Efter att Curve Finance webbplats drabbades av en stor DNS-kapning tidigare denna månad, ökar oron för sofistikerade och nya sätt som hackare riktar sig mot kryptoföretag. Från sociala mediekompromisser till front-end-exploateringar och smarta kontraktsvulnerabiliteter, står web3-ekosystemet inför ett ständigt hot.
När DeFi och krypto blir mer populära, drar de till sig fler illvilliga ögon. Attacker har nu blivit nästan oundvikliga. Så, hur uppnås motståndskraft? Michael Egorov, grundare av Curve Finance, tog upp dessa ämnen och mer i en exklusiv intervju med BeInCrypto.
Curve Finance svarar på hack
Den största stölden i kryptohistorien inträffade i år, och det var inte en isolerad händelse. Sofistikerade attacker på DeFi-ekosystemet ökar, med insider-phishing på Coinbase, protokollnivå exploateringar på zkSync, och en stor DNS-kapning på Curve Finance.
Egorov diskuterade Web3-industrins strukturella sårbarheter och hur man möter dessa utmaningar.
“Traditionella webb-säkerhetsproblem är egentligen inget nytt. Saken är den att i Web2-världen är skadan från sådana problem ofta hanterbar, så det var inte ett så stort problem. I krypto är insatserna dock mycket annorlunda eftersom alla transaktioner blir slutgiltiga nästan omedelbart. Som ett resultat är säkerhetskraven mycket högre för denna sektor, och dagens internetinfrastruktur är helt enkelt inte byggd för att möta dessa krav,” hävdade han.
Curve Finance, en stor decentraliserad börs, har en stark bakgrund i att diskutera DeFi:s sårbarheter. Under sin långa historia har Curve stött på och hanterat kritiska säkerhetsincidenter vid flera tillfällen, vilket tvingat företaget att ständigt anpassa sin säkerhetsstrategi.
Ändå var börsens webbplats tidigare denna månad det senaste målet. Till slut var DEX tvungen att ändra sin officiella domän. Enligt Egorov är problemet i grunden inneboende i internet som vi känner det.
“Så vitt jag kan se, fanns det inget vi kunde ha gjort bättre tekniskt sett. Problemet denna gång var externt. Enligt min mening finns det ett grundläggande problem med hur webbapplikationer byggs. Vi behöver säkra skrivbordsapplikationer byggda från grunden med säkerhet som prioritet,” uttalade Egorov.
Specifikt pekade han på några strukturella sårbarheter som möjliggjorde Curve-attacken och andra senaste hack. Web3-appar måste fortfarande interagera med en statisk webbplats av något slag, med hjälp av DNS-registratorer för att koppla webbplatsens domännamn till front-end-hosting.
Om angripare lurar, kapar eller mutar dessa servrar, öppnar det en mycket effektiv attackväg, en taktik som nyligen användes på Curve.
Det är bara ett av flera strukturella problem med dagens äldre ‘Web2’-internetinfrastruktur. Till exempel förlitar sig webbsidor på tusentals JavaScript-mikropaket, som är svåra att granska individuellt.
Komprometterade paket kan smygande och effektivt kringgå en DeFi-protokolls säkerhet på många sätt. Allt detta innebär att Web3 är sårbart för många Web2-attacker.
Web3-problem kräver nyare lösningar
Egorov hävdade att kryptoindustrin behöver göra stora strukturella förändringar för att permanent lösa dessa problem. Till exempel nämnde han Ethereum Name Service (ENS) som ett blockkedje-inhemskt sätt att undvika DNS-attacker.
Om det antas skulle ENS vara effektivt, men det har inte tillräckligt med stöd på webbläsarnivå för att bli mainstream.
Även om Curve fick institutionellt stöd för att förhindra hack med fler Web3-baserade säkerhetsåtgärder, kan det nya ekosystemet vara något oigenkännligt för oss.
Till exempel nämnde Egorov att hela intäktsstrukturen för webbtrafik skulle behöva förändras. Istället skulle stora aktörer behöva hantera underhållskostnader, vilket skulle motiveras av ökad säkerhet.
“Att bygga en sådan app skulle vara mycket arbete — det skulle behöva återimplementera DeFi-gränssnitt, undvika webbteknologier helt och troligen utan någon möjlighet att tjäna pengar. Men jag tror att det finns en stark efterfrågan på det, särskilt från institutioner som hanterar betydande användarfonder,” noterade han.
Dessa lösningar är utan tvekan radikala, men Egorov betonade att dessa problem är sociala, inte teknologiska. Han föreslog bara säkerhetsåtgärder som är möjliga att bygga med befintlig blockkedjeforskning, men de skulle vara tillräckliga.
Med andra ord, om takten på stora attacker fortsätter att öka, kan det skapa mer entusiasm för dessa reformer. Curve Finance är redo att bygga en Web3-framtid utan dessa sårbarheter.
Men eftersom de nuvarande säkerhetshoten kvarstår, är Egorovs råd för DeFi att bygga fler dedikerade skrivbordsapplikationer.
“Som jag nämnde tidigare, är den nuvarande modellen för att bygga frontend-appar för osäker och har en mycket stor attackyta. För att uppnå en bättre säkerhetsnivå bör DeFi-interaktioner helst flyttas till dedikerade skrivbordsapplikationer,” avslutade Curve-grundaren.
Disclaimer
All information på vår webbplats publiceras i god tro och endast för allmän information. Varje åtgärd som läsaren vidtar baserat på informationen på vår webbplats sker strikt på egen risk.
