Intervista: perché gli hacker continuano a colpire i protocolli e le soluzioni DeFi

Analisi TL;DR

• L'ondata di attacchi hacker ai protocolli crypto e DeFi continua ad aumentare.
• Oltre 7 miliardi di dollari persi a causa degli attacchi al settore delle criptovalute nel 2021.
• Perché gli hacker continuano a prendere di mira il settore delle criptovalute.

L'ondata di attacchi hacker al settore DeFi e, per estensione, al settore delle criptovalute continua a essere fonte di preoccupazione per il settore.

Secondo quanto riportatodi hacking di blockchaindent, con la perdita di quasi 7 miliardi di dollari. Nell'ultimo mese, sono stati segnalati almeno cinque casi di hacking di criptovalute, con DeFi Cream Finance come ultimo a essere colpito. Si stima che siano stati rubati oltre 130 milioni di dollari.

In alternativa, Cryptopolitan ha intervistato Dmitry Mishunin, CEO e fondatore di HashEx, un'azienda di ricerca e sviluppo focalizzata sull'integrazione della blockchain nei processi aziendali e nella sicurezza informatica. Dmitry vanta untronbackground tecnico in materia di sicurezza informatica e applicazioni decentralizzate, oltre a una notevole esperienza nello sviluppo di sistemi di sicurezza informatica.

Di seguito alcuni estratti dell'intervista

D: Sei sorpreso dal numero di attacchi informatici e exploit a cui gli utenti si stanno imbattendo ultimamente?

Purtroppo no. Stiamo vedendo che sempre più persone scrivono i propri smarttrac. Ma spesso non hanno sufficienti competenze di programmazione e una buona conoscenza di Solidity, attualmente l'unico linguaggio di programmazione compatibile con Ethereum. Avere una buona conoscenza del linguaggio di programmazione è fondamentale per creare un protocollo DeFi affidabile, e non conoscerne alcune sfumature può facilmente portare a exploit e furti di fondi.

D: In che modo l'accettazione o la firma di uno smarttraccontenente codice dannoso può comportare il furto dei tuoi beni?

Ogni utente dovrebbe sapere che le transazioni blockchain sono irreversibili: una volta approvato un certo quantitativo di token ERC-20 per un contratto intelligente ERC-20tracquesti verranno trasferiti in modo irreversibile. Un contrattotracavere un codice sorgente verificato e privo di vulnerabilità, ma può anche avere come dipendenza una libreria non verificata. Approvare token per un contratto di questo tipotracun rischio elevato, poiché non è possibile verificarne il funzionamento.
Questo è stato il caso del progetto StableMarket, in cui sono stati rubati fondi degli utenti per un valore di almeno 27 milioni di dollari. Itracavevano un codice verificato, ma sono stati distribuiti con una libreria non verificata. Questa libreria era dannosa e ha rubato i token degli utenti memorizzati nel protocollo.

Un altro rischio per gli utenti è l'approvazione dei token per uno smart contract aggiornabiletractale contrattotracesserematiccon codice dannoso e rubare i token approvati.
Spesso le app frontend approvano quantità massime di token per un contrattotracnon solo l'importo di token che verrà utilizzato. Questo avviene per pagare il gas in un'unica transazione. Se un utente deposita token in un contrattotracdovrà pagare anche il gas. Ma se un contrattotracin modo dannoso, in tal caso può prelevare qualsiasi quantità di token dal portafoglio.

Pertanto, la migliore pratica per la massima sicurezza è quella di controllare sempre l'importo approvato e di approvare solo l'importo necessario per l'esecuzione deltrac.

D: Gli hacker stanno diventando più intelligenti o gli utenti di criptovalute stanno diventando meno cauti nelle loro procedure di sicurezza informatica?

Entrambe le affermazioni sono vere. Gli hacker hanno compiuto notevoli progressi nello sfruttamento delle piattaforme di prestiti flash in combinazione con protocolli diversi per creare e sfruttare vulnerabilità. Da sole, queste altre piattaforme sono sicure nella maggior parte dei casi, ma i prestiti flash creano una maggiore complessità strutturale, il che rende le vulnerabilità più frequenti.

Tali attacchi sono molto complessi. Anche la loro analisi richiede molto tempo. Inoltre, ci sono molti attacchi a progetti che contengono codice scadente con semplici bug che verrebbero probabilmente eliminati se venissero eseguiti dei test o il codice fosse sottoposto a un audit adeguato.
Parte della colpa ricade anche sugli utenti, perché molti di loro conoscono le pratiche sicure che riducono al minimo i rischi, come ad esempio il cold storage. Ma spesso le ignorano, perdendo la testa per un'opportunità che può portare loro un ROI moltiplicato per mille. A volte, finiscono semplicemente per perdere i loro soldi.

D: Come possono gli utenti proteggere meglio i propri asset su Metamask e sulle DApp associate come OpenSea e DeFi?

La protezione migliore non è quella di conservare tutti gli asset in hot wallet, ma di inviarli a cold wallet: questi ultimi non hanno accesso a Internet. È meglio conservare solo una piccola quantità di asset necessari per le operazioni negli hot wallet e conservare il resto in cold storage.
Inoltre, gli utenti dovrebbero seguire le regole di sicurezza standard: utilizzare antivirus, evitare di aprire link sospetti nelle email e utilizzare l'autenticazione a due fattori quando possibile.

D: Pensi che gli attacchi informatici e gli exploit diventeranno più comuni con la crescita del settore?

Con la crescita del settore e il lancio di nuovi progetti, un numero sempre maggiore di essi correrà il rischio di essere hackerati. Non è possibile eliminare tutti i bug in tutti i progetti, ma le aziende di sicurezza blockchain lavorano costantemente per ridurli al minimo. Questo non include solo audit del codice sorgente dei progetti, ma anche lo sviluppo di strumenti analitici che aiuteranno a prevenire del tutto la comparsa dei bug o, almeno, a individuarli nelle prime fasi di sviluppo.

D: Quale ruolo gioca HashEx nell'espansione del settore delle criptovalute?

Informiamo le persone sulla trasparenza e la sicurezza dell'utilizzo di applicazioni decentralizzate. La logica del loro funzionamento è troppo complessa e poco chiara per essere compresa da un utente medio. Inoltre, nessuna persona sensata affiderebbe il proprio denaro a qualcosa che non comprende, come Pinocchio nel Campo dei Miracoli. Spieghiamo concetti complessi in termini semplici e mettiamo in luce le insidie ​​di cui le persone dovrebbero essere consapevoli e cercare di evitare, e allo stesso modo aiutiamo i potenziali investitori a prendere una decisione consapevole sui propri fondi.

Ma principalmente siamo una società di revisione contabile specializzata in DeFi e criptovalute. Ciò significa che eseguiamo numerosi audit sugli smarttrace aiutiamo così i progetti crypto a guadagnare la fiducia degli investitori, che a loro volta si fidano di progetti ben protetti da costosi errori che potrebbero danneggiare finanziariamente i loro investitori.

D: Cosa pensano sia il G7 che ildent degli Stati Uniti Joe Biden delle sue iniziative per porre fine al ransomware, alla sicurezza informatica e ai frequenti attacchi informatici alle criptovalute?

Il miglioramento costante degli standard di sicurezza fa parte della nostra routine e della nostra ideologia aziendale. Cerchiamo di portare fiducia nel settore DeFi trustless. E questo è un tema cruciale in qualsiasi ambito IT, non solo DeFi. Con la rapida affermazione di nuovi prodotti software, purtroppo l'aspetto della sicurezza informatica non riceve sufficiente attenzione, il che crea opportunità di sfruttamento per gli hacker. Le ragioni principali sono due: la "programmazione con un clic del mouse" e una forza lavoro di bassa qualità a cui vengono offerti stipendi inutilmente elevati.

Questo è uno svantaggio delle aziende IT in rapida crescita. In questo contesto competitivo, le aziende cercano di prevalere l'una sull'altra, offrendo nuovi prodotti e spesso ignorando i problemi di sicurezza, nonostante la loro importanza. Di conseguenza, a volte ci ritroviamo con sistemi di grandi dimensioni, utilizzati da un gran numero di clienti, che presentano comunque bug che possono portare alla perdita di fondi degli utenti. A volte, le conseguenze di questi bug possono persino estendersi a tutto il continente.

Da questo punto di vista, l'interferenza governativa è del tutto giustificata. Se non fosse per l'intervento dei governi statali in queste questioni, chi altro avrebbe represso gli imprenditori avidi e li avrebbe convinti a dedicare sforzi alle misure di sicurezza e allo sviluppo di software in modo sensato?

Se le persone iniziano a segnalare gli attacchi informatici alle agenzie governative, l'effetto sarà positivo. Informazioni tempestive possono contribuire a minimizzare le conseguenze di un potenziale guasto, consentendo di attivare canali di riserva (la situazione relativa all'approvvigionamento di petrolio sulla costa orientale degli Stati Uniti può essere considerata un buon esempio di questa pratica).

Anche l'adozione di standard di sicurezza unificati in tutto il settore sarebbe utile, se sviluppati da esperti, piuttosto che da soggetti esterni. Anche nell'attuale fase iniziale di sviluppo delle DApp, stiamo assistendo all'implementazione di tali standard da parte dei principali revisori. L'integrazione di tali protocolli sarà utile a tutti: semplificherà la programmazione, renderà i codici più sicuri e proteggerà anche i fondi degli utenti.

D: Questi attacchi informatici parlano del loro impatto sul settore delle criptovalute

Il feedback per l'industria delle criptovalute è un tentativo di controllare i fondi rubati. Penso che sia una buona cosa. Attualmente, non è possibile ottenere tutti i comfort del mondo reale tramite le criptovalute. Questa situazione cambia di giorno in giorno, ma è ben lungi dall'essere perfetta. Pertanto, gli hacker hanno ancora bisogno di un ponte tra criptovalute e fondi fiat per prelevare fondi acquisiti illegalmente.

Questa è la fase in cui i criminali possono esseredent. Più criminali vengono individuati, meno saranno disposti a ritentare. Basti pensare a come si usava tagliare parti del corpo per commettere furti nelle culture orientali. Tali interventi da parte delle forze dell'ordine stanno avendo un'influenza del tutto positiva sul settore delle criptovalute e sulla sua reputazione. Queste azioni fanno sentire le persone più sicure.

D: Quali sanzioni consigliereste ai malintenzionati/operatori dietro molti di questi attacchi informatici alle criptovalute per scoraggiare gli altri?

Come ho già detto, sono assolutamente favorevole a sanzionare tali individui. Considererei tali operazioni come frodi finanziarie di varia gravità e applicherei le relative azioni legali. Non cercherei di elaborare nuove leggi in questo momento.

D: Un mondo crittografico senza attacchi informatici è quasi impossibile da realizzare. Come possono gli stakeholder del settore crittografico, i decisori politici e tutti gli altri ridurre gli attacchi al minimo indispensabile?

Nessun settore IT è concepibile senza minacce informatiche. Ma quando parliamo di aziende ordinarie, vediamo solo la punta dell'iceberg, non il quadro completo. Ci sono molti più attacchi informatici di quanto sembri, perché le aziende potrebbero minare la propria reputazione se tali informazioni diventassero di dominio pubblico. Con le criptovalute, tutto è trasparente e di dominio pubblico, quindi i media ne parlano più spesso.

La sicurezza informatica è una pratica multidimensionale, che include quadri normativi per i punti di ingresso e di uscita dal mercato crypto-fiat, formazione degli utenti, team di sicurezza informatica che verificano il codice, ecc. Questo settore è ancora giovane, il che offre un'eccellente opportunità per indirizzarlo verso i giusti vettori di sviluppo. In questo modo, possiamo adottare pratiche più sicure fin dall'inizio, invece di cercare di colmare le lacune in futuro.