<

[Kyber Netwok] 临时更新:黑客问题已排除,KyberSwap 是安全的,以及我们后续的规划

KyberSwap 临时更新

9 月2 日,我们分享了KyberSwap 上一个前端漏洞的发现和消除

截至9 月6 日下午4:30(北京时间),我们可以提供一些临时、官方和积极的更新:

KyberSwap 网站和用户界面是安全的。袭击事件是在2022 年9 月1 日下午3点34分(北京时间)被截获的同一天下午被消除。攻击方已于2022 年9 月4 日成功识别并移除。

KyberSwap 团队将与行业合作伙伴和安全专家一起,继续对系统和交易进行彻底监控,以检测任何可疑的批准或交易,并扫描所有可能的问题。

KyberSwap 智能合约、聚合器和API 一直是安全的。本次事件是一个前端漏洞,与Kyber Network 的智能合约无关。

只有2个受影响的钱包,现在已经恢复正常
– 1个钱包已经得到了所有资金的补偿,并将继续使用KyberSwap。
– 另一个钱包为恶意脚本提供了批准,并在造成损失任何资金之前成功撤销了他的批准,
– 没有其他钱包因此漏洞而受到影响或损失资金。

我们可以分享我们正在与行业合作伙伴、顶级安全专家和执法部门合作,以识别黑客并取回资金。您可以参考一些公开推文,例如:

body[data-twttr-rendered=”true”] {background-color: transparent;}.twitter-tweet {margin: auto !important;}

function notifyResize(height) {height = height ? height : document.documentElement.offsetHeight; var resized = false; if (window.donkey && donkey.resize) {donkey.resize(height);resized = true;}if (parent && parent._resizeIframe) {var obj = {iframe: window.frameElement, height: height}; parent._resizeIframe(obj); resized = true;}if (window.location && window.location.hash === “#amp=1” && window.parent && window.parent.postMessage) {window.parent.postMessage({sentinel: “amp”, type: “embed-size”, height: height}, “*”);}if (window.webkit && window.webkit.messageHandlers && window.webkit.messageHandlers.resize) {window.webkit.messageHandlers.resize.postMessage(height); resized = true;}return resized;}twttr.events.bind(‘rendered’, function (event) {notifyResize();}); twttr.events.bind(‘resize’, function (event) {notifyResize();});if (parent && parent._resizeIframe) {var maxWidth = parseInt(window.frameElement.getAttribute(“width”)); if ( 500 < maxWidth) {window.frameElement.setAttribute("width", "500");}}body[data-twttr-rendered=”true”] {background-color: transparent;}.twitter-tweet {margin: auto !important;}

function notifyResize(height) {height = height ? height : document.documentElement.offsetHeight; var resized = false; if (window.donkey && donkey.resize) {donkey.resize(height);resized = true;}if (parent && parent._resizeIframe) {var obj = {iframe: window.frameElement, height: height}; parent._resizeIframe(obj); resized = true;}if (window.location && window.location.hash === “#amp=1” && window.parent && window.parent.postMessage) {window.parent.postMessage({sentinel: “amp”, type: “embed-size”, height: height}, “*”);}if (window.webkit && window.webkit.messageHandlers && window.webkit.messageHandlers.resize) {window.webkit.messageHandlers.resize.postMessage(height); resized = true;}return resized;}twttr.events.bind(‘rendered’, function (event) {notifyResize();}); twttr.events.bind(‘resize’, function (event) {notifyResize();});if (parent && parent._resizeIframe) {var maxWidth = parseInt(window.frameElement.getAttribute(“width”)); if ( 500 < maxWidth) {window.frameElement.setAttribute("width", "500");}}

DeFi 领域过去的漏洞利用有时是一个黑匣子,除了公布主要原因和解决方案(或可能没有);关于如何防止类似攻击的信息很少。 KyberSwap 旨在与我们的行业合作伙伴和社区一起在DeFi 的前线对抗这些攻击,并分享我们的经验以造福其他项目。为此,我们将在完成彻底调查后发布一份事件报告。大家可以期待本月晚些时候对此进行更新。大家可以期待的一些内容是:

  1. 关于黑客和根本原因的进一步细节
  2. 我们的基础设施和运营安全在这之后将如何发展
  3. 我们的监控系统将如何改进以及我们都可以采取的其他步骤来加强安全性
  4. 就像这次事件一样,KyberSwap 将如何始终确保用户和资金安全

常见问题

  1. 我们的谷歌标签管理器是黑客的来源吗?
    不是。恶意脚本是通过另一种方式进入的的。在这一点上,我们无法透露更多信息,因为执法部门可能会参与进来,并且我们会扩大对我们技术基础设施历史迭代的调查。
  2. 谷歌跟踪是否会威胁到用户的隐私?
    不,我们不会使用Google 跟踪来跟踪用户钱包,但是我们会存储用户IP,作为Web 服务的最低限度的做法。我们承诺永远不会存储足够的信息来追踪用户身份。
  3. 我们什么时候可以阅读事件报告?
    KyberSwap团队将在结束调查、审查所有重要事实以及更新未来的安全措施后发布一份事件报告。我们的目标是在本月底前完成这个报告。
  4. 本次事件可能会导致有关KyberSwap 和Kyber Network 的FUD。你们的回应是什么?
    我们承认,这起事件是我们不应该发生的事情。它表明,即使我们尽了最大的努力和拥有5 年的经验,作为一个团队,我们还有很多东西需要学习和改进的地方。
    我们的第一反应是向我们的用户和社区保证,团队已采取措施确保平台安全,这是我们的首要任务。 KyberSwap UI 现在是安全的。 KyberSwap 智能合约和API 一直以来都是安全的。
    我们的第二个回应是确保所有受影响的用户都得到照顾。截至9月3日,第1个丢失资金的受影响钱包已全部全额报销。第2个受影响的钱包及时撤销了批准,没有丢失任何资金。
    我们的第三个回应是确保这次活动对KyberSwap 以及整个行业来说都是一次学习体验,这就是为什么我们与行业合作伙伴、安全专家和执法部门合作,不仅要查明罪魁祸首并追回资金,而且共同努力,改进未来的措施。
    我们最后的回应是我们一直关注的,建立一个解决用户问题的平台,并成为DeFi 中所有用户的第一大去中心化交易所,让加密货币的使用变得简单、安全和有价值。我们永远不会忽视这一重点,而这一事件只是巩固了我们的这一优先事项。
  5. 你们正在采取哪些应对方案来提高KyberSwap 的安全性?
    我们正在探索多种方案来加强安全措施。可以肯定的一件事是,我们将开发以下组件来确保KyberSwap 的安全、主动和被动:
    我们正在开发一个先进的监控系统全天候来扫描网站。这个安全系统的作用是检测前端的可疑代码以及从网站发出的可疑网络包。监控系统将向我们所有的C 级别、主管级别和SRE 团队发出最高紧急代码通知的警报。通知是通过Slack、Telegram 和电话来进行的,以确保团队对任何危急情况做出100% 的反应。
    我们将有一个状态页面和一个安全状态检查,任何用户在使用KyberSwap 时都可以检查,以确保他们与之交互的前端是安全的。

KyberSwap 的首要任务始终是用户安全和平台安全。这是我们5 年来的第一次事件,我们的目标是让它是第一次也是最后一次。通过这次事件我们会变得更加强大,感谢大家的鼓励和支持!

如果我们有任何进一步的内容可以分享,我们将更新随时补充。

关于Kyber Network

Kyber Network正在构建一个可以随时随处使用任何代币的世界。 KyberSwap.com是我们的去中心化交易所(DEX),为DeFi的交易者提供最好的价格,并为流动性提供者提供最大的回报。

KyberSwap为100多个整合项目提供支持,自成立以来,已为数千名用户促成了价值超过100亿美元的交易。目前已经部署在12个链上,包括Ethereum、BNB链、Polygon、Avalanche、Fantom、Cronos、Arbitrum、Velas、Aurora、Oasis、BitTorrentc和Optimism。

KyberSwap | Discord | Website | Twitter | Forum | Blog | Reddit | Github| KyberSwap Docs


临时更新:黑客问题已排除,KyberSwap 是安全的,以及我们后续的规划 was originally published in Kyber Network on Medium, where people are continuing the conversation by highlighting and responding to this story.



>> View on Kyber Netwok

Join us on Telegram

Follow us on Twitter

Follow us on Facebook

You might also like

LATEST NEWS

LASTEST NEWS