Discriminação TL;DR
- A onda de ataques de hackers aos protocolos criptográficos e DeFi continua a aumentar.
- Mais de US$ 7 bilhões perdidos em ataques à indústria de criptografia em 2021.
- Por que os hackers continuam a visar a indústria de criptografia.
A onda de hackers que atingiram o DeFi e a indústria de criptomoedas, por extensão, continuou a ser uma fonte de preocupação para a indústria.
Alegadamente , 169 dent de hacking de blockchain ocorreram em 2021, com quase US$ 7 bilhões em fundos perdidos para hackers. No mês passado, pelo menos cinco casos de hack de criptografia foram relatados, sendo DeFi Cream Finance o mais recente a ser atingido por esses hackers. Mais de US$ 130 milhões teriam sido roubados.
Em vez disso, a Cryptopolitan conversou com Dmitry Mishunin, CEO e fundador da HashEx, uma empresa de P&D focada na integração de blockchain em processos de negócios e segurança cibernética . Dmitry tem uma tron formação técnica em segurança cibernética e aplicações descentralizadas, bem como uma experiência impressionante no desenvolvimento de sistemas de segurança da informação.
Abaixo estão trechos da entrevista
P: Você está surpreso com o número de hacks e explorações que os usuários estão enfrentando ultimamente?
Infelizmente não. Estamos vendo que mais e mais pessoas estão escrevendo seus contratos trac . Mas muitas vezes eles não têm conhecimento de programação suficiente e um bom entendimento do Solidity – atualmente a única linguagem de programação compatível com Ethereum . Ter um bom conhecimento da linguagem de programação é essencial para criar um protocolo DeFi
P: Como aceitar ou assinar um trac inteligente que contém código malicioso pode levar ao roubo de seus ativos?
Todo usuário deve saber que as transações blockchain são irreversíveis: depois de aprovar uma certa quantidade de um token ERC-20 para um contrato inteligente ERC-20 trac ela será transferida irreversivelmente para ele. Um contrato trac ter código-fonte verificado sem explorações, mas também pode ter alguma biblioteca não verificada como dependência. Aprovar tokens para tal contrato trac um grande risco porque você não pode verificar como a biblioteca funciona.
Esse foi o caso no projeto StableMarket, quando pelo menos US$ 27 milhões em fundos dos usuários foram roubados. trac do projeto StableMarket tinham um código auditado, mas foram implantados com uma biblioteca não verificada. Esta biblioteca era maliciosa e roubava os tokens dos usuários armazenados no protocolo.
Outro risco para os usuários é aprovar tokens para um contrato inteligente atualizável trac tal contrato trac ser atualizado automaticamente matic código malicioso e roubar os tokens aprovados.
Freqüentemente, os aplicativos front-end aprovam quantidades máximas de tokens para um contrato trac não apenas a quantidade de tokens que será usada. É feito para pagar o gás em uma única transação. Se um usuário depositar tokens em um contrato trac ele precisará pagar adicionalmente pelo gás. Mas se um contrato trac de forma maliciosa, nesse caso ele poderá retirar qualquer quantidade de tokens da carteira.
Assim, a melhor prática para máxima segurança é sempre verificar o valor aprovado e aprovar apenas o valor necessário para a operação do trac .
P: Os hackers estão ficando mais inteligentes ou os usuários de criptomoedas estão se tornando menos cautelosos com seus procedimentos de segurança cibernética?
Ambas as afirmações são verdadeiras. Os hackers fizeram grandes progressos na exploração de plataformas de empréstimos instantâneos em conjunto com diferentes protocolos para criar e explorar vulnerabilidades. Por si só, essas outras plataformas são seguras na maior parte do tempo, mas os empréstimos rápidos criam mais complexidade estrutural, o que torna as vulnerabilidades mais frequentes.
Esses ataques são muito complexos.
Até a análise deles leva muito tempo. E também há muitos hacks de projetos que possuem apenas códigos ruins com bugs simples que provavelmente seriam eliminados se os testes fossem feitos ou o código fosse auditado adequadamente. Parte da culpa também é dos usuários, pois muitos deles conhecem práticas seguras que minimizam os riscos, como o armazenamento refrigerado, por exemplo. Mas muitas vezes eles os ignoram, perdendo a cabeça diante de uma oportunidade que pode lhes trazer um ROI múltiplo. Às vezes, eles acabam simplesmente perdendo dinheiro.
P: Como os usuários podem proteger melhor seus ativos no Metamask e em dapps associados, como OpenSea e DeFi ?
A melhor proteção não é armazenar todos os ativos em carteiras quentes, mas enviá-los para carteiras frias: estas últimas não têm acesso à Internet.
É melhor armazenar apenas uma pequena quantidade de ativos necessários para operações em carteiras quentes e manter o restante em armazenamento refrigerado. Além disso, os usuários devem seguir regras de segurança padrão: fazer uso de antivírus, evitar abrir links suspeitos em e-mails e usar autenticação de dois fatores quando possível.
P: Você acha que hacks e explorações se tornarão mais comuns à medida que a indústria crescer?
À medida que a indústria cresce e mais projetos são lançados, mais deles enfrentarão o risco de serem hackeados. Você não pode eliminar todos os bugs em todos os projetos, mas as empresas de segurança blockchain estão constantemente trabalhando para minimizá-los. Isso não inclui apenas auditorias do código-fonte dos projetos, mas também o desenvolvimento de ferramentas analíticas que ajudarão a prevenir o aparecimento de bugs ou, pelo menos, a encontrá-los nos estágios iniciais de desenvolvimento.
P: Qual o papel do HashEx na expansão da indústria de criptomoedas?
Esclarecemos as pessoas sobre a transparência e segurança no uso de aplicativos descentralizados. A lógica de seu trabalho é muito complexa e pouco clara para ser entendida por um usuário comum. Além disso, nenhuma pessoa sensata confiaria seu dinheiro a algo que não entende, como Pinóquio no Campo dos Milagres. Explicamos noções complexas em termos simples e trazemos à luz as armadilhas que as pessoas devem conhecer e tentar evitar, e também ajudamos potenciais investidores a tomar uma decisão bem informada sobre os seus fundos.
Mas, principalmente, somos uma empresa de auditoria centrada em DeFi e criptomoedas. Isso significa que fazemos muitas auditorias de trac inteligentes e, assim, ajudamos os projetos de criptografia a ganhar a confiança dos investidores, à medida que os investidores confiam melhor nos projetos que estão bem protegidos de erros dispendiosos que podem atingir financeiramente os seus investidores.
P: O que você acha do G7 e do dent dos EUA, Joe Biden, sobre suas medidas para acabar com o ransomware, a segurança cibernética e os freqüentes hacks de criptografia?
A melhoria constante dos padrões de segurança faz parte da nossa rotina e da nossa ideologia corporativa. Procuramos trazer confiança para o espaço DeFi sem confiança. E esta questão é crucial em qualquer domínio de TI, não apenas DeFi . Com o rápido surgimento de novos produtos de software, infelizmente não se presta atenção suficiente ao aspecto da segurança cibernética, o que cria oportunidades de exploração para os hackers. Há duas razões principais para isto: a “programação de cliques do rato” e uma força de trabalho de baixa qualidade à qual são oferecidos salários desnecessariamente elevados.
Esta é uma desvantagem dos negócios de TI em rápido crescimento. Neste ambiente implacável, as empresas estão a tentar estar à frente umas das outras, oferecendo novos produtos e, muitas vezes, fechando os olhos às questões de segurança, apesar da sua importância. Como resultado, às vezes obtemos grandes sistemas, que são utilizados por um grande número de clientes, mas ainda apresentam bugs que podem levar à perda de fundos dos usuários. Às vezes, as consequências destes erros podem até abranger todo o continente.
Deste ponto de vista, a interferência governamental é completamente justificada. Se não fosse o envolvimento dos governos estaduais com essas questões, quem mais iria reprimir os empresários gananciosos e convencê-los a dedicar esforços às medidas de segurança e ao desenvolvimento de software de maneira sensata?
Se as pessoas começarem a denunciar hacks às agências governamentais, isso terá um efeito positivo. A informação atempada pode ajudar a minimizar as consequências de uma potencial ruptura, permitindo a utilização de canais de reservas (a situação do fornecimento de petróleo à Costa Leste dos EUA pode ser vista como um bom exemplo desta prática).
Padrões de segurança unificados em toda a indústria também seriam benéficos se fossem desenvolvidos por especialistas, e não por terceiros. Mesmo no atual estágio inicial de desenvolvimento de DApp, vemos tais padrões sendo implementados pelos principais auditores. A integração de tais protocolos ajudará a todos: tornará a programação mais fácil, os códigos mais seguros e também protegerá os fundos dos usuários.
P: Esses hacks falam sobre seu impacto na indústria de criptomoedas
O feedback para a indústria criptográfica é uma tentativa de controlar os fundos roubados. Eu acho que é uma coisa boa. Atualmente, você não pode obter todas as comodidades do mundo real por meio da criptomoeda. Esta situação muda a cada dia, mas está longe de ser perfeita. Portanto, os hackers ainda exigem uma ponte entre fundos criptográficos e fiduciários para retirar fundos adquiridos ilegalmente.
Esta é a fase em que os criminosos podem ser dent . Quanto mais deles forem encontrados, menos estarão dispostos a tentar fazê-lo novamente. Pode-se lembrar como eles costumavam cortar partes do corpo para roubo nas culturas orientais. Tais intervenções das agências de aplicação da lei estão a ter uma influência totalmente positiva na indústria criptográfica e na sua reputação. Essas ações fazem as pessoas se sentirem mais seguras.
P: Maus atores/jogadores por trás de muitos desses hacks de criptografia, que sanções você recomendaria para dissuadir outros?
Como já disse antes, sou totalmente a favor de penalizar esses indivíduos. Eu consideraria tais operações como fraude financeira de grau variável de gravidade e aplicaria a elas as medidas legais correspondentes. Eu não estaria tentando elaborar novas leis neste momento.
P: Um mundo criptográfico sem hacks é quase impossível de alcançar. Como as partes interessadas na criptografia, os legisladores e todos podem reduzir os ataques ao mínimo?
Qualquer domínio de TI não é concebível sem ameaças cibernéticas. Mas quando falamos de empresas comuns, vemos apenas a ponta do iceberg, e não o quadro completo. Há muito mais hacks ocorrendo que chamam a atenção porque as empresas podem minar sua reputação se tal conhecimento se tornar público. Com as criptomoedas, tudo é transparente e conhecido publicamente, por isso os meios de comunicação de massa escrevem sobre essas coisas com mais frequência.
A segurança cibernética é uma prática multidimensional, que inclui estruturas regulatórias nos pontos de saída e entrada de criptografia para moeda fiduciária, educação do usuário, equipes de segurança cibernética verificando o código, etc. Esta indústria ainda é jovem, o que oferece uma excelente oportunidade para orientá-la nos vetores certos. de desenvolvimento. Dessa forma, podemos utilizar práticas mais seguras desde o início, em vez de tentar consertar buracos em algum lugar no futuro.
