8 Minutės
Pi Network laikinai nutraukė mokėjimo užklausas dėl apgaulių
Pi Network laikinai išjungė piniginės mokėjimo užklausų funkciją po augančio socialinės inžinerijos atakų bumo, kurias nukreipė prieš paskyras su didelėmis PI sąskaitomis. Pi Core Team patvirtino šį sustabdymą gruodžio 30 d. per X, pažymėdama, kad apgavikai skenuoja viešąją grandinę (public ledger), atranda didelio balanso adresus ir siunčia įtartinas mokėjimo užklausas, siekdami apgauti vartotojus ir privesti juos prie mokėjimų patvirtinimo.
Santrauka
- Pi Network komanda laikinai sustabdė mokėjimo užklausas, siekdama nutraukti vykstančius žetonų vagystės atvejus.
- Atakos daugiausia remiasi socialine inžinerija — pasisavinimu pasirodant kaip patikimas kontaktas ar bendruomenės paskyra — o ne esmine protokolo spraga.
- PI rinką veikia žemas likvidumas ir periodiniai žetonų atblokavimai, kurie padidina kainos pažeidžiamumą.
Kaip veikia apgaulė ir kodėl ji išaugo
Apgaulės esmė — Pi tinkle matomas balansų viešumas. Kadangi Pi adresų balansai yra prieinami blokų grandinėje ir per viešus blokų naršykles, piknaudžiavimo siekiantys aktoriai gali greitai identifikuoti adresus, kuriuose laikomi reikšmingi PI likučiai. Radę potencialinį taikinį, piktavaliai siunčia mokėjimo užklausą, apsimesdami pažįstamu asmeniu, šeimos nariu arba oficialiai atrodančia Pi paskyra. Jeigu gavėjas patvirtina užklausą, žetonai iš karto pervedami — dažnai juos atsekti ir susigrąžinti yra sudėtinga arba neįmanoma.
Tokio tipo apgavystės išnaudoja žmonių pasitikėjimą ir žmogiškus sprendimų priėmimo trūkumus: skubotumą, emocinį spaudimą ir polinkį patikėti pažįstamų prašymais. Vietoj techninės spragos protokole, problema dažniausiai kyla iš sąsajos (UI) ir vartotojų elgsenos — vartotojai gali nesuprasti, ką tiksliai jie patvirtina arba nepatikrinti siuntėjo tapatybės.
Bendruomenės pranešimai ir moderatorių įrašai rodo, kad atakos dažnai buvo koordinuotos. Vienu dokumentuotu atveju per gruodį vienas apgaulingas adresas surinko daugiau nei 838 000 PI. Per metus tokios schemos nuostoliai vertinami milijonais PI žetonų. Pi Core Team akcentavo, kad pervedimai įvyko todėl, kad naudotojai priėmė užklausas — tai socialinės inžinerijos, o ne sandorio sistemos gedimo pasekmė.
Atakų eskalacija taip pat susijusi su keliomis papildomomis aplinkybėmis: pirmiausia, tinkle esančių turtingesnių adresų (angl. whales) viešumas reiškia aiškius taikinius; antra, piniginės užklausų mechanika ir jos patvirtinimo eiga gali būti pernelyg paprasta arba neturinti papildomų patikrinimų; trečia, bendruomenės augimas ir komunikacijos kanalų įvairovė palengvina apgavikų prisitaikymą — jie gali imituoti oficialias paskyras, naudoti panašias avatar akutes, klastoti pranešimus ir net keisti profilių vardus, kad suklaidintų vartotojus.
Techniniu požiūriu apgavikai naudoja automatizuotus įrankius, skenuojančius blokų grandinę ir surenkančius adresų balansus, taip pat naudodami socialinius tinklus bei viešąsias bendruomenes ieško informacijos, kuri padėtų tapatybės imitacijai. Kai kurie iš jų derino on-chain analizę su off-chain rekonstrukcija — pavyzdžiui, sekdami viešas transakcijas ir socialinių profilių aktyvumą, kad nustatytų laiko langus, kai tikimybė patvirtinti užklausą yra didžiausia (pvz., savaitgalį ar vakarais).
Tinklo atsakas ir laikinos priemonės
Siekiant suvaldyti tolesnius nuostolius, Pi Network laikinai sustabdė mokėjimo užklausų funkciją visame tinkle, tuo metu įvertindama papildomas saugos priemones. Komanda nurodė, kad sustabdymas yra laikinas, bet paragino visus vartotojus atmesti nenumatytas arba nepageidaujamas mokėjimo užklausas, nepaisant siuntėjo, kuris gali atrodyti patikimas, identiteto. Bendruomenės moderatoriai ir oficialūs kanalai nuolat kartojo: nepatvirtinkite mokėjimo užklausų be nepriklausomo patikrinimo.
Be laikinio funkcijos atjungimo, komanda pradėjo vertinti techninius sprendimus, kurie galėtų sumažinti socialinės inžinerijos riziką ateityje. Tarp svarstomų priemonių yra papildomi patvirtinimai prieš atlikimą (pvz., kelios tiesioginės užklausos patvirtinimo pakopos), reikalavimai dėl tapatybės patvirtinimo siunčiant ypač dideles užklausas, ribojimai, kurie neleidžia vienam adresui siųsti didelio skaičiaus užklausų per trumpą laiką, bei vizualinės žymos oficialioms ar patikimoms paskyroms (verified badge).
Komanda taip pat svarsto ir saugumo mokymo priemones: aiškesnės instrukcijos programėlėje, pranešimai apie riziką naujiems vartotojams, o taip pat sistemų integracija su trečiųjų šalių identiteto patikrinimo sprendimais. Socialinės priemonės — aktyvesnė moderatorių veikla, greitesnis bendruomenės pranešimų aptikimas ir ataskaitų apdorojimas — yra lygiaverčiai svarbios kartu su techniniais pakeitimais.
Rinkos poveikis ir platesnis kontekstas
Nors per pastarąjį mėnesį fiksuota tam tikra techninė pažanga — pavyzdžiui, greitesnis KYC (know-your-customer) procesas po AI asistuojamo patikrinimo integracijos ir „Open Network“ hakatono laimėtojų paskelbimas — PI žetono kaina ir likvidumas išlieka pažeidžiami. Rinkos nuotaikos jautrios tiek netikroms naujienoms, tiek techniniams atnaujinimams, ypač kai dideli žetonų kiekiai atsidaro apyvartoje.
Rašymo metu PI prekiaujamas maždaug po 0,20 USD — tai nedidelis dienos pakilimas, bet maždaug 10 % žemiau nei mėnesio pradžioje. Žetonas vis dar toli nuo vasario piko, kai jo kaina pasiekė 2,99 USD, kas reiškia apie 93 % kritimą nuo to maksimumo. pi 0.77%
Gruodį apie 105 milijonai PI žetonų buvo atrakinti, padidinant apyvartoje esančių monetų kiekį rinkoje, kur likvidumas lyginant su tradicinėmis rinkomis yra palyginti mažas. Dienos prekybos apimtys svyravo tarp ~8–30 mln. USD — tokios apimtys reiškia, kad net vidutinio dydžio pardavimai gali stipriai paveikti kainą dėl likvidumo trūkumo arba siaurų užsakymų knygų. Praktinis padarinys — dideli pardavimų spaudimo momentai, kai atrakinimai sutampa su panikos pardavimais po neigiamų naujienų (pvz., didelių apgaulių atvejai), gali sukelti ryškesnius kainos šuolius ar kritimus.
Analitikai prognozuoja, kad PI gali išlikti diapazone maždaug nuo 0,15 iki 0,25 USD tol, kol nepadidės tinklo naudojimas ir investuotojų pasitikėjimas. Svarbūs veiksniai, galintys pakeisti šią prognozę, yra aktyvesnė vartotojų augimo kreivė, didesnis realių transakcijų ir decentralizuotų paslaugų (DeFi ar NFT tipo integracijos) naudojimas tinkle bei reikšmingų likvidumo šaltinių įsitraukimas.
Ilguoju laikotarpiu investuotojams svarbu suprasti žetonų atblokavimo (token unlock) mechaniką, didžiųjų turėtojų elgseną bei bendruomenės reakciją į saugumo incidentus. Net kai techninės problemos sprendžiamos, pasitikėjimo atkūrimas gali užtrukti — ypač jei nuostoliai vartotojams buvo dideli ir plačiai viešinami.
Praktiniai saugumo patarimai Pi vartotojams
- Visada nepriklausomai patikrinkite mokėjimo užklausas prieš patvirtinant; susisiekite su asmeniu per kitą kanalą (pvz., žinomu telefono numeriu, el. paštu arba oficialiais bendruomenės kanalais).
- Įtartinus, skubiai reikalaujančius arba emociškai užkrautus pranešimus vertinkite skeptiškai — apgavikai dažnai kuria skubą, kad išvengtų patikrinimo.
- Įjunginėkite visas prieinamas saugumo funkcijas piniginėje ir sekite oficialias Pi Network rekomendacijas bei atnaujinimus.
- Niekada nesidalinkite privačiais raktais, seed frazėmis ar neprisijunkite prie trečiųjų šalių nuorodų, kurios reikalauja pasirašyti operacijas be tikslios užklausos patikros.
- Naudokite atskirą, saugų kanalą patvirtinimams, pvz., balsą telefonu ar video skambutį, kai užklausa atrodo neįprasta arba kai prašoma didelės sumos.
- Peržiūrėkite sandorio detales: adresą, sumą, žinutės lauką ir bet kokius papildomus metaduomenis prieš patvirtinimą.
- Apsvarstykite papildomas technines priemones: daugianario (multisig) sprendimus, aparatinę piniginę dideliems likučiams, arba „watch-only“ adresus vertinimui be galimybės pervesti.
Perspektyvos
Mokėjimo užklausų sustabdymas yra pragmatiškas žingsnis, skirtas apsaugoti vartotojų lėšas tuo tarpu, kai Pi komanda ieško nuolatinių saugumo sprendimų, subalansuojančių patogumą ir apsaugą. Šis incidentas pabrėžia, kaip on-chain skaidrumas gali būti panaudotas kaip ginklas prieš socialinės inžinerijos atakas: viešai matomi turtojai tampa lengviau identifikuojamais taikiniais.
Ateityje svarbiausia bus kelios sudėtinių priemonių grupės: pirmiausia, nuolatinis vartotojų švietimas apie socialinės inžinerijos rizikas ir saugaus elgesio taisykles; antra, programėlės vartotojo sąsajos (UI) ir darbo srauto (workflow) techninis sutvirtinimas, pvz., papildomi patvirtinimai, tapatybės žymenys, ribojimai didelėms operacijoms bei įspėjimai apie neįprastą elgesį; trečia, bendruomenės moderacijos ir analizės įrankių plėtra, leidžianti greičiau aptikti ir reaguoti į koordinuotas apgaules.
Galimi sprendimai taip pat apima pažangesnius mechanizmus, pvz., trečiųjų šalių tapatybės patvirtinimą, smart contract pagrindu veikiančias depozito/escrow sistemas didesnėms sumoms, arba reputacijos sistemų įvedimą, kurios suteiktų patikimumo balus paskyroms. Techniniai patobulinimai turi būti suderinti su vartotojo patirtimi, kad papildomi saugumo sluoksniai nebūtų pernelyg sudėtingi kasdieniams vartotojams.
Kol kas vartotojams patartina laikytis griežtų patikros procedūrų ir laikyti netikėtas mokėjimo užklausas kaip potencialiai piktybines. Pasitikėkite tik patikrintais kanalais ir žinomais kontaktais. Ateities atnaujinimai turėtų patikslinti, ar funkcija bus grąžinta su griežtesniais patikrinimais, ribotu taikymu ar papildomais patvirtinimais, kurie apsaugotų nuo automatizuotų ar apgaulingų patvirtinimų.
Galutinis tikslas — atstatyti vartotojų pasitikėjimą, mažinant riziką tiek techniniu, tiek socialiniu lygiu. Tinklo saugumas nepriklauso vien tik nuo kodo: jis reikalauja ir informuotos bendruomenės, ir proaktyvių inžinerinių sprendimų, kurie kartu mažins galimybes apgavikams pelnytis iš viešai prieinamos informacijos bei žmogiško pasitikėjimo spragų.
Šaltinis: crypto
Palikite komentarą