TL;DR Ripartizione
- L’ondata di hacker che colpiscono i protocolli crittografici e DeFi continua ad aumentare.
- Oltre 7 miliardi di dollari persi a causa degli attacchi al settore delle criptovalute nel 2021.
- Perché gli hacker continuano a prendere di mira l'industria delle criptovalute.
L’ondata con cui gli hacker hanno colpito per estensione il settore DeFi
Secondo quanto riferito , nel 2021 si sono verificati dent di hacking blockchain Nell'ultimo mese, sono stati segnalati non meno di cinque casi di hacking crittografici con DeFi Cream Finance , l'ultimo ad essere colpito da questi hacker. Si dice che siano stati rubati oltre 130 milioni di dollari.
Al posto di questi, Cryptopolitan ha parlato con Dmitry Mishunin, CEO e fondatore di HashEx, una società di ricerca e sviluppo focalizzata sull'integrazione della blockchain nei processi aziendali e sulla sicurezza informatica . Dmitry ha un tron background tecnico nella sicurezza informatica e nelle applicazioni decentralizzate, nonché un'impressionante esperienza nello sviluppo di sistemi di sicurezza delle informazioni.
Di seguito sono riportati alcuni estratti dell'intervista
D: Sei sorpreso dal numero di hack ed exploit che gli utenti si trovano ad affrontare ultimamente?
Sfortunatamente no. Stiamo vedendo che sempre più persone stanno scrivendo i loro contratti trac . Ma spesso non hanno sufficiente nozione di programmazione e una buona conoscenza di Solidity, attualmente l’unico linguaggio di programmazione compatibile con Ethereum . Avere una buona conoscenza del linguaggio di programmazione è fondamentale per creare un DeFi , e non conoscere alcune delle sue sfumature può facilmente portare a exploit e furti di fondi.
D: In che modo l'accettazione o la firma di un trac intelligente che contiene codice dannoso può portare al furto delle tue risorse?
Ogni utente dovrebbe sapere che le transazioni blockchain sono irreversibili: una volta approvata una certa quantità di token ERC-20 in un contratto intelligente ERC-20 trac verrà trasferita in modo irreversibile ad esso. Un contratto trac avere un codice sorgente verificato senza exploit, ma può anche avere una libreria non verificata come dipendenza. Approvare i token per un simile contratto trac un grosso rischio perché non è possibile verificare come funziona la biblioteca.
Questo è stato il caso del progetto StableMarket, quando sono stati rubati fondi degli utenti per un valore di almeno 27 milioni di dollari. trac del progetto StableMarket avevano un codice controllato ma erano distribuiti con una libreria non verificata. Questa libreria era dannosa e rubava i token degli utenti archiviati nel protocollo.
Un altro rischio per gli utenti è l’approvazione dei token per uno smart contract aggiornabile trac tale contratto trac essere automaticamente matic con codice dannoso e rubare i token approvati.
Spesso le app frontend approvano la quantità massima di token per un contratto trac non solo l'importo del token che verrà utilizzato. Viene effettuato per pagare il gas in un'unica transazione. Se un utente deposita token in un contratto trac dovrà pagare inoltre il gas. Ma se un contratto trac in modo dannoso, in tal caso può prelevare qualsiasi quantità di token dal portafoglio.
Pertanto, la migliore pratica per la massima sicurezza è controllare sempre l'importo di approvazione e approvare solo l'importo richiesto per l'operazione trac .
D: Gli hacker stanno diventando più intelligenti o gli utenti di criptovalute stanno diventando meno cauti con le loro procedure di sicurezza informatica?
Entrambe le affermazioni sono vere. Gli hacker hanno compiuto notevoli progressi nello sfruttamento delle piattaforme di prestito flash insieme a diversi protocolli per creare e sfruttare le vulnerabilità. Di per sé, queste altre piattaforme sono sicure per la maggior parte del tempo, ma i prestiti flash creano una maggiore complessità strutturale, che rende le vulnerabilità più frequenti.
Tali attacchi sono molto complessi.
Anche la loro analisi richiede molto tempo. E ci sono anche molti hack di progetti che hanno semplicemente un codice scadente con semplici bug che molto probabilmente verrebbero eliminati se venissero eseguiti dei test o se il codice fosse adeguatamente controllato. Parte della colpa è anche degli utenti, perché molti di loro conoscono le pratiche sicure che riducono al minimo i rischi, come ad esempio la conservazione a freddo. Ma spesso li ignorano, perdendo la testa per un’opportunità che può portare loro un ROI multiplo. A volte finiscono semplicemente per perdere i loro soldi.
D: In che modo gli utenti possono proteggere meglio le proprie risorse su Metamask e sulle dapp associate come OpenSea e DeFi ?
La migliore protezione non è conservare tutti gli asset negli hot wallet ma inviarli a quelli freddi: questi ultimi non hanno accesso a Internet.
È meglio archiviare solo una piccola quantità di risorse necessarie per le operazioni negli hot wallet e conservare il resto in celle frigorifere. Inoltre, gli utenti dovrebbero seguire regole di sicurezza standard: utilizzare antivirus, evitare di aprire collegamenti sospetti nelle e-mail e utilizzare l’autenticazione a due fattori quando possibile.
D: Pensi che gli hack e gli exploit diventeranno più comuni man mano che il settore cresce?
Man mano che il settore cresce e vengono lanciati sempre più progetti, molti di essi dovranno affrontare il rischio di essere hackerati. Non è possibile eliminare tutti i bug in tutti i progetti, ma le società di sicurezza blockchain lavorano costantemente per minimizzarli. Ciò non include solo la verifica del codice sorgente dei progetti, ma anche lo sviluppo di strumenti analitici che aiuteranno a prevenire del tutto la comparsa dei bug o, almeno, a trovarli nelle prime fasi dello sviluppo.
D: Che ruolo gioca HashEx nell'espansione del settore delle criptovalute?
Illuminiamo le persone sulla trasparenza e la sicurezza dell'utilizzo delle applicazioni decentralizzate. La logica del loro lavoro è troppo complessa e poco chiara per essere compresa da un utente medio. Inoltre, nessuna persona sensata affiderebbe i propri soldi a qualcosa che non capisce, come Pinocchio nel Campo dei Miracoli. Spieghiamo nozioni complesse in termini semplici e mettiamo in luce le insidie di cui le persone dovrebbero essere consapevoli e cercare di evitare, e allo stesso modo aiutiamo i potenziali investitori a prendere una decisione ben informata sui loro fondi.
Ma soprattutto siamo una società di revisione incentrata su DeFi e criptovalute. Ciò significa che effettuiamo numerosi controlli sui trac intelligenti e quindi aiutiamo i progetti crittografici a guadagnare la fiducia degli investitori poiché gli investitori si fidano meglio dei progetti che sono ben protetti da errori costosi che potrebbero colpire finanziariamente i loro investitori.
D: Cosa pensano sia il G7 che il dent degli Stati Uniti Joe Biden sulle sue mosse per porre fine al ransomware, alla sicurezza informatica e ai frequenti attacchi alle criptovalute?
Il miglioramento costante degli standard di sicurezza fa parte della nostra routine e dell’ideologia aziendale. Cerchiamo di portare fiducia nello spazio trustless DeFi . E questo problema è cruciale in qualsiasi ambito IT, non solo DeFi . Con la rapida comparsa di nuovi prodotti software, purtroppo non viene prestata abbastanza attenzione all’aspetto della sicurezza informatica, il che crea opportunità da sfruttare per gli hacker. Ci sono due ragioni principali per questo: la “programmazione con un clic del mouse” e una forza lavoro di bassa qualità a cui vengono offerti salari inutilmente alti.
Questo è uno svantaggio delle aziende IT in rapida crescita. In questo ambiente in cui le aziende cercano di superare le altre, offrono nuovi prodotti e spesso chiudono un occhio sui problemi di sicurezza nonostante la loro importanza. Di conseguenza, a volte otteniamo sistemi di grandi dimensioni, che vengono utilizzati da un gran numero di clienti, pur presentando bug che possono portare alla perdita dei fondi degli utenti. A volte, le conseguenze di questi bug possono estendersi anche a tutto il continente.
Da questo punto di vista l’ingerenza governativa è del tutto giustificata. Se non fosse per il coinvolgimento dei governi statali in questi problemi, chi altro potrebbe reprimere gli avidi uomini d’affari e convincerli a dedicare sforzi alle misure di sicurezza e allo sviluppo di software in modo sensato?
Se le persone iniziassero a denunciare gli attacchi hacker alle agenzie governative, ciò avrebbe un effetto positivo. Informazioni tempestive possono aiutare a minimizzare le conseguenze di un potenziale guasto consentendo di attivare canali di riserva (la situazione con la fornitura di petrolio alla costa orientale degli Stati Uniti può essere vista come un buon esempio di questa pratica).
Anche gli standard di sicurezza unificati in tutto il settore sarebbero utili, se fossero sviluppati da esperti, piuttosto che da soggetti esterni. Anche nell’attuale fase iniziale dello sviluppo della DApp, stiamo assistendo all’implementazione di tali standard da parte dei principali revisori. L'integrazione di tali protocolli aiuterà tutti: renderà la programmazione più semplice, i codici più sicuri e proteggerà anche i fondi degli utenti.
D: Questi hack parlano del loro impatto sul settore delle criptovalute
Il feedback per l'industria delle criptovalute è un tentativo di controllare i fondi rubati. Penso che sia una buona cosa Al momento, non è possibile ottenere tutti i comfort del mondo reale tramite criptovaluta. Questa situazione sta cambiando di giorno in giorno, ma è lungi dall’essere perfetta. Pertanto, gli hacker hanno ancora bisogno di un ponte tra fondi crittografici e fiat per prelevare fondi acquisiti illegalmente.
Questa è la fase in cui i criminali possono essere dent . Più se ne trovano, meno saranno disposti a tentare di farlo di nuovo. Si può ripensare a come nelle culture orientali si tagliavano parti del corpo a scopo di furto. Tali interventi da parte delle forze dell’ordine stanno avendo un’influenza del tutto positiva sul settore delle criptovalute e sulla sua reputazione. Queste azioni fanno sentire le persone più sicure.
D: Cattivi attori/giocatori dietro molti di questi hack crittografici, quali sanzioni consiglieresti loro per scoraggiare gli altri?
Come ho detto prima, sono favorevole a penalizzare tali individui. Considererei tali operazioni come frodi finanziarie di vario grado di gravità e applicherei le corrispondenti azioni legali. Non cercherei di elaborare nuove leggi in questo momento.
D: Un mondo crittografico senza hack è quasi impossibile da realizzare, come possono i soggetti interessati, i politici e tutti gli altri ridurre gli attacchi al minimo indispensabile?
Qualsiasi dominio IT non è concepibile senza minacce informatiche. Ma quando parliamo di attività ordinarie vediamo solo la punta dell’iceberg, non il quadro completo. Ci sono molti altri attacchi hacker in atto che attirano l'attenzione perché le aziende potrebbero minare la loro reputazione se tale conoscenza diventasse pubblica. Con le criptovalute tutto è trasparente e pubblicamente noto, quindi i mass media scrivono più spesso di queste cose.
La sicurezza informatica è una pratica multidimensionale, che comprende quadri normativi ai punti di uscita e di ingresso da criptovaluta a fiat, formazione degli utenti, team di sicurezza informatica che controllano il codice, ecc. Questo settore è ancora giovane, il che offre un'eccellente opportunità per indirizzarlo lungo i vettori giusti di sviluppo. In questo modo, possiamo utilizzare pratiche più sicure fin dall’inizio, invece di cercare di riparare i buchi da qualche parte lungo la strada.
