Der EtherDelta Hack tut weh, aber es hätte schlimmer sein können

Wenn Sie die Nachrichten noch nicht gehört haben, wurde EtherDelta gestern auf seinem DNS-Server einem Phishing-Angriff unterzogen. Ein Hacker kompromittierte die EtherDelta-Website und ersetzte sie durch eine Nachahmerversion des beliebten Ethereum-Austauschs. Als sich der Staub gelegt hatte, stahl sich der Übeltäter mit 305 ETH im Wert von über 244.000 Dollar und einer Ladung voller ERC20-Tokens davon.

Dies macht Ether Delta zum neuesten Mitglied einer Krankenstation, die im Jahr 2017 von Hackerangriffen geplagt wird. Anfang des Jahres verlor Bithumb Hunderte von Millionen Won. Nachdem sie sich von einem Angriff im April erholt hatte, musste Youbit den Betrieb einstellen Verlust von 17% seiner Mittel in einem Hack früher in dieser Woche.

Smart Contracts, Dezentralisierung Stellen Sie eine Schadenskontrolle sicher

Im Gegensatz zu Youbit gelang es EtherDelta, in seinem eigenen Hacking-Run-In relativ unbeschadet zu bleiben. Das verdanken die Nutzer der Dezentralisierung und den intelligenten Verträgen.

Typische Austauschvorgänge (Bithumb, Bittrex, Binance und dergleichen) sind zentralisiert, vertrauenswürdig und funktionieren ähnlich wie eine Bank. Wenn Sie einen dieser Dienste verwenden, vertrauen Sie der Börse, die privaten Schlüssel Ihrer Konten für Sie zu verwalten, und Vermögenswerte werden über die Reserve der Börse erworben und auf Basis von IOU verteilt. Die Börse hält alle Gelder für ihre Kunden bereit, bis sie sie von der Börse zurückziehen wollen. Zu diesem Zeitpunkt gibt die Börse die privaten Schlüssel an ihre Benutzer ab und belastet sie mit dem entsprechenden Kontostand.

EtherDelta hingegen ist vertrauenslos. Alles an der Börse ist Peer-to-Peer, und EtherDelta selbst verwaltet keine Benutzergelder – es bietet nur eine Plattform, um den Handel zu erleichtern. Als Ergebnis sind Benutzer vollständig für ihre eigenen Schlüssel verantwortlich. Sie importieren sie in die Börse, indem sie entweder den Schlüssel manuell eingeben oder EtherDelta mit einem Browser-Wallet des Typs Ledger Nano S oder Meta Mask synchronisieren. Nach dem Hochladen verwalten Benutzer ihre Schlüssel mit Ethereum-basierten intelligenten Verträgen.

Diese cleveren Verträge und die vertrauenslose Dezentralisierung von EtherDelta waren der Grund, warum der Hacker so weit gehen musste, um den Überfall zu beenden. Wenn der Täter nach, sagen wir, Bittrex, würde er / sie würde nur in die heiße Brieftasche Reserve des Austauschs tippen, um einzelne Schlüssel nab. Bei EtherDelta gibt es keine Reserve. Um auf private Schlüssel zugreifen zu können, musste der Hacker einen Phishing-Betrug verwenden, um Benutzer dazu zu bringen, sie preiszugeben. Sobald ein Benutzer private Schlüssel auf die gefälschte Website eingab, übergaben sie, was der Hacker sonst nicht abrufen konnte.

Aus diesem Grund blieben die Gelder, die in den intelligenten Verträgen der Börse gehalten wurden, unberührt. Es ist auch der Grund, warum Fonds, die mit einem Ledger Nano S oder Meta Mask Wallet verwaltet werden, die Ihre privaten Schlüssel für Sie bereithalten, zum Zeitpunkt des Angriffs sicher gewesen wären.Der Hacker wäre nur in der Lage gewesen, Schlüssel zu stehlen, die er aus den manuellen Eingaben auf der böswilligen Seite loggen könnte. Bei der Umleitung des Website-Traffics entführte der Hacker nur den Domain-Namen von EtherDelta, nicht die Börse selbst oder ihre Smart-Verträge.

EtherDelta kann diesen Angriff nicht als Sieg bezeichnen, aber wäre dies ein konventioneller Tausch gewesen, wären die Verluste wesentlich größer gewesen. Selbst wenn Dezentralisierung und intelligente Verträge geschützt werden, müssen Sicherheitsmaßnahmen ergriffen werden, um das Risiko von Phishing-Angriffen wie dem, das wir gerade gesehen haben, zu mindern. Es liegt auch an den Benutzern, beim Handel wachsam zu bleiben, um Auffälligkeiten festzustellen, die eine gefälschte Website im Vergleich zum typischen Layout einer Börse aufweisen kann.

Ausgewähltes Bild von Shutterstock.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.