Ang mundo ng crypto ay umaakit ng maraming kriminal dahil sa madaling pag-access sa pera. Ang isang kawili-wiling kuwento sa bagay na ito ay ang tungkol sa Phantom Wallet.
Sa isang mahabang post na inilathala noong nakaraang linggo sa opisyal na blog, ipinaliwanag ni Phantom kung ano ang mga pangunahing punto tungkol sa seguridad ng pitaka.
Ang Phantom ay isang non-custodial crypto wallet na idinisenyo upang maging secure, ngunit madaling gamitin, at ginagamit ng komunidad ng Solana dahil partikular na sinusuportahan nito ang blockchain na iyon.
Phantom wallet: naiwasan ang mga pag-atake ng crypto
Sa post, itinatampok ng mga may-akda ang feature na Mga Pag-preview ng Transaksyon, na nagbibigay-daan sa mga user na tingnan ang isang uri ng preview ng transaksyon, sa ilang paraan na katulad ng isang firewall na tumutukoy sa mga nakakahamak na transaksyon at inaalerto ang user bago nila aprubahan ang mga ito.
Pinoprotektahan nito ang mga user mula sa mga pag-atake ng phishing, pharming, at higit pa sa pamamagitan ng pagbibigay ng mga real-time na alerto sa mga user. Ang mga alerto ay ibinibigay ng dalubhasang kumpanya na Blowfish.
Blowfish sinusuri ang mga transaksyon bago sila tuluyang maaprubahan ng mga user, naghahanap ng anumang bagay na mukhang kahina-hinala.
Sinasabi ng mga may-akda ng post na, sa ngayon, ang preview ng transaksyon ng Phantom ay nag-scan ng higit sa 85 milyong mga transaksyon sa gayon ay pumipigil sa higit sa 18,000 mga mapanlinlang na transaksyon na naglalayong magnakaw ng mga pondo mula sa mga user. Sa nakaraang buwan lamang, higit sa 3,000 user ang napoprotektahan sa ganitong paraan.
Samakatuwid, ang mga ito ay hindi direktang pag-atake sa wallet, na ang pagiging hindi custodial ay napakahirap atakehin, ngunit direktang nakatutok sa mga user.
Sa partikular, natuklasan ng Blowfish ang maraming transaksyon na nakadirekta sa mga address na kasama sa kanilang blacklist, o na hindi tama ang pagtawag sa setAuthority function, o sinusubukang iwasan ang mga kontrol. Sa ilang mga kaso, ang aktwal na mga pagtatangka upang maubos ang wallet ng hindi mapag-aalinlanganang gumagamit ay natuklasan.
Sinusuri ng Blowfish ang mga kahina-hinalang domain o website, ngunit pati na rin ang mga kahina-hinalang token o sinusubukang i-obfuscate ang code sa mga smart contract.
Kaya bagaman hindi ito mga pag-atake na nakadirekta sa Phantom Wallet, natukoy pa rin sila ng Blowfish sa pamamagitan ng panlabas na pagsusuri hinggil sa iba't ibang tool at aktor sa loob ng crypto industry.
Mga matagumpay na pag-atake
Sa kabilang banda, kilalang-kilala na mayroong, at patuloy na, maraming matagumpay na pag-atake na naglalayong mapanlinlang na agawin ang mga token ng mga gumagamit nito at ng iba pang mga wallet.
Sa katunayan, imposibleng i-verify ang lahat ng matalinong kontrata at lahat ng address ng tatanggap, at madalas, kahit na nagbe-verify, mahirap malaman kung ito ay talagang isang pagtatangka ng scam o hindi.
Sa teorya, dapat na ang mga gumagamit mismo ang dapat na subukang ipagtanggol ang kanilang sarili, dahil imposibleng ganap silang pigilan ang pagpapadala ng mga pondo sa mga scammer. Gayunpaman, tiyak na ang ilang tulong ay maaaring magmula sa mga serbisyong lubos na nakakaalam sa industriya at sa gayon ay nakapagbabala sa mga gumagamit ng mga posibleng problema.
Mababa ang porsyento
Kapansin-pansin na sa 85 milyong transaksyon na napagmasdan sa Phantom, 18,000 lamang ang nakitang kahina-hinala. Bagama't hindi tiyak na wala ring ibang nakatakas sa pagsisiyasat ng Blowfish, 18,000 sa 85 milyon ay humigit-kumulang 0.02%, na isang maliit na porsyento. Nangangahulugan ito na 99.98% ng mga transaksyon ay natagpuang hindi kahina-hinala.
Upang maging patas, gayunpaman, ang malalaking pag-atake na kumikita ng maraming pera para sa mga magnanakaw ng token ay hindi ang mga naglalayong maliliit na mamumuhunan. Pangunahin ang mga ito sa mga naglalayong matalinong mga kontrata o palitan, kung saan malaking halaga ng mga pondo ang idineposito.
Sa mga kasong ito, bihira itong phishing o social engineering, ngunit kadalasan ay aktwal na mga hack na nagsasamantala sa mga teknikal na kahinaan.
Ang mga non-custodial wallet, gaya ng Phantom, sa pangkalahatan ay walang ganitong mga kahinaan, lalo na kapag ang kanilang code ay open-source, ibig sabihin, pampubliko at mabe-verify ng sinuman.
Kaya naman, bihirang ibaling ng mga hacker ang kanilang atensyon sa mga wallet na hindi pang-custodial, ngunit mas gusto ang mga tool o platform na maaaring magdusa mula sa ilang teknikal na kahinaan, at maaaring magbunga ng malaking kita kung sila ay na-hack.
Sa halip, mas gusto ng mga manloloko na i-target ang mga ordinaryong user, hindi pinagsasamantalahan ang mga kahinaan ng kanilang mga pitaka kundi ang mga kahinaan ng kanilang pag-uugali, partikular na ang kamangmangan, kawalang-ingat, at kababawan.
Sa kabila nito, ang kabuuang porsyento ng mga kahina-hinala o mapanlinlang na mga transaksyon sa loob ng sektor ng crypto ay hindi partikular na mataas, dahil ang karamihan sa mga transaksyon ay tama at lehitimo.
Ang problema ay na, sa ilang mga kaso, ang malaking halaga ng mga token ay ninakaw na may ilang mga transaksyon sa scam, sa lawak na ang multimillion o kahit bilyong dolyar na pagnanakaw sa sektor na ito ay hindi kasing bihira gaya ng gusto ng isa.
Pinagmulan: https://en.cryptonomist.ch/2023/01/30/crypto-18000-attacks-phantom/