Финансовая энциклопедия

Хакеры хранят украденные криптовалюты: Каково долгосрочное решение?

Опубликовано · Обновлено

Несмотря на то, что продолжающаяся сага о Binance-FTX продолжает доминировать в криптоэфире, в последние месяцы многие энтузиасты цифровой валюты обратили внимание на растущую тенденцию — неспокойную тенденцию, а именно: хакеры возвращают часть средств за обнаружение эксплойтов в протоколе. 

В этой связи совсем недавно злоумышленники, стоявшие за атакой Team Finance на сумму 14,5 миллионов долларов, заявили, что им будет разрешено оставить себе 10% от украденных средств в качестве вознаграждения. Аналогичным образом, Mango Markets, децентрализованная финансовая сеть (DeFi) на базе Solana, которая недавно была взломана на сумму более 110 миллионов долларов, сообщила, что ее сообщество сторонников работает над достижением консенсуса, который позволит хакеру получить 47 миллионов долларов в качестве вознаграждения за раскрытие эксплойта.

Поскольку эта тенденция набирает все большую популярность, Cointelegraph обратился к нескольким наблюдателям отрасли, чтобы выяснить, является ли такая практика здоровой для дальнейшего роста рынка цифровых активов, особенно в долгосрочной перспективе.

Хорошая практика, пока что

Рейчел Лин, соучредитель и генеральный директор SynFutures — децентрализованной криптовалютной биржи деривативов — рассказала Cointelegraph, что, с одной стороны, привычка поощрять «черных шляпников» переходить в «белые шляпы» стимулирует отрасль к повышению стандартов передовой практики, но все еще нередки случаи, когда популярные протоколы форкируются или просто копируются и вставляются, оставляя их полными скрытых ошибок. Она добавила:

«Мы бы не сказали, что это здоровая ситуация, когда в идеальном мире были бы только «белые шляпы» хакеров. Но переход, который мы наблюдаем, когда хакеры возвращают часть средств, чего раньше не было, является сильным шагом вперед, особенно в такие непростые времена, как сейчас, когда становится ясно, что многие проекты и биржи связаны между собой и могут повлиять на экосистему в целом».

На несколько похожей ноте Брайан Пасфилд, главный технический директор децентрализованного денежного рынка Fringe Finance, сказал Cointelegraph, что хотя идея отдавать хакерам часть денег, которые они отбирают за обнаружение лазеек, может показаться нездоровой и почти нежизнеспособной, факт остается фактом: в конечном итоге у взломанных проектов нет другого выбора, кроме как использовать этот подход. «Это лучшая альтернатива, чем обращение к правоохранительным органам для поимки преступников и возврата средств, что занимает очень много времени, если вообще удается», — добавил он.

Последние новости: Что может сделать блокчейн для увеличения продолжительности жизни человека?

Говоря более технически, Слава Демчук, соучредитель криптовалютной компании AMLBot, сказал Cointelegraph, что поскольку все находится на цепи, все действия хакера можно отследить, настолько, что у хакера почти 0% шансов использовать незаконно полученные цифровые активы. Он добавил:

«Когда хакеры соглашаются вернуть часть украденных средств, проект не только обычно не преследует хакера, но даже позволяет ему легально использовать оставшиеся средства.»

Наконец, Джаспер Ли, ведущий технический специалист по аудиту в SOOHO.IO, криптоаудиторской компании для нескольких компаний из списка Fortune 500, сказал, что такое поведение «белых шляп» может быть полезным для индустрии блокчейна в долгосрочной перспективе, поскольку оно дает возможность выявить уязвимости в протоколах DeFi до того, как они станут слишком большими. 

Он также рассказал Cointelegraph, что в отраслях, не связанных с блокчейном, даже если хакер находит уязвимость в том или ином коде, ему трудно обнародовать эту информацию, поскольку это может вызвать серьезные юридические проблемы. «В традиционном хакерстве очень редко хакеры возвращают похищенные средства, поскольку это может раскрыть их личность», — сказал Ли.

Не все согласны

Дэвид Карвальо, генеральный директор Naoris Protocol, распределенной экосистемы кибербезопасности, однозначно заявил, что разрешение хакерам хранить средства таким образом не только подрывает всю этику децентрализованной финансовой системы, но и поощряет поведение, способствующее росту недоверия.

«Это нельзя продолжать рассматривать как нечто, к чему можно относиться терпимо на любом уровне. Основы безопасной и справедливой финансовой системы не меняются, — сказал он в интервью Cointelegraph, — предпосылка, что единственный способ решить проблему взлома — это сделать проблему частью решения, фатально ошибочна. Это может устр
анить небольшую трещину на короткий период времени, но трещина будет продолжать расти под тяжестью хлипких исправлений и приведет к дестабилизации рынка».

Аналогичное мнение разделяет Тим Бос, соучредитель и председатель совета директоров ShareRing — экосистемы на основе блокчейна, предоставляющей решения для цифровой идентификации, — который считает, что это ужасная практика. «Это сродни тому, как платить преступникам, которые держат людей в заложниках. Все, что это делает, это дает хакерам понять, что они могут совершить огромное преступление, получить за это вознаграждение и не иметь никаких последствий», — сказал он в интервью Cointelegraph.

Карвальо отметил, что то, что хакер достаточно любезен, чтобы вернуть часть средств, не делает это хорошей практикой, поскольку в результате таких эпизодов люди и платформы DeFi все равно теряют много денег.

«Мы не можем позволить себе ассоциировать децентрализованные финансы с гнусными исправлениями безопасности. Для массового принятия как предприятиями, так и частными лицами, нам необходимо, чтобы системы безопасности в экосистемах Web2 и Web3 были надежными и защищенными от взлома. Наличие когорты хакеров, якобы определяющих кибербезопасность, по меньшей мере, безумно и не способствует развитию отрасли», — сказал он.

Создает плохой прецедент для индустрии?

Лин отметил, что даже среди традиционных компаний Web2 — таких как FAANGs этого мира — хакеры стимулируются к обнаружению ошибок и эксплойтов нулевого дня в обмен на определенные поощрения. Однако это часто сопровождается жесткими требованиями, и то, что хакеры-«белые шляпы» обнаруживают эти лазейки, считается полезным для экосистемы. Она отметила:

«Крупные эксплойты или открытия обычно заставляют насторожиться всю отрасль и внутренние команды безопасности. Но это скользкая дорожка. Я бы сказала, что нам нужно определить, что такое «белая шляпа» хакера. Например, можно ли считать хакера, загнанного в угол и неохотно возвращающего только 10% средств, хакером в белой шляпе?».

Ли считает, что такие большие зарплаты могут послужить для «белых шляп» значительным стимулом для проведения большего количества подобных уловок. Однако он отметил, что вместо того, чтобы видеть, как 100% средств протокола взламываются или исчезают навсегда, для пользователей протокола всегда лучше, если часть выделенных средств будет возвращена.

На более оптимистичной ноте Демчук отметил, что рынок DeFi управляется сообществом, и поэтому такие действия можно рассматривать положительно, так как самих хакеров часто просят работать на проекты, которые они эксплуатируют, превращая их деятельность в настоящие тесты на проникновение.

Каково решение?

Не секрет, что большая часть экосистемы Web3 (и связанных с ней решений по кибербезопасности) все еще работает на архитектуре Web2 вчерашнего дня, что делает их очень централизованными. Это, по мнению Карвальо, и есть тот самый слон в комнате, о котором большинство Web3-платформ не хотят говорить. Он считает, что если эти насущные проблемы не будут решены с помощью децентрализованных решений, то стандарты исполнения и публикации смарт-контрактов не будут кардинально изменены или улучшены, добавляя:

«Подобные нарушения будут происходить и дальше, потому что нет ответственности или криминализации хакерской деятельности. Я считаю, что подход «просто заплати хакеру» увеличит риск для DeFi и других централизованных/децентрализованных платформ, потому что фундаментальные недостатки не будут устранены.»

Бос отметил, что основная проблема здесь заключается не во взломе или фальшивых вознаграждениях, которыми награждают хакеров, а в очевидном отсутствии аудита, качественных процессов безопасности и оценки рисков, особенно у тех проектов, которые имеют в своих кассах криптоактивы на миллионы долларов. 

Последние новости: Крах FTX: момент Lehman Brothers для криптоиндустрии

«Состоятельные банки практически невозможно взломать, потому что они тратят много денег на проверку безопасности, аудит рисков и т.д. Мы должны увидеть такой же уровень технического надзора в криптоиндустрии», — заключил он.

Таким образом, поскольку мы движемся в будущее, в котором все большее место занимают децентрализованные технологии, можно сказать, что хакеры просто демонстрируют, насколько больше работы необходимо проделать криптовалютному сектору в целом для обеспечения своей безопасности.


Похожие статьи