Интервью: Почему хакеры продолжают атаковать протоколы и решения DeFi ?

Краткое содержание

• Продолжается резкий рост числа хакерских атак на крипто- и DeFi протоколы.
• В 2021 году в результате атак на криптоиндустрию было потеряно более 7 миллиардов долларов.
• Почему хакеры продолжают атаковать криптоиндустрию.

Волна хакерских атак на пространство DeFi и, как следствие, на криптовалютную индустрию продолжает вызывать обеспокоенность в этой отрасли.

По имеющимся данным , взлома блокчейновdentв 2021 году произошло 169 , в результате которых хакеры потеряли почти 7 миллиардов долларов. За последний месяц было зарегистрировано не менее пяти случаев взлома криптовалют , причем последним пострадавшим стал DeFi -протокол Cream Finance . Сообщается, что было украдено более 130 миллионов долларов

В связи с этим Cryptopolitan побеседовал с Дмитрием Мишуниным, генеральным директором и основателем HashEx, научно-исследовательской компании, специализирующейся на интеграции блокчейна в бизнес-процессы и кибербезопасности. Дмитрий обладаетtronтехническим опытом в области кибербезопасности и децентрализованных приложений, а также впечатляющим опытом разработки систем информационной безопасности.

Ниже приведены выдержки из интервью

В: Вас удивляет количество взломов и уязвимостей, с которыми пользователи сталкиваются в последнее время?

К сожалению, нет. Мы видим, что всё больше и больше людей пишут свои смарт-trac. Но часто им не хватает достаточных знаний в программировании и хорошего понимания Solidity — в настоящее время единственного языка программирования, совместимого с Ethereum. Хорошее понимание языка программирования является обязательным условием для создания надежного протокола DeFi , а незнание некоторых его нюансов может легко привести к уязвимостям и краже средств.

В: Каким образом принятие или подписание смарт-trac, содержащего вредоносный код, может привести к краже ваших активов?

Каждый пользователь должен знать, что транзакции в блокчейне необратимы: как только вы одобрите определенное количество токенов ERC-20 в смарт-контракте ERC-20tracони будут необратимо переведены на него. Контрактtracиметь проверенный исходный код без уязвимостей, но также может иметь в качестве зависимости непроверенную библиотеку. Одобрение токенов в таком контрактеtracс большим риском, поскольку вы не можете проверить, как работает библиотека.
проекта StableMarkettracимели проверенный код, но были развернуты с непроверенной библиотекой. Эта библиотека была вредоносной и украла токены пользователей, хранящиеся в протоколе.

Ещё один риск для пользователей связан с одобрением токенов для обновляемого смарт-контрактаtracтакой контрактtracбытьmaticобновлён вредоносным кодом и украсть одобренные токены.
Часто фронтенд-приложения одобряют максимальное количество токенов для контрактаtracа не только то, которое будет использовано. Это делается для оплаты газа в одной транзакции. Если пользователь вносит токены в контрактtracему потребуется дополнительно оплатить газ. Но если контрактtracзлонамеренно, в этом случае он может вывести любое количество токенов из кошелька.

Таким образом, наилучшей практикой для обеспечения максимальной безопасности является постоянная проверка суммы одобрения и утверждение только той суммы, которая необходима для выполнения контрактныхtrac.

В: Хакеры становятся умнее, или пользователи криптовалюты становятся менее осторожными в вопросах кибербезопасности?

Оба утверждения верны. Хакеры добились серьезных успехов в использовании платформ мгновенных займов в сочетании с различными протоколами для создания и эксплуатации уязвимостей. Сами по себе эти платформы в большинстве случаев безопасны, но мгновенные займы создают большую структурную сложность, что приводит к более частому появлению уязвимостей.

Подобные атаки очень сложны. Даже их анализ занимает много времени. Кроме того, часто взламывают проекты, в которых просто содержится некачественный код с простыми ошибками, которые, скорее всего, можно было бы устранить, если бы проводились тесты или код был должным образом проверен.
Частично вина лежит и на пользователях, поскольку многие из них знают о безопасных методах, минимизирующих риски, таких как, например, холодное хранение. Но они часто игнорируют их, упуская возможность получить многократную прибыль. Иногда они просто теряют деньги.

В: Как пользователи могут лучше защитить свои активы в Metamask и связанных с ним децентрализованных приложениях, таких как OpenSea и DeFi?

Наилучшей защитой является не хранение всех активов в горячих кошельках, а их перевод в холодные: последние не имеют доступа к интернету. Лучше всего хранить в горячих кошельках лишь небольшое количество активов, необходимых для операций, а остальное — в холодном хранилище.
Кроме того, пользователям следует соблюдать стандартные правила безопасности: использовать антивирусы, избегать открытия подозрительных ссылок в электронных письмах и по возможности использовать двухфакторную аутентификацию.

В: Как вы считаете, будут ли взломы и эксплойты более распространены по мере развития индустрии?

По мере роста отрасли и запуска новых проектов, все больше из них будут сталкиваться с риском взлома. Невозможно устранить все ошибки во всех проектах, но компании, занимающиеся безопасностью блокчейна, постоянно работают над их минимизацией. Это включает в себя не только аудит исходного кода проектов, но и разработку аналитических инструментов, которые помогут предотвратить появление ошибок или, по крайней мере, обнаружить их на ранних этапах разработки.

В: Какую роль играет HashEx в развитии криптовалютной индустрии?

Мы разъясняем людям прозрачность и безопасность использования децентрализованных приложений. Логика их работы слишком сложна и неясна для понимания обычным пользователем. Кроме того, ни один здравомыслящий человек не доверит свои деньги тому, чего он не понимает, подобно Пиноккио в царстве чудес. Мы объясняем сложные понятия простым языком и выявляем подводные камни, о которых люди должны знать и которых следует избегать, а также помогаем потенциальным инвесторам принимать взвешенные решения относительно своих средств.

Но в первую очередь мы являемся аудиторской фирмой, специализирующейся на DeFi и криптовалютах. Это означает, что мы проводим множество аудитов смарт-tracи тем самым помогаем криптопроектам завоевать доверие инвесторов, поскольку инвесторы больше доверяют проектам, которые хорошо защищены от дорогостоящих ошибок, способных нанести финансовый ущерб их инвесторам.

В: Что вы думаете о действиях Джо Байдена, как участника саммита «Большой семерки», так иdent США, направленных на борьбу с программами-вымогателями, кибербезопасностью и частыми криптоатаками?

Постоянное совершенствование стандартов безопасности является частью нашей повседневной работы и корпоративной идеологии. Мы стремимся привнести доверие в пространство DeFi , основанное на принципе отсутствия доверия. И этот вопрос имеет решающее значение в любой ИТ-сфере, а не только DeFi. К сожалению, с быстрым появлением новых программных продуктов аспекту кибербезопасности уделяется недостаточно внимания, что создает возможности для хакеров. Этому есть две основные причины: «программирование по щелчку мыши» и низкоквалифицированная рабочая сила, которой предлагаются неоправданно высокие зарплаты.

Это обратная сторона быстрорастущего ИТ-бизнеса. В этой жестокой среде компании стремятся опередить друг друга, предлагая новые продукты и зачастую закрывая глаза на проблемы безопасности, несмотря на их важность. В результате иногда мы получаем крупные системы, используемые большим количеством клиентов, но при этом содержащие ошибки, которые могут привести к потере средств пользователей. Иногда последствия этих ошибок могут достигать континентального масштаба.

С этой точки зрения вмешательство правительства полностью оправдано. Если бы не вмешательство правительств штатов в эти вопросы, кто бы еще смог пресечь корыстолюбие предпринимателей и убедить их направить усилия на меры безопасности и разработку программного обеспечения разумным образом?

Если люди начнут сообщать о взломах в государственные органы, это окажет положительный эффект. Своевременная информация может помочь минимизировать последствия потенциального сбоя, позволяя задействовать резервные каналы (ситуация с поставками нефти на восточное побережье США может служить хорошим примером такой практики).

Единые стандарты безопасности для всей отрасли также принесли бы пользу, если бы их разрабатывали эксперты, а не посторонние. Даже на нынешнем раннем этапе разработки децентрализованных приложений мы видим, как такие стандарты внедряются ведущими аудиторами. Интеграция таких протоколов поможет всем: это упростит программирование, повысит безопасность кода и защитит средства пользователей.

В: Эти взломы говорят сами за себя и показывают их влияние на криптовалютную индустрию

Обратная связь для криптоиндустрии — это попытка контролировать хищения средств. Я думаю, это хорошо. В настоящее время вы не можете получить все блага реального мира через криптовалюту. Эта ситуация меняется с каждым днем, но до совершенства еще далеко. Поэтому хакерам по-прежнему необходим мост между криптовалютой и фиатными деньгами для вывода незаконно полученных средств.

На этом этапе преступников можноdent. Чем больше их будет обнаружено, тем меньше будет желающих повторить попытку. Можно вспомнить, как в восточных культурах отрубали части тела для кражи. Подобные действия правоохранительных органов оказывают исключительно положительное влияние на криптоиндустрию и её репутацию. Эти действия создают у людей чувство большей безопасности.

В: Какие санкции вы бы рекомендовали применить к злоумышленникам, стоящим за многими из этих взломов криптовалюты, чтобы отпугнуть других?

Как я уже говорил, я всецело за наказание таких лиц. Я бы рассматривал подобные операции как финансовое мошенничество различной степени тяжести и применял бы к ним соответствующие юридические меры. На данном этапе я не стал бы пытаться разрабатывать новые законы.

В: Создание криптомира без взломов практически невозможно. Как заинтересованные стороны в криптомире, политики и все остальные могут свести атаки к минимуму?

Любая ИТ-сфера немыслима без киберугроз. Но когда речь идёт об обычном бизнесе, мы видим лишь верхушку айсберга, а не всю картину целиком. Происходит гораздо больше взломов, чем кажется на первый взгляд, потому что компании могут подорвать свою репутацию, если такая информация станет достоянием общественности. В случае с криптовалютами всё прозрачно и общеизвестно, поэтому средства массовой информации пишут об этом гораздо чаще.

Кибербезопасность — это многогранная практика, включающая в себя нормативно-правовые рамки на этапах ввода и вывода криптовалютных средств из обращения в фиатные деньги, обучение пользователей, проверку кода командами специалистов по кибербезопасности и т.д. Эта отрасль еще молода, что предоставляет прекрасную возможность направить ее в правильное русло развития. Таким образом, мы сможем с самого начала использовать более безопасные методы, вместо того чтобы пытаться залатать дыры где-то позже.