Недавний взлом Bybit на $1.46 миллиарда - это звонок всем, кто думает, что их активы в безопасности только потому, что они пользуются холодным кошельком.

Что случилось?

Хакеры подменили UI мультисиг-кошелька Safe. Подписанты видели "правильный" адрес и URL, а на деле подписали смену логики смарт-контракта, отдав полный контроль злоумышленникам.

Итог: 401k ETH улетело в неизвестность за пару минут.

Теперь про аппаратные кошельки.

Многие думают: "У меня Ledger/Trezor, я в домике."

Не совсем.

Взлом Bybit наглядно показал, что главная уязвимость - не устройство, а то, как ты с ним работаешь.

Я об этом еще отдельное видео снимал в апреле 2022 года. Рассказывал про подмену данных в интерфейсе.

Хакеры не могут подменить данные на самом девайсе (там хеш транзакции железно проверяется), но они могут обмануть тебя через интерфейс на компе.

Ты видишь одно, а подписываешь другое - привет, слепая подпись (blind signing).

А на маленьком экране кошелька хеш целиком не проверишь, только кусок.

Если тебе лень или нечем сравнить - ты в зоне риска.

Как защититься?

1. Большой экран - must have: Используй аппаратный кошелёк с нормальным дисплеем (например, Ledger Stax или Trezor Model 5). Хеш транзакции должен быть виден полностью. Сравнивай его с тем, что показывает софт на компе, байт в байт.

2. Проверяй вне UI: Подключай кошелёк к чистой машине или используй оффлайн-генератор транзакций (типа Electrum в air-gapped режиме). Никаких "удобных" интерфейсов от бирж или сторонних сервисов.

Взлом Bybit - это не проблема Safe или аппаратных кошельков, а системная проблема доверия к UI и человеческого фактора.

Мультисиг - круто, но если все подписанты смотрят на поддельный интерфейс, он бесполезен.

Аппаратные кошельки остаются золотым стандартом, но только если ты сам управляешь процессом верификации.

Будущее - за девайсами с улучшенной визуализацией транзакций и встроенной защитой от UI-атак (ждём массового внедрения ZK-пруфов).

Пока этого нет, твоя безопасность - в твоих руках.

Нужно ли начинать беспокоиться за свои средства?

Для 99,9% обычных пользователей ответ - Нет.

Кроме того случая, если у тебе несколько миллиардоров долларов лежит на публичных кошельках.

Тогда да, стоит подумать про защиту от UI атак.

Всегда, конечно, можно поиграть в неуловимого Джо, который получил свое прозвище из-за того, что он нахуй никому не сдался и никто за ним не гоняется.

Если эта игра тебе в кайф - то пожалуйста.

CryptoInside

Недавний взлом Bybit на $1.46 миллиарда - это звонок всем, кто думает, что их активы в безопасности только потому, что они пользуются холодным кошельком.

Что случилось?

Хакеры подменили UI мультисиг-кошелька Safe. Подписанты видели "правильный" адрес и URL, а на деле подписали смену логики смарт-контракта, отдав полный контроль злоумышленникам.

Итог: 401k ETH улетело в неизвестность за пару минут.

Теперь про аппаратные кошельки.

Многие думают: "У меня Ledger/Trezor, я в домике."

Не совсем.

Взлом Bybit наглядно показал, что главная уязвимость - не устройство, а то, как ты с ним работаешь.

Я об этом еще отдельное видео снимал в апреле 2022 года. Рассказывал про подмену данных в интерфейсе.

Хакеры не могут подменить данные на самом девайсе (там хеш транзакции железно проверяется), но они могут обмануть тебя через интерфейс на компе.

Ты видишь одно, а подписываешь другое - привет, слепая подпись (blind signing).

А на маленьком экране кошелька хеш целиком не проверишь, только кусок.

Если тебе лень или нечем сравнить - ты в зоне риска.

Как защититься?

1. Большой экран - must have: Используй аппаратный кошелёк с нормальным дисплеем (например, Ledger Stax или Trezor Model 5). Хеш транзакции должен быть виден полностью. Сравнивай его с тем, что показывает софт на компе, байт в байт.

2. Проверяй вне UI: Подключай кошелёк к чистой машине или используй оффлайн-генератор транзакций (типа Electrum в air-gapped режиме). Никаких "удобных" интерфейсов от бирж или сторонних сервисов.

Взлом Bybit - это не проблема Safe или аппаратных кошельков, а системная проблема доверия к UI и человеческого фактора.

Мультисиг - круто, но если все подписанты смотрят на поддельный интерфейс, он бесполезен.

Аппаратные кошельки остаются золотым стандартом, но только если ты сам управляешь процессом верификации.

Будущее - за девайсами с улучшенной визуализацией транзакций и встроенной защитой от UI-атак (ждём массового внедрения ZK-пруфов).

Пока этого нет, твоя безопасность - в твоих руках.

Нужно ли начинать беспокоиться за свои средства?

Для 99,9% обычных пользователей ответ - Нет.

Кроме того случая, если у тебе несколько миллиардоров долларов лежит на публичных кошельках.

Тогда да, стоит подумать про защиту от UI атак.

Всегда, конечно, можно поиграть в неуловимого Джо, который получил свое прозвище из-за того, что он нахуй никому не сдался и никто за ним не гоняется.

Если эта игра тебе в кайф - то пожалуйста.

hottg.com/crypt0inside/1859

19.1K viewsFeb 24 at 05:22