Resumen de la perspectiva de SPACEKOL

Desde un punto de vista técnico, se analizó el problema de seguridad de las cuentas de intercambio, señalando que establecer un campo de verificación en los encabezados de solicitud puede prevenir eficazmente el robo de cookies.

Como desarrollador de contratos experimentado, enfatizó la necesidad de estrictas políticas de seguridad en la operación de activos y compartió sus observaciones y experiencias personales sobre las políticas de seguridad en los intercambios.

A través de experiencias personales, se narra el proceso de ser atacado por hackers, recordando a todos los riesgos potenciales al usar una billetera web3.

Como investigador de seguridad, analicé el mecanismo de las transacciones de lavado y recomendé a los usuarios que presten atención a los problemas de permisos al descargar complementos de navegador para evitar riesgos de seguridad potenciales.

Compartí mi experiencia laboral en Manta, donde me encargué del contenido de investigación, y enfatizamos la importancia de la comunidad en la gobernanza de DAO.

En la sesión de discusión libre, los expertos profundizaron en las siguientes cuestiones:

• ¿Es más seguro mantener los activos personales en una billetera o en un intercambio? La mayoría de los invitados creen que depende de la preferencia de riesgo personal del usuario, el tamaño de los activos y la frecuencia de las transacciones. La billetera ofrece la mayor seguridad, pero tiene menor conveniencia; mientras que el intercambio, aunque es conveniente, su seguridad depende de su sistema de seguridad.
• ¿Cómo mejorar la seguridad de los activos personales? Las recomendaciones incluyen el uso de una estrategia de separación de carteras frías y calientes, la tecnología de firma múltiple, estar alerta ante sitios de phishing e información fraudulenta, así como auditar regularmente las cuentas y los activos.
• ¿Cuál es el papel de la regulación en el ámbito de las criptomonedas? Los invitados coinciden en que una intervención regulatoria moderada ayuda a mejorar la seguridad de los activos, especialmente en el proceso de recuperación después de que los activos han sido robados.

Space Resumen emocionante

En un incidente de robo de activos de usuarios de Web3 ocurrido el 24 de mayo, donde se sustrajeron hasta 500w, los hackers lograron robar todos los fondos de las cuentas de los usuarios sin obtener la contraseña y la información de verificación de dos pasos de una cuenta de intercambio. La clave de este incidente radica en que los hackers aprovecharon las vulnerabilidades de la seguridad en transacciones de lavado y en extensiones de navegador. ¿Por qué las transacciones de lavado y las extensiones de navegador permitieron que los ladrones lograran su objetivo?

Revisión de eventos desde la perspectiva de la parte interesada

Soy alguien que entró en el mundo en 2017, he pasado por dos ciclos de toro y oso, y he perdido todo 5 veces. En cuanto a este incidente de robo, no lo hice a través de un exchange, sino que utilicé una billetera Web3.

Hace cinco días, por la mañana, después de dejar el hotel, revisé la información oficial de los proyectos en los que había invertido. Descubrí que en el tuit de la cuenta oficial, alguien se hacía pasar por información adicional de la oficial, con un nombre de usuario muy similar al oficial------aunque la cuenta era diferente. Normalmente no acepto recompensas desconocidas, pero esa vez, inesperadamente, quise intentarlo. Al llegar a casa, inicié sesión en mi billetera y copié un enlace. Abrí el enlace en el navegador de la billetera, y solo había un botón de "Conectar billetera" en la página. Como no estoy muy familiarizado con la tecnología, pensé que era una operación normal. Después de conectarme, me di cuenta de que necesitaba autorización para transferir activos, pero en cuanto me conecté, sentí que algo no estaba bien. Después de revisar cuidadosamente, descubrí que el nombre del enlace era incorrecto, y en ese momento me di cuenta de que podría haber sido víctima de un robo. Esa es toda mi experiencia. Gracias.

Pregunta 1: ¿Cómo proteger los activos personales de los ataques de hackers?

Primero, la cuenta del intercambio y el mecanismo de verificación secundaria están diseñados para obtener el estado de inicio de sesión del usuario, es decir, las cookies que todos conocemos. A través de este estado, se puede eludir el acceso directo al sistema utilizando la contraseña de la cuenta tradicional, lo cual es bastante común en la ciberseguridad.

Desde un punto de vista técnico, los complementos del navegador tienen permisos muy altos, lo que les permite acceder a todos los datos del sitio web, incluidos las cookies del usuario. Por ejemplo, el administrador de contraseñas del navegador es un complemento que puede utilizar código JS para ingresar el nombre de usuario y la contraseña en los campos de entrada correspondientes, por lo que también puede obtener las cookies del usuario. Los usuarios individuales deben evitar instalar complementos de navegador de origen desconocido. Si es necesario instalarlos, es mejor revisar primero el código fuente para confirmar que no haya funciones o palabras clave sospechosas de captura de cookies.

Estrictamente hablando, esto no se considera un fallo, y el CVE tampoco lo clasificaría como tal. Pero desde un punto de vista técnico, los intercambios tienen la capacidad completa de evitar problemas de toma de cuentas debido a la filtración de cookies de los usuarios. Por ejemplo, se puede establecer un token y otros campos de verificación en el encabezado de la solicitud, utilizando estos campos de verificación como credenciales de usuario, en lugar de depender únicamente de las cookies, lo que puede prevenir eficazmente el robo de cookies. Estas son algunas de mis opiniones.

Jim ha realizado un análisis completo desde el aspecto técnico, y yo compartiré mis puntos de vista desde una perspectiva estratégica. Las políticas de seguridad del software de varios bancos nacionales son estrictas, como la necesidad de volver a ingresar la contraseña después de cambiar de pantalla, lo cual es especialmente importante en la operación de activos. Por ejemplo, un intercambio en sus inicios requería que los usuarios establecieran una contraseña de fondos después de iniciar sesión para desbloquear los permisos de negociación a corto plazo; aunque el proceso era engorroso, proporcionaba una seguridad adicional. Sin embargo, a medida que aumentaba la demanda de conveniencia en las transacciones, un intercambio eliminó esta política, lo que resultó insuficiente en cuestiones de seguridad como el trading cruzado.

Las transacciones de lavado no son un fenómeno nuevo; ya en 2021, algunos usuarios sufrieron pérdidas debido a este tipo de problemas. Esto nos recuerda nuevamente que las estrategias de seguridad de los intercambios centralizados deben mejorarse urgentemente. La formulación de estrategias de seguridad debe equilibrar la conveniencia del usuario y la protección de los activos, para evitar que ocurran eventos similares a las transacciones de lavado. Como un eslabón importante en la custodia de activos, los intercambios centralizados deben dar importancia y optimizar continuamente sus mecanismos de seguridad.

Quiero añadir la importancia de la contraseña de fondos en los intercambios. La contraseña de fondos puede prevenir en cierta medida el robo de activos. Incluso si un hacker accede a la cuenta del intercambio robando la cookie, sin la contraseña de fondos no podrá realizar transacciones.

El trading de emparejamiento es una táctica común, los hackers pueden elegir criptomonedas con poca liquidez, colocar órdenes en la cuenta de la víctima y luego comprar a un precio más bajo con su propia cuenta, transfiriendo así fondos a su cuenta y causando pérdidas.

Además, quiero enfatizar la seguridad de las extensiones del navegador. Las extensiones de Chrome tienen muchos permisos, y después de descargarlas, el navegador notificará al usuario sobre los permisos necesarios. Personalmente, recomiendo que para cualquier extensión que parezca tener permisos excesivos o poco claros, es mejor leer la descripción de los permisos primero; si no se está seguro de su seguridad, se debe optar por desinstalarla para evitar su uso. Este es un método eficaz para prevenir incidentes de seguridad similares.

Los invitados anteriores ya han cubierto muchos puntos. Quisiera agregar que, en primer lugar, debemos evitar descargar complementos de fuentes desconocidas, incluso si algunos complementos han sido recomendados por KOLs; debemos mantenernos alerta con respecto a aquellos que fueron promocionados por KOLs extranjeros. A veces, KOLs o el equipo oficial del proyecto pueden publicar información sobre airdrops y otros beneficios, pero aun así, recomiendo que todos esperen pacientemente y no se apresuren a participar. Porque esta información podría provenir de cuentas robadas y ser falsa. En resumen, la precaución es clave. Gracias a todos.

Pregunta dos: ¿Cómo enfrentar los desafíos de seguridad de la tecnología de intercambio de rostros de IA?

La tecnología de deepfake se está convirtiendo en un medio común para los ataques cibernéticos. El crimen organizado utiliza esta tecnología para crear materiales falsos, lanzar ataques masivos y eludir la autenticación mediante métodos como la generación de rostros falsos a partir de defectos para llevar a cabo los ataques.

En el ámbito de la seguridad, los firewalls no pueden prevenir este tipo de ataques de bypass de autenticación. Por ejemplo, algunos intercambios pueden depender únicamente de la autenticación facial en caso de que el usuario olvide su contraseña, careciendo de un sistema de defensa en profundidad, lo que puede resultar en vulnerabilidades de seguridad. En escenarios con altos requisitos de seguridad, especialmente en el primer inicio de sesión del dispositivo o en entornos anómalos, no se recomienda utilizar únicamente OCR y autenticación facial, sino que se deben combinar con autenticación de dos factores como SMS.

En cuanto a la resistencia algorítmica, el enfrentamiento en el campo de la autenticación facial es muy intenso, existen numerosas características y herramientas variantes, por lo que no se puede confiar únicamente en un solo algoritmo. Debemos establecer un sistema completo de defensa facial, como lo ha hecho Alipay, combinando la seguridad en el terminal, la resistencia algorítmica sistemática y respondiendo rápidamente según la situación actual del ataque y la defensa.

Si una persona se encuentra con este tipo de ataque y tiene dificultades para verificarlo, debe contactar inmediatamente a la bolsa para informar sobre el robo de su cuenta, y congelar su cuenta si es posible, modificar la información de acceso y activar la autenticación de dos factores. Al mismo tiempo, debe conservar las pruebas relevantes e intentar recuperar los activos.

La tecnología de deepfake, aunque avanzada, puede presentar errores durante el proceso de generación, como la distorsión de características faciales. Actualmente, las medidas de verificación de seguridad al nivel de Alipay deberían ser suficientes para abordar este tipo de problemas. Sin embargo, desde una perspectiva de protección personal, ofrecer recomendaciones específicas de protección es muy difícil.

Los problemas como la filtración de información personal son comunes, y es difícil para los usuarios individuales prevenirlos de manera independiente. Creo que se debería hacer un llamado a las plataformas de intercambio y otras instituciones para que mejoren la seguridad y los estándares de certificación del reconocimiento facial, abordando el problema desde su raíz, en lugar de obligar a los usuarios a investigar cómo protegerse. La capacidad de protección personal es limitada, se necesita la colaboración de empresas de seguridad y el apoyo de tecnología profesional, esta es la mejor solución.

Quiero hablar desde la perspectiva de un usuario común. Aunque notificar rápidamente a los intercambios sobre el congelamiento de cuentas sospechosas es un medio eficaz, este método no es perfecto. Los piratas informáticos suelen estar organizados y transfieren activos a gran velocidad. He vivido una situación así, cuando mis activos fueron robados, el pirata informático transfirió rápidamente los activos y cuando contacté al intercambio para congelar la cuenta del otro, los activos en la cuenta ya habían sido vaciados.

Esto indica que, al recuperar los activos robados, es difícil que nuestra velocidad se mantenga al ritmo de los hackers. El proceso de defensa de derechos es muy complicado, ya que a menudo estamos en una posición desventajosa.

Sobre el evento de IA, creo que el problema radica en la insuficiente configuración de seguridad de los intercambios. La seguridad del correo electrónico es relativamente baja, y generalmente se requiere un código de verificación del correo electrónico, un código de verificación del teléfono o autenticación en dos pasos para cambiar la contraseña. Sin embargo, en este evento, el hacker logró eludir otras verificaciones de seguridad simplemente subiendo una identificación y un video de IA, lo que muestra la falta de medidas de control de riesgos.

Una vez que se restablecen las configuraciones de seguridad, el intercambio debe restringir las operaciones relacionadas durante al menos 24 horas y notificar a los usuarios sobre el estado restablecido, para que tengan suficiente tiempo para reaccionar y proteger sus cuentas. Pero en este caso, el hacker transfirió los activos en menos de 24 horas, lo cual es inaceptable.

También he experimentado la compra de una stablecoin a través de C2C en un intercambio, sin ninguna restricción de retiro, lo que presenta un riesgo de lavado de dinero. Actualmente, parece que las medidas de control de riesgos del intercambio aún necesitan ser reforzadas. En cuanto al rastreo de activos robados, el intercambio reacciona con lentitud o exige proporcionar una gran cantidad de materiales antes de congelar la cuenta, lo que hace que rastrear y recuperar los activos robados sea extremadamente difícil. A pesar de que estamos tratando de colaborar y comunicarnos con el intercambio, esto sigue siendo un problema complicado.

Estoy completamente de acuerdo con la opinión planteada por los invitados anteriormente. En primer lugar, creo que el intercambio debería modificar de inmediato la configuración de seguridad, limitando las operaciones de retiro dentro de las 24 horas. Además, depositar activos en el intercambio se basa en una suposición de seguridad. Si hay alguien dentro del intercambio que vende información de los usuarios, en realidad es muy difícil de prevenir. Como usuarios comunes, lo único que podemos hacer es conservar pruebas, presentar reclamaciones al intercambio y defender nuestros derechos, esperando recibir una compensación.

Además, para los usuarios comunes, incluido yo mismo, sugiero no ostentar riqueza en lugares públicos o en redes sociales, para evitar filtrar información personal. Por ejemplo, supe de un amigo del mundo cripto que, mientras viajaba en Bali, fue asaltado por un grupo al volante que le robó el teléfono móvil cuando estaba jugando con él en la calle, y abrió su aplicación de billetera en el teléfono, lo que resultó en el robo de sus activos. Por lo tanto, debemos evitar exponer nuestra situación financiera en público.

Además, ha habido incidentes en los que los hackers han propagado programas troyanos a través de experiencias de escaneo en eventos presenciales. Por lo tanto, les recordamos a todos que deben mantenerse alerta al participar en diversas actividades, no escanear códigos QR fácilmente ni descargar aplicaciones de fuentes desconocidas. Estos son aspectos importantes que debemos tener en cuenta al proteger nuestros activos personales. Gracias.

Pregunta tres: ¿Es más seguro guardar los activos personales del usuario en una billetera o en un intercambio?

En cuanto a la elección del almacenamiento de activos, creo que debe basarse en la preferencia de riesgo personal, el tamaño de los activos y la frecuencia de las transacciones. Las billeteras que poseen claves privadas son las más seguras, aunque pueden sacrificar algo de conveniencia. Al mismo tiempo, la gestión de las claves privadas es crucial y es necesario protegerse contra ataques de ingeniería social como el phishing.

Para los usuarios con activos grandes y que no operan con frecuencia, usar una billetera puede ser más adecuado. Elegir almacenar en un intercambio significa confiar las claves privadas al intercambio, y la seguridad depende completamente del sistema de seguridad del intercambio. Actualmente, muchos intercambios tienen deficiencias en términos de ciberseguridad y sistemas de control de riesgos, careciendo de