При перепечатке материалов просим публиковать ссылку на портал Finversia.ru с указанием гиперссылки.
Криптоотрасль слишком долго игнорировала необходимость координации в борьбе с мошенничеством.
Две недели назад в мире криптовалют произошло резонансное событие — неизвестный хакер взломал межсетевой протокол Poly Network и украл около 611 миллионов долларов, совершив самую дорогостоящую атаку на криптосеть за всю историю. А 23 августа деньги отправились обратно владельцам, потому что атаковавший сеть пользователь предоставил ключ к мультисиг-кошельку и вернул все до последнего цента. Сам хакер описал произошедшее как «одно из самых безумных приключений в жизни», оставив в комментарии к транзакции подпись «Ваш главный советник по безопасности».
Ситуация — из ряда вон выходящая, и поэтому неудивительно, что взлом продолжают обсуждать в сети и сегодня. Многие пытаются разобраться, что за талантливый хакер осуществил атаку, но на самом деле инцидент с Poly Network обнажает намного более важную проблему криптоиндустрии. Участники отрасли долгое время игнорировали необходимость координации в борьбе с мошенничеством. Но сегодня этот вопрос, очевидно, требует срочного решения.
С технической точки зрения, взлом Poly Network не несет в себе ничего революционного. Он очень похож на другие атаки на автономные системы DeFi, в которых используются обнаруженные в протоколах уязвимости. Самое важное в этой ситуации — вектор атаки. Инцидент не позволяет обвинить службу безопасности или владельцев платформы, потому что злоумышленникам удалось достичь своих целей за счет уязвимостей внутри системы. Они не обходили меры киберзащиты организации, но умело использовали ошибку в программном коде, на основе которого работает Poly Network.
Системные проблемы автономных платформ
Почему подобное происходит? Просто создатели проектов DeFi часто оказываются слишком уверены в себе и заявляют о высочайшем качестве кода и 100% безопасности. Они не беспокоятся о вопросах дополнительной киберзащиты, а также не тратятся на внешний анализ качества. Некоторые вообще не проводят аудит кода и оценку уязвимостей. При этом проект может существовать достаточно долго, не создавая никаких проблем своим участникам, и даже зарекомендовать себя “надежным и проверенным”. Но когда инициатива становится популярной, и в ней начинает вращаться достаточное количество денег, хакеры становятся более внимательными и приступают к поиску уязвимостей. И очень часто их находят.
Проблема заключается в том, что вероятность ошибки находится в экспоненциальной зависимости от сложности кода. Чем более запутанна программа, тем выше шанс скрытой ошибки или лазейки, которую могут создать люди — случайно или даже умышленно. И самая масштабная по цене активов атака на криптоплатформу доказала, что эту проблему нужно учитывать сегодня на глобальном уровне.
Но взлом Poly Network является нестандартным еще и потому, что “Мистер Белая Шляпа” (так называет себя хакер) решил вернуть украденные средства, и часть из них довольно быстро поступила на счета оригинальных владельцев. Судя по всему, таинственный хакер решил просто указать на опасность уязвимостей в децентрализованных системах. И, вероятно, именно это его действие позволило сохранить Poly Network как проект, ведь часто подобные взломы приводят к закрытию криптовалют или бирж.
Отрасли нужны новые подходы к безопасности
Теперь Poly Network выпускает патч, закрывает уязвимость — кажется, что об инциденте можно забыть. Но это будет наиболее опрометчивый ход из всех возможных. Даже сами Poly Network предложили анонимному хакеру стать их советником по безопасности за компенсацию в $500 000 долларов США. Ведь никто не исключает, что еще не обнаруженные проблемы в исходном коде приведут к новым потерям через некоторое время.
Чтобы не допустить подобных ситуаций, создателям криптопроектов нужно внимательнее относиться к работе над своим программным кодом. Для этого нужно использовать лучшие практики разработки ПО, в том числе автоматическое тестирование, внутренний и внешний аудит безопасности, а также предусмотреть программу премирования подобных “Белых Шляп” за тщательный анализ исходного кода.
Практика вознаграждения за обнаружения уязвимостей — это цивилизованный подход к совершенствованию систем работы с криптовалютами. Талантливые программисты могут заработать свои деньги легальным путем, фактически занимаясь поиском уязвимостей. В этом подходе присутствуют и азарт для самих хакеров “в белых шляпах”, и польза для общества, и возможность совершенствования самих систем работы с цифровыми валютами.
Хорошая бонусная программа позволяет привлечь к работе над проектом лучших специалистов со всего мира, и, как правило, подобный подход обеспечивает лучшие результаты, чем любой аудит информационной безопасности. Кстати, наличие такой инициативы способно также стать важным индикатором надежности проекта для его участников: если создатели уже долгое время сохраняют обязательства о выплате крупной суммы денег специалисту, обнаружившему уязвимость, значит в исходном коде уже нет критических брешей. Ведь иначе какой-то талантливый хакер уже нашел бы их и получил свою награду.
Я уверен, что подобные инциденты способны укрепить общий уровень безопасности криптовалютных проектов. Участники рынка постепенно начинают учитывать печальный опыт своих коллег, формируют лучшие практики и вырабатывают правила безопасности. Через некоторое время, вероятно, регуляторы также возьмут на вооружение уже отработанные методы аудита и контроля безопасности, с учетом активности “Белых Шляп”, и будут рекомендовать сертифицированным проектам внимательнее относиться к вопросам безопасности и привлекать талантливых энтузиастов к поиску уязвимостей, скрытых в глубине программного кода.
обсуждение