Награждение хакеров, которые соглашаются вернуть часть украденных средств, не только “создает моральный риск”, но и потенциально “приводит к большему количеству нарушений безопасности”, утверждает эксперт по Web3. Последние атаки на Kronos и Kyberswap, а также последующие попытки вовлечь хакеров, якобы демонстрируют, почему жертвы атак не должны полагаться на умиротворение злоумышленников.
Эксперт говорит, что вознаграждение хакерам за обнаружение уязвимостей "по сути создает моральный риск"
Эта статья была опубликована более года назад. Некоторая информация может быть неактуальной.
АВТОР
ПОДЕЛИТЬСЯ
Эффективность и важность аудита кода
Согласно последнему отчету Immunefi о потерях в криптовалютах report, киберпреступники успешно выкачали более чем 1,7 миллиарда долларов с децентрализованных и централизованных платформ обмена цифровыми активами за первые одиннадцать месяцев 2023 года. Воровство было осуществлено путем хакинга, фишинговых атак и откровенного мошенничества.
Такие атаки участились и стали более дерзкими за последние несколько месяцев, заставляя многих, включая сторонников децентрализованных платформ, сомневаться в эффективности аудита кода и в том, как защищены средства пользователей. В то же время другие, например Давиндер Сингх, технический директор криптоплатформы Rocketx, соглашаются с теми, кто выступает против награждения хакеров. По словам Сингха, награждение хакеров, которые согласны вернуть часть украденных средств, “по существу создает моральный риск”.
Несмотря на то что эти вознаграждения предназначены для помощи децентрализованным финансовым (DeFi) платформам в улучшении их безопасности и защите пользователей от вредоносных атак, Сингх сказал Bitcoin.com News, что предложение таких наград “непреднамеренно стимулирует злонамеренные деяния и потенциально приводит к большему количеству нарушений безопасности”.
Недавние атаки на Kronos и Kyberswap, а также последующие попытки вовлечь хакеров, потенциально демонстрируют, почему биржевые платформы не должны полагаться исключительно на умиротворение их. Например, злоумышленник, стоящий за эксплойтом Kyberswap, недавно предъявил несколько кажущихся нелепыми требований, включая требование полного контроля над Kyber.
Как сообщается в Bitcoin.com News, хакер ищет более выгодное соглашение, чем предложение команды Kyberswap. Этот пример может подтвердить аргумент о том, что платформы DeFi должны больше сосредоточиться на поиске способов предотвращения атак.
Отслеживание хакеров
Тем не менее, Фрейзер Эдвардс, генеральный директор сети конфиденциальных платежей Cheqd, рассказал Bitcoin.com News, что кроме помощи платформам в восстановлении некоторых средств, предложение наградить хакеров также помогает биржам выявить злоумышленников.
“Предложение и любой ответ создает возможность получить больше информации о хакере, которая может выдать его. Например, используют ли они специфические каналы связи или имена пользователей, которые могут привести к настоящей личности? Хороший пример здесь – это как Росс Ульбрихт из Silk Road был идентифицирован через его имя пользователя/псевдоним, связанный через многочисленные форумы, в конечном итоге с его настоящей личностью,” объяснил Эдвардс.
Между тем, Николай Ангелов, руководитель блокчейн-проектов в криптокредитной компании Nexo, настаивает на том, что хотя баг-баунти полезны для помощи децентрализованным биржевым платформам в возврате украденных средств, они также помогают хакерам отмывать деньги. Кроме того, в некоторых известных высокопрофильных случаях, когда хакеры соглашались вернуть украденные средства, в итоге возвращенная сумма составила менее 90%.
Падение доверия пользователей
Когда хакеры легко уходят с украденными миллионами долларов, это неизбежно подрывает доверие к платформам цифровых активов. Чтобы восстановить доверие, Ангелов сказал, что платформы должны использовать “проверки кода программного обеспечения в реальном времени, чтобы предотвратить уязвимости.”
Хотя так называемые хакеры в белых шляпах могут быть мотивированы вызовом или наградой, хакеры, поддерживаемые государством, напротив, не имеют желания возвращать средства. Поэтому баг-баунти могут не быть эффективным способом попытки возврата средств. По словам Ангелова, операторы, которые подверглись нападениям, организованным государственно поддерживаемыми актерами, такими как группа Lazarus, связанная с Северной Кореей, должны “активно искать сотрудничество с государственными органами, чтобы предотвратить попадание украденных средств на их платформы.”
Сингх, разделяющий аналогичные мысли, призвал участников DeFi сотрудничать, обмениваясь разведданными и принимая передовые стратегии защиты. Он добавил:
“Эта коллективная работа имеет решающее значение для защиты децентрализованной финансовой экосистемы от сложных государственно поддерживаемых угроз.”
Каковы ваши мысли по этому поводу? Сообщите нам, что вы думаете, в разделе комментариев ниже.
