Logo

Amaldagi xavfsizlik - haqiqiy hack va DAO uni qanday qaytardi

June 9, 2026
Amaldagi xavfsizlik - haqiqiy hack va DAO uni qanday qaytardi

Kecha DAO testdan ancha jiddiyroq masala bo‘yicha ovoz berdi.

Foydalanuvchilarimizdan biri xaker hujumiga uchradi. Uning butun biznesi - NFT va hamkorlik tuzilmasi - o‘g‘irlandi. Kecha esa hamjamiyat ovozi bilan u qonuniy egasiga qaytarildi.

Ko‘pchiligingiz to‘liq voqeani so‘radingiz. Mana, ochiq aytamiz: nima bo‘ldi, qanday hal qilindi, bu protokol qanday qurilganini nimada isbotlaydi va shu sababli biz qo‘shayotgan yangi xavfsizlik qatlami nima.

Nima bo‘ldi

Ishtirokchilarimizdan birining hamyoni buzib kirildi. Hujumchi hamyonning seed phrase’iga - ichidagi hamma narsaning asosiy kalitiga - kirish oldi.

Bir narsani aniq aytaylik: bu platforma yoki smart-kontraktlar buzilgani emas. Protokolning o‘zi hech qachon buzilmadi. Hujumchi foydalanuvchining hamyoniga eski usulda - kalitlarni o‘g‘irlab - kirdi.

O‘sha paytda Business Sale funksiyasi vaqtincha yoqilgan edi. Biz uni avvalroq DAO boshqaruvi testi doirasida faollashtirgan va buni ochiq e’lon qilgan edik. Hujumchi shu ochiq oynadan foydalandi. Buzilgan hamyon nazorati qo‘lida bo‘lgani uchun u biznesni ko‘chirishni ishga tushirdi va jabrlanuvchining butun akkauntini - NFT hamda to‘liq hamkorlar daraxti tuzilmasini - o‘z manziliga o‘tkazib oldi.

Oylar davomida qurilgan biznes, bitta tranzaksiyada yo‘q bo‘ldi.

Avvalo - eng muhim gap

Bu qanday hal qilinganini tushunish uchun avval nima bo‘lishi mumkin EMASligini tushunishingiz kerak.

Jamoada sizning biznesingizga kirish huquqi yo‘q. Umuman.

Biz NFT’ingizni ko‘chira olmaymiz. Tuzilmangizga tegolmaymiz. Akkauntingizdagi hech narsani muzlata, tortib ola yoki o‘tkaza olmaymiz. Bu ertaga sekingina o‘zgartirib qo‘yadigan siyosat emas - smart-kontraktlar aynan shunday qurilgan, CertiK auditida tasdiqlangan va blockchainning o‘zi tomonidan majburan bajariladi.

Markazsizlashuv aslida shuni anglatadi. Agar biz akkauntlarga kirib, hammasini o‘zimiz “tuzata” olganimizda, aktivlaringiz faqat bizning yaxshi niyatimiz darajasida xavfsiz bo‘lardi, siz esa bankka ishongandek bizga ishonishingiz kerak bo‘lardi. Bu protokol aynan shu modelni almashtirish uchun qurilgan.

Shu bois hack sodir bo‘lganda, bosiladigan admin tugmasi yo‘q edi. Bo‘lishi ham mumkin emas edi. Va bu ataylab shunday qilingan.

Aslida qanday hal qilindi

Bor narsa, bu DAO.

Jabrlanuvchi support bilan bog‘landi. Uning upline yetakchisi - uni ekotizimga dastlab olib kirgan odam - yonida turdi va vaziyatni tasdiqladi. Jamoa egasining shaxsini va yangi, xavfsiz hamyon ustidan faqat uning nazorati borligini tekshirdi. Keyin esa harakat qilish vakolatiga ega yagona mexanizm ishga tushdi: hamjamiyat ovozi.

On-chainga ikkita taklif qo‘yildi:

1. Business Sale’ni o‘chirish. Boshqaruv test bosqichi baribir yakunlangan edi, ochiq transfer yo‘li esa hujumchi foydalangan aynan o‘sha zaif nuqta bo‘ldi. DAO funksiyani butun protokol bo‘yicha o‘chirishga ovoz berdi. Kelajakdagi ovoz boshqacha qaror qilmaguncha u o‘chiq qoladi.

2. O‘g‘irlangan akkauntni tiklash. DAO o‘g‘irlangan pozitsiyani - NFT, tuzilma, unga ulangan hamma narsani - hujumchining manzilidan tasdiqlangan egagina tegishli yangi hamyonga ko‘chirishga ruxsat berdi. Eski hamyonga qaytarish emas: u hali ham buzilgan, biznesni u yerga qaytarish uni o‘sha hujumchining qo‘liga yana topshirish bo‘lardi.

Ikkala taklif ham qabul qilindi. Ikkalasi ham on-chainda bajarildi. Har bir detalni ko‘rmoqchi bo‘lganlar uchun takliflarning to‘liq matnlari DAO sahifasida ochiq turibdi.

Natija: egasi xavfsiz hamyondan yana biznesga qaytdi. Hujumchining manzili esa hech narsasiz qoldi.

Ma’lumot uchun, DAO zararli akkauntni butunlay muzlatish vakolatiga ham ega. Bu holatda bunga hatto hojat qolmadi - migratsiyaning o‘zi hujumchi tutib turgan har bir pozitsiyani undan olib qo‘ydi.

Bu nimani isbotlaydi

Biz takliflar, ovoz berish va ijroni tekshirish uchun boshqaruv testini rejalashtirgandik. O‘rniga esa butun xavfsizlik modelini real bosim ostiga qo‘ygan jonli hodisa yuz berdi.

Model bardosh berdi:

  • Jamoa yolg‘iz hech narsa qila olmadi - dizayn shunday.

  • Hamjamiyat esa DAO orqali kerak bo‘lgan hammasini qila oldi - hujum yuzasini yopdi, hujumchini pozitsiyalardan mahrum qildi, egani tikladi.

Butun ma’no shu uyg‘unlikda. Yagona tomon - na jamoa, na biror alohida shaxs - aktivlaringizga tega olmaydi. Ammo hamjamiyat ochiq on-chain ovoz orqali birgalikda harakat qilsa, nimadir noto‘g‘ri ketganda adolatni tiklay oladi.

Markazlashgan platformalar sizga ikkinchisini beradi, birinchisini emas. Ko‘p DeFi loyihalari birinchisini beradi, ikkinchisini emas. Bu protokolda ikkalasi ham bor.

Hozir nima qilishingiz kerak

Protokol himoyasi ishladi. Ammo bu hodisa ko‘p hodisalar boshlanadigan joydan boshlandi: buzilgan hamyondan. Eng kuchli xavfsizlik qatlami - o‘zingiz sozlaydigan qatlam.

Bugunoq uch ish:

1. Moliyaviy parolingizni o‘rnating. Mablag‘larni ko‘chirish uchun login parolingizdan alohida talab qilinadigan parol. Agar firibgar usiz akkauntingizga kirsa, devorga uriladi.

2. Platforma beradigan har bir xavfsizlik qatlamini yoqing. Tranzaksiyalar uchun TAN kodlari, 2FA va harakatlarni tasdiqlash uchun rasmiy Telegram bot. Har bir qatlam hujumchi buzishi kerak bo‘lgan yana bitta to‘siqdir.

3. Seed phrase’ingizni xuddi biznesning o‘zi kabi asrang. Chunki u shunday. Uni hech qachon biror saytga kiritmang, hech kim bilan ulashmang, cloud qaydlarida yoki screenshotlarda saqlamang.

Agar bu qatlamlar sozlanmagan bo‘lsa, ichkariga kirgan hujumchi tez harakat qilishi mumkin. Siz yoqadigan har bir qatlam uni sekinlashtiradi yoki butunlay to‘xtatadi.

Yangi: Secret Code

Bu holat yana bitta qatlam qayerda kerakligini ko‘rsatdi. Shuning uchun uni qo‘shyapmiz.

Kelasi hafta ichida biz Secret Code - akkaunt xavfsizligi tizimining yangi elementini ishga tushiramiz.

U qanday ishlaydi:

  • Moliyaviy parolingizni yaratganingizda, tizim Secret Code yaratadi - bitta tasodifiy so‘z, sizga bir marta ko‘rsatiladi.

  • Agar sizda allaqachon moliyaviy parol bo‘lsa, kodingiz ham sizga ko‘rsatiladi.

  • Uni yozib oling va offline saqlang. Unga seed phrase’ga qanday munosabat qilsangiz, shunday munosabat qiling.

  • Shundan keyin supportga yuboriladigan har qanday xavfsizlikka sezgir so‘rov - moliyaviy parolni tiklash, tiklash harakatlari, shu toifadagi har qanday ish - Secret Code’ingizni aytishingizni talab qiladi.

Kod yo‘q, o‘zgarish yo‘q. Hujumchi email yoki xabarlaringizni egallab olsa ham, o‘sha so‘zsiz support oldida sizning nomingizdan ish ko‘ra olmaydi.

Kechagi ovoz bitta akkauntni tuzatishdan ko‘proq ish qildi. U production muhitida, real xavf bilan, bu protokol foydalanuvchilarini ular ustidan markazlashgan hokimiyat tutmasdan ham himoya qila olishini ko‘rsatdi.

Hujumga uchragan foydalanuvchi biznesini qaytarib oldi. Hujumchi hech narsasiz ketdi. Buni hamjamiyat amalga oshirdi - ochiq, on-chain, ovoz bilan.

Adolat ustun keldi. Tizim aynan loyihalanganidek ishladi.