Onlangs zijn de @safe eigenaren van @UXLINKofficial gecompromitteerd, waardoor aanvallers de instellingen van de Safe konden wijzigen en meer dan $10 miljoen konden stelen. De hacker voegde zijn eigen adres toe als eigenaar, verlaagde de drempel naar 1 en verwijderde de oorspronkelijke eigenaren uit de Safe. Ik heb het eerder gezegd, en ik zal het opnieuw zeggen: gebruik geen hot wallets als eigenaren in multisigs. Het is geen kwestie van of, maar wanneer je gecompromitteerd zult worden, dus je kunt maar beter zorgen dat de schade die kan worden aangericht wanneer je gecompromitteerd raakt minimaal is. Hoewel er meestal niet veel kan worden gedaan zodra privésleutels zijn gecompromitteerd, geloof ik dat het hebben van enkele waarborgen op multisig wallets een must is. Bijvoorbeeld: - niet meer dan één eigenaar wijziging per 24 uur toestaan - niet toestaan dat de drempel wordt verlaagd - alleen nieuwe eigenaren toestaan vanuit een vooraf gedefinieerde whitelist van back-up eigenaren - dagelijkse bestedingslimieten Met waarborgen zoals deze is het veel moeilijker voor aanvallers om aanvallen efficiënt uit te voeren, aangezien de oorspronkelijke eigenaren nog steeds in staat zijn om transacties te ondertekenen en uit te voeren om schade te beperken. Het is geen perfecte oplossing, maar elke Wei die we kunnen voorkomen dat in handen valt van de slechte jongens is het waard. Bij @phylaxsystems implementeren we momenteel de Credible Layer met verschillende ketens, zodat we het zo gemakkelijk mogelijk kunnen maken om waarborgen toe te voegen aan elk smart contract en hacks te voorkomen. Bekijk de post hieronder voor een verslag dat we hebben geschreven over de UXlink hack.