Ang pagtawag sa isang Hack na isang Exploit ay nagpapaliit ng Human Error

Kahapon, simula sa 18:24 UTC, sinamantala ng isang tao o isang bagay ang isang kahinaan sa seguridad sa Wormhole, isang tool na nagpapahintulot sa mga user na magpalit ng mga asset sa pagitan ng Ethereum at isang bilang ng mga blockchain, na nagreresulta sa pagkawala ng 120,000 na nakabalot na ether (o wETH, na nagkakahalaga ng humigit-kumulang $321 milyon) sa platform.

Ito ang pangalawang pinakamalaking pag-atake ng desentralisadong Finance (DeFi) hanggang ngayon, ayon sa leaderboard ni rekt, sa isang industriya kung saan ang mga pagsasamantala sa seguridad ay medyo karaniwan at bahagi ng curve ng panganib ng mga user. Mayroong isang buong negosyo na gawa sa mga review ng code, isang leksikon ng jargon na tukoy sa industriya upang ipaliwanag kung ano ang nangyayari at isang bagay ng isang playbook na Social Media kung at kailan hindi maiiwasang mangyari ang "mga hack."

Ang artikulong ito ay hinango mula sa The Node, ang pang-araw-araw na pag-iipon ng CoinDesk ng mga pinakamahalagang kwento sa blockchain at Crypto news. Maaari kang mag-subscribe upang makuha ang buo newsletter dito.

Ang Wormhole, bukod sa paghuli at pag-patch ng bug na ito kanina, ay tila sinubukang gawin ang tamang bagay: Isinara nila ang platform upang maiwasan ang karagdagang pagkalugi, inabisuhan ang publiko ng kanilang nalalaman at inanunsyo na ang Jump Trading ay nasa linya na lagyang muli ang mga ninakaw na barya.

Read More: Ang Blockchain Bridge Wormhole ay Nagdurusa sa Posibleng Pagsamantala na Nagkakahalaga ng Higit sa $326M

Higit pa rito, sa isang hakbang na nagiging mas karaniwan, ang Wormhole Deployer ay nag-post ng isang bukas na mensahe sa mapagsamantala sa Ethereum na nag-aalok sa kanila ng "kasunduan sa puting sumbrero" at $10 milyon para sa isang paliwanag ng pag-atake kapalit ng mga ninakaw na pondo.

Ipagpaumanhin ang simile, ngunit ito ay tulad ng paghihintay para sa isang salamangkero upang hilahin ang isang kuneho mula sa isang tuktok na sumbrero. Ang mundo ay naghihintay upang makita kung nakikipag-ugnayan sila sa isang "puti" o "itim" na hacker ng sumbrero, mga terminong nilalayong ipaliwanag ang mga motibasyon ng isang hacker. Ang katotohanan ay malamang na maging mas kulay abo.

Mga hack kumpara sa mga pagsasamantala

"Ang mga hacker ng black hat ay mga kriminal na pumapasok sa mga network ng computer na may malisyosong layunin," ayon sa mga eksperto sa seguridad ng Kaspersky. Maaari silang gumamit ng malware, magnakaw ng mga password o mag-exploit ng code dahil ito ay nakasulat para sa "self-serving" o maaaring "ideological" na mga dahilan. Ang mga puting sumbrero, aka "mga etikal na hacker" o "magandang hacker," ay ang "antithesis." "Sinasamantala nila ang mga computer system o network upang matukoy ang kanilang mga bahid sa seguridad upang makagawa sila ng mga rekomendasyon para sa pagpapabuti," sumulat si Kaspersky.

Dahil sa paraan ng pagdidisenyo ng mga Crypto network, madalas na hindi malinaw kung sino ang iyong kinakaharap. Umiiral ang mga user bilang mahabang string ng alphanumeric gibberish, at ang kanilang nakaraan ay nabawasan sa isang serye ng mga transaksyon na konektado sa kanilang address.

Ang sistemang ito ay may ilang mga benepisyo. Kahit na ang mga platform ay T "kilala" ang kanilang "mga customer," ang lahat ng mga transaksyon ay naitala sa kadena at sinuman ay maaaring "i-verify" kung aling mga barya ang pag-aari. Ang mga pagsasamantala ng DeFi ay madalas na walang katapusan: Ang mga palitan, na ginagamit bilang on at off-ramp papunta at mula sa Crypto economy, ay maaaring i-blacklist ang mga ninakaw na pondo, na binabawasan ang utility at halaga ng token sa wala.

Iyon ay maaaring ipaliwanag kung bakit ang ilan sa mga pinakatanyag na pagsasamantala ay nakikita ng mga mastermind na nagbabalik ng kanilang mga regalo. Halimbawa, noong nakaraang Agosto, ang POLY Network "hacker," nang sila ay tinukoy, ibinalik ang halos lahat ng $610 milyon na halaga ng mga ninakaw na Crypto asset, at hiniling sa mga tao na makita ang kanilang pagsasamantala bilang isang "white hat hack," na nilalayong magdala ng kamalayan sa isang mapaminsalang bug.

Maaaring ito ay muling pagsulat ng kasaysayan – isang post hoc na paliwanag para sa isang pag-atake na sa huli ay hindi maayos na naisakatuparan? Ito ay maaaring mangyari muli: T namin alam ang mga motibasyon ng Wormhole exploiter, ngunit ang koponan ng tulay ay tila humihiling na kainin nila ang bug kapalit ng isang malinis na $10 milyon.

Sa isang kahulugan, ang sistema ay naka-set up sa pabor ng isang umaatake. Kapag ginamit ng isang tao ang code ayon sa pagkakasulat nito, ngunit hindi ayon sa nilalayon, tutukuyin iyon ng mga technologist bilang isang "pagsasamantala." Ang code ay binibigyang prayoridad kaysa sa aksyon ng Human , upang ang mga pagkakamali ng Human - tulad ng fat fingering sa isang masamang transaksyon o nawawala ang isang nakanganga na butas ng seguridad - ay ipinaliwanag bilang isang natural na proseso ng code.

Ang isang pag-atake ay itataas lamang sa antas ng isang "hack" kapag ang code ay muling isinulat o nasira. Ito ay isang mahalagang teknolohikal na pagkakaiba, kahit na ang mga termino ay malamang na nagmula sa industriya ng paglalaro kung saan ang "pagha-hack" ng isang laro upang makakuha ng hindi patas na kalamangan ay madalas na ikinakunot ng noo samantalang ang "mga pagsasamantala," o paghahanap ng mga butas sa laro, ay ipinagmamalaki.

Malamang na makatarungang sabihin na ang kamakailang pag-atake na ito ay T bahagi ng mga plano o motibasyon ng Wormhole Deployer. Ang isang pagkakamali sa code ay tila nagawa, o hindi natagpuan, at ang mga solusyon ay ginagawa. Maaaring tumuro ito sa "pangunahing mga limitasyon sa seguridad ng mga tulay," gaya ng sinabi ng co-creator ng Ethereum na si Vitalik Buterin sa isang prescient na pag-post sa blog ilang linggo na ang nakalipas.

Ang umaatake ay nagsagawa ng isang serye ng mga transaksyon upang ang Wormhole na "matalinong kontrata" ay nalilito na maling ginawa wETH ang tunay na bagay - isang buong breakdown dito. Ito ay isang butas na nagawa ng isang taong may malalim na kaalaman at maraming oras.

Isasaalang-alang ng ilang mga tao ang pag-atake na ito bilang isang kontribusyon sa pangkalahatang katawan ng kaalaman tungkol sa Crypto. Ang ilan ay nagsabi pa nga na ang prosesong ito ay maaaring humantong sa huli "hindi na-hack na code," dahil ang bawat matalinong kontrata ay isang potensyal na "milyong dolyar na bug bounty."

Kaya, sulit na itanong kung ang wikang ginagamit ng Crypto upang ipaliwanag ang napakaraming kahinaan nito (mga panganib na nakasalansan sa mga panganib) ay nag-aambag sa patuloy na negosyong gawa sa mga hack. O kung minsan ay kumukuha tayo ng mga kahulugan mula sa mga sumbrero.