Recenze Harpie: Může tento On-Chain Firewall vyřešit bezpečnostní problém Web3?

Firewall on-chain společnosti Harpie umožňuje uživatelům kryptoměn připojit jejich Web3 peněženky a vytvořit bezpečné prostředí pro transakce a chránit se před nejběžnějšími vektory útoků kryptoměn.

Bezpečnostní problém kryptoměn

Vzhledem k tomu, že krypto a decentralizované finance v posledních několika letech rostly na popularitě, rostou i útoky související s kryptoměnami, včetně cílených krádeží uživatelů a zneužití protokolů. Podle Chainalysis'pololetí krypto zločin zprávy, bylo od ledna do července 1.9 ukradeno přes 2022 miliardy dolarů při hackování uživatelů a služeb, což je nárůst z necelých 1.2 miliardy dolarů za prvních sedm měsíců roku 2021. A přestože většina exploitů souvisela s protokoly, mnoho uživatelů mělo peněženky vyčerpané částečně díky rizikům spojeným s dnešním používáním Web3.

Pro uživatele, kteří pravidelně komunikují s protokoly DeFi a NFT marketplaces, může mít transakce ve Web3 téměř pocit, jako byste hráli hledání min v reálném životě. Každé schválení transakce a interakce v řetězci s aplikací třetí strany může potenciálně vést ke kompromitaci peněženky a ztrátě finančních prostředků. Bohužel zatím neexistuje jednoduché a účinné řešení tohoto problému. Nejoblíbenější Web3 peněženky, jako MetaMask nebo Trust Wallet, odvádějí propastnou práci při předávání povahy každé interakce v řetězci svým uživatelům. Namísto toho, aby byla každá transakce jasná, výchozí popisy většiny potvrzení transakcí v peněžence se většině nenáročných uživatelů čtou jako blábol, takže jsou prakticky slepí vůči i těm nejzákladnějším bezpečnostním hrozbám.

Kromě obvyklých hacků protokolů jsou možná nejnebezpečnějším typem útoků ovlivňujících uživatele kryptoměn takzvané „schvalování výdajů“, které uživatele přiměje ke schválení škodlivých přechodů, které hackerům umožňují vyčerpat peněženky uživatelů. Dalším běžným způsobem, jak uživatelé Web3 přicházejí o své peníze, je kompromitace jejich soukromých klíčů, což obvykle zahrnuje instalaci škodlivého softwaru, jako jsou keyloggery, ukládání počátečních frází v prostém textu na nezabezpečená zařízení nebo podvody s phishingem.

Ochrana proti všem těmto útočným vektorům byla vždy možná, ale vyžaduje značné technické znalosti, sofistikovanost a oběti uživatelské zkušenosti. Harpie doufá, že tento problém vyřeší. 

Co je Harpie?

Harpie je první on-chain firewallové řešení, které umožňuje uživatelům Etherea vytvořit bezpečné transakční prostředí přidáním sady adres a Web3 aplikací, které považují za bezpečné. Služba monitoruje připojené peněženky pro nevyřízené podezřelé nebo nepovolené transakce, aby je zastavila, když se objeví. Když detekuje podezřelou transakci, okamžitě přesune prostředky uživatele z jeho peněženky do bezpečného trezoru bez úschovy, čímž je ochrání před potenciální krádeží.

Harpie to dělá tak, že předběhne škodlivé transakce tím, že zaplatí vyšší poplatek za plyn. Předpokládejme například, že se hacker nějakým způsobem zmocnil soukromých klíčů uživatele nebo je oklamal, aby schválili zlomyslnou útratu a pokusil se převést prostředky z peněženky oběti na jeho adresu. V takovém případě by Harpie detekovala odchozí transakci z peněženky oběti na neschválenou adresu a automaticky by vysílala další transakci s vyšším poplatkem za plyn, aby přesunula finanční prostředky cíle do bezpečného trezoru před potvrzením odchozí transakce. 

Validátoři Ethereum upřednostňují transakce s nejvyššími poplatky za plyn, což znamená, že mohou vyzvednout a potvrdit benevolentní transakce Harpie před případnými útočníky, čímž ušetří uživatele před krádeží.

Poté, co Harpie zasáhla a přesunula aktiva na bezpečné místo, si je uživatel může stáhnout do nové nekompromisní peněženky za paušální poplatek 0.01 ETH, bez ohledu na částku, která byla v rámci postupu ušetřena.

Jak používat Harpie

Aby uživatelé mohli službu používat, musí k Harpie připojit svou stávající peněženku Web3. Mohou to udělat kliknutím na tlačítko „Enter App“ v pravém horním rohu Harpie's homepage a poté klikněte na „Připojit“ uvnitř aplikace. Uživatelé také musí samostatně potvrdit připojení uvnitř svých peněženek, aby dali Harpie povolení sledovat jejich peněženky a přesunout z nich prostředky v případě incidentu.

Po připojení jsou uživatelé požádáni o nastavení své „důvěryhodné sítě“ aplikací a adres. Toto jsou aplikace a adresy, které uživatelé považují za bezpečné a chtějí je vyloučit z firewallu, což znamená, že Harpie s nimi automaticky neblokuje žádné transakce.

 Uživatelé si k tomu mohou vybrat, zda budou používat aplikace DeFi, tržiště NFT nebo obojí, a vybrat si svou důvěryhodnou síť aplikací z předem zvoleného seznamu zavedených protokolů. Všechny protokoly, které Harpie ve výchozím nastavení doporučuje, prošly rozsáhlým auditem, obstály ve zkoušce času a jsou obecně považovány za bezpečné, což znamená, že uživatelé by se měli cítit bezpečně, když je všechny zařadí na seznam povolených. Po výběru důvěryhodné sady aplikací musí uživatelé stisknout „Pokračovat“ v pravém dolním rohu a podepsat transakci ve své peněžence.

Po podpisu začne Harpie integrovat svůj firewallový systém s peněženkou uživatele a po dokončení budou uživatelé přesměrováni na svůj řídicí panel. Tam mohou přejít na kartu „Moje důvěryhodná síť“ a do sekce „Přátelé“ přidat všechny adresy, se kterými pravidelně komunikují. Ty mohou zahrnovat jejich vlastní osobní peněženky, peněženky jejich přátel a depozitní adresy centralizovaných burz, které používají.

Uživatelé také musí povolit Harpie přístup k prostředkům jejich peněženky, aby je mohli v případě útoku přesunout do zabezpečeného trezoru. Mohou to udělat kliknutím na „Chránit“ u každého aktiva v sekci „Chráněná aktiva“ na jejich řídicím panelu. Pokud nevidí všechna aktiva, která drží ve své peněžence, mohou je importovat ručně ze stejné sekce řídicího panelu. 

Kliknutí na „Protect“ u každého aktiva je nejkritičtějším úkolem pro každého uživatele používajícího Harpie. Je to proto, že uvedení důvěryhodné sítě aplikací a adres na bílou listinu pouze sděluje Harpie, jaký provoz má monitorovat, zatímco povolení přístupu k prostředkům peněženky jí ve skutečnosti umožňuje zasáhnout a přesunout aktiva na bezpečné místo v případě útoku.

Konečně si uživatelé musí nastavit adresu pro výběr, která bude mít možnost získat finanční prostředky přesunuté do bezpečného trezoru v případě, že Harpie zasáhne během narušení bezpečnosti. Mohou to udělat kliknutím na tlačítko „Nastavení“ v části „Nastavit adresu pro výběr“, zadáním adresy, kterou chtějí použít pro získávání prostředků, kliknutím na „Registrovat“ a poté schválením akce svou peněženkou.

Je důležité objasnit, že Harpie může uživatele chránit pouze před ztrátou majetku, který již mají ve svých peněženkách. Pokud uživatelé vloží nebo vloží svá aktiva na kryptoprotokol třetí strany a aplikace bude hacknuta, Harpie nebude moci udělat nic, aby ochránila prostředky uživatelů. 

Závěrečné myšlenky

I když žádný jediný systém nebo protokol nemůže vyřešit bezpečnostní problém kryptoměn, přístup Harpie on-chain firewall přidává nezbytnou vrstvu zabezpečení do každodenních operací aktivnějších uživatelů Web3. Kromě protokolárních hacků a určitých okrajových případů může Harpie efektivně chránit uživatele před téměř běžnými kryptografickými zneužitími, aniž by vážně narušila jejich uživatelskou zkušenost.

Vzhledem k tomu, interakce s Web3 s řešením firewallu Harpie stále přináší určité nevyhnutelné překážky z hlediska uživatelské zkušenosti. Uživatelé mohou například zapomenout na bílou listinu adresy svého přítele nebo svého vlastního účtu na centralizované burze a po pokusu o úmyslný převod budou jejich aktiva automaticky přesunuta do neopatrovacího trezoru Harpie. Kromě toho Harpie také uživatelům neposkytuje jednoduchý způsob, jak zrušit přístup firewallu. Po povolení musí uživatelé používat aplikaci třetí strany, jako je např odvolat.hotovost zrušit přístup, který poskytli Harpie, pokud se chtějí odhlásit.

Když vezmeme v úvahu, Harpie poskytuje tolik potřebnou bezpečnostní vrstvu na řetězci, kterou uživatelé v současné době nikde jinde nenajdou. I když Harpie dnes není dokonalá, její řešení je jasným krokem správným směrem k tomu, aby byl Web3 pro běžné uživatele bezpečnější.

Zveřejnění: V době psaní tohoto článku vlastnil autor tohoto článku ETH a několik dalších kryptoměn.