggeren.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
