Sa Papuri sa mga White-Hat Hacker, ngunit Ang Overreliance ay Kamangmangan

Noong Agosto, Nomad, isang platform na nagpapahintulot sa mga user na maglipat ng mga token sa pagitan ng iba't ibang blockchain, naging biktima ng hack na inubos ang mga gumagamit nito ng halos $200 milyon.

Ang mga tagubilin sa kung paano isagawa ang pag-atake ay kumakalat na parang napakalaking apoy sa buong Twitter, na ginagawang libre-para-sa-lahat ang isang one-off na pagnanakaw sa sinumang maaaring kumopya at mag-paste ng isang transaksyon sa Ethereum blockchain.

Habang ang mga hacker ng black-hat ay tumakas kasama ang milyun-milyon, ang tinatawag na "mga puting sumbrero" - mga mabuting Samaritano - ay ninakawan ang mga pondo upang maibalik nila ang mga ito sa Nomad. Sama-sama, ang grassroots rescue effort nag-iingat ng higit sa $38.5 milyon mula sa mga kamay ng mga umaatake.

Ang mga hacker ng white-hat ay gumaganap ng isang kritikal na papel sa pag-secure ng Web3 ecosystem, at gayon pa man, ayon sa DarkFi. ETH – ONE sa mga hacker na nagsamantala sa Nomad upang iligtas ang mga pondo nito mula sa mga umaatake – ang mga altruistikong hacker ay T sapat na binabayaran at nagpapatakbo sa isang hindi malinaw na legal na tanawin.

Nomad x DarkFi case study

DarkFi. ETH (walang kaugnayan sa DarkFi, ang layer 1 blockchain na may Lunarpunk pilosopiya) ay ONE sa mga puting sumbrero na nagnakaw at pagkatapos ay nagbalik ng humigit-kumulang $2 milyon mula sa Nomad tulay.

Nang makita ng DarkFi ang mga kahina-hinalang transaksyon na dumadaloy sa loob at labas ng Nomad bridge smart contract, kinopya at i-paste ng hacker ang format ng mga katulad na transaksyong iyon sa sarili niyang mga bagong transaksyon. Biglang lumitaw ang ilan sa mga pondo ng Nomad – mga pondo na teknikal na pagmamay-ari ng mga user ng Nomad – sa Crypto wallet ng DarkFi.

Mabilis na kumilos ang pseudonymous na hacker, na naalala sa isang panayam sa CoinDesk na napansin niya ang "potensyal na makakuha ng higit pa sa perang ito [ng Nomad] bago ito kunin ng iba pang mga malisyosong aktor."

Inulit ng DarkFi ang transaksyong maraming beses (ONE, dalawa, tatlo, apat, lima).

Bukod sa layunin, ang DarkFi at iba pang puting sumbrero ay gumanap ng eksaktong kaparehong mga hakbang gaya ng mga nananamantala sa Nomad: pag-withdraw ng mga pondo nang walang pahintulot ng mga may-ari.

Gusto ng DarkFi na magligtas ng mas maraming pera, ngunit sinabi niya na "talagang pinigilan niya ang pagkuha ng higit pa" dahil siya ay "nag-aalala tungkol sa mga epekto ng paggawa nito."

"Kahit na ganap kong nilayon na ibalik ang pera, ito ay medyo hindi malinaw," sabi ng DarkFi.

Mga puting sumbrero at itim na sumbrero

Ang mga hacker na nag-scan ng software code upang matukoy ang mga potensyal na kahinaan ay nakikilala sa pamamagitan ng kanilang metaporikal na puti at itim na sumbrero.

Ang mga itim na sumbrero ay sadyang sinasamantala ang mga kahinaan na kanilang nahanap – pagnanakaw ng Crypto, pang-blackmail sa mga negosyo o pagbebenta ng kanilang mga natuklasan sa isang underground na criminal marketplace. Stephen Tong, co-founder ng security audit firm Zellic.io, tinatawag itong mga hacker na "mersenaryo."

"Ang mga itim na sumbrero ay naghahanap lamang para sa kanilang sarili sa halos lahat ng oras, maging iyon ay para sa kita o libangan," sinabi ni Tong sa CoinDesk sa isang panayam.

"Ang mga puting sumbrero, sa kabilang banda, ay mahigpit na nagsisikap na gawin ang tama. Sinusubukan nilang kumilos nang may mabuting pananampalataya, "sabi niya.

Sa konteksto ng Web3, ang mga puting sumbrero ay karaniwang nag-aalerto sa mga developer ng protocol sa sandaling matuklasan nila ang isang bug na nangangailangan ng pag-patch. Bilang kapalit ng responsableng pagsisiwalat ng mga bug, karaniwang ginagantimpalaan ng mga protocol ang mga puting sumbrero ng ilang uri ng bounty.

Minsan, tulad ng sa kaso ng Nomad, ang mga puting sumbrero ay makakatuklas ng isang bug na napakatindi kaya nagpasya silang pagsamantalahan ito mismo - pag-secure ng mga pondong nasa panganib at ibinalik ang mga pondo sa protocol bago sila manakaw ng isang taong may masamang layunin.

Sa mga kasong ito, kapag ang orihinal na hangarin ng isang hacker ay mahirap itigil (marahil ay ibinalik lamang nila ang mga pondo dahil sa takot sa pagpapatupad ng batas), kung paano - at kung - dapat silang bayaran ay maaaring maging mahirap para sa isang protocol na magpasya.

Isyu sa Disclosure ng kahinaan

Itinampok ng DarkFi ang isang karaniwang isyu para sa mga puting sumbrero: Disclosure ng kahinaan .

Kapag alam ng isang hacker na ang isang protocol ay masusugatan sa mga pondong nasa panganib na ma-withdraw nang walang pahintulot ng mga may-ari, dalawang pagpipilian ang lilitaw para sa hacker:

• Samantalahin ang kahinaan upang ma-secure mismo ang mga pondo na may layuning ibalik ito
• I-alerto ang proyekto nang hindi sinasamantala ang kahinaan

Kung kinuha ng isang puting sumbrero ang unang pagpipilian at pinagsamantalahan ang kahinaan, "ang legal na katayuan ng iyong ginagawa ay napakataas sa hangin. Sa teknikal, maaari ka pa ring idemanda ng isang proyekto kung gumawa ka ng white-hat work at magnakaw ng pera upang i-save ito mula sa isang black-hat hacker," sabi ng DarkFi.

Ang problema sa pangalawang opsyon ay T insentibo ang proyekto na bayaran ka ng buong halaga kapag nasabi mo na sa proyekto ang bug. Ipinahiwatig ni Tong na dahil naibalik na ang mga pondo o na-patch na ang mga kahinaan, nawawalan ng insentibo ang proyekto na bayaran ang pinakamataas na halagang kaya nito at ang puting sumbrero ay may mas kaunting leverage.

Sa parehong mga sitwasyon, ang mga hacker na may puting sumbrero ay karaniwang nagnanais ng gantimpala dahil nailigtas nila ang isang protocol mula sa mas malaking pagkawala. Ngunit sa parehong oras, ang mga puting sumbrero ay T gustong lumabas bilang mga extortionist - humahawak ng mga pondo o impormasyon na hostage maliban kung sila ay "patas" na nabayaran.

Ang isyu ng Disclosure ng kahinaan ay “an problema sa pag-optimize," sabi ni Tong. "Dahil gusto mong mabawasan ang sakit" para sa mga developer, user at hacker.

Kung ang layunin ay i-minimize ang mas maraming sakit para sa mga developer at user, ang isang proyekto ay mag-aayos lamang ng kahinaan at hindi magbibigay sa hacker ng anuman. At kung ang layunin ay mabawasan ang sakit ng hacker, babayaran ng isang proyekto ang hacker, isang sakit na punto para sa mga kinauukulan.

Posible bang magkaroon ng patas na kinalabasan na nagpapasaya sa lahat?

Sabi ni Tong, "Hindi ... Sa karamihan ng mga senaryo ng white-hat, talagang walang win-win scenario."

Naiwan ang pera sa mesa

Ibinalik ng DarkFi ang mga pondo sa Nomad sa tatlong transaksyon (ONE, dalawa, tatlo) dati Si Stani Kulechov, ang nagtatag ng decentralized Finance (DeFi) lending platform Aave, ay nag-alok mga tiket sa party sa mga puting sombrero at bago ipahayag ng Nomad ang “an hanggang 10% bounty sa mga hacker ng Nomad Bridge kung saan ituturing ng Nomad na isang puting sumbrero ang sinumang partido na magbabalik ng hindi bababa sa 90% ng kabuuang mga pondong na-hack nila.”

Kung ang isang hacker ay nanakawan ng $1 milyon, nagbalik ng $900,000 at nagbulsa ng $100,000, ituturing ng Nomad ang hacker na isang puting sumbrero at hindi ituloy ang legal na aksyon.

T nakakatanggap ang DarkFi ng ticket ng rAAVE mula kay Kulechov o ng reward mula sa Nomad.

Bukod pa rito, binabanggit ang Arbitrum's 400 ETH na reward sa 0xriptide pagkatapos ng hacker na iyon ay nakahanap ng isang kritikal $400 milyon na kahinaan, sinabi ng DarkFi na ang mga bounty ay T sapat sa simula, sinasabing ang mga proyekto ay may posibilidad na maging maramot.

"Ito ay dapat na isang napakahusay na suweldo na trabaho upang maging isang puting sumbrero," sabi niya.

"Ang paggawang mas malinaw kung paano namin pinahahalagahan ang mga puting sumbrero sa espasyo ay napakahalaga upang sa hinaharap ay T maiiwan ang pera sa mesa para sa mga itim na sumbrero," sabi ng DarkFi.

T nagbalik si Nomad ng Request para sa komento sa oras ng press.

5-5 na pamantayan ni Sam Bankman-Fried

Noong nakaraang buwan, FORTH si Sam Bankman-Fried, CEO ng Crypto exchange FTX isang bagong pamantayan ng komunidad para sa mga hacker na sangkot sa isang paglabag sa seguridad.

Ang “5-5 standard,” na pinahahalagahan ang proteksyon ng customer at user “higit sa lahat,” ay inuuna ang paggawang muli ng mga customer bago bigyan ng reward ang isang etikal na hacker.

Ayon kay Bankman-Fried, ang pamantayan ay gumagana lamang kapag ang hacker ay kumikilos nang may mabuting pananampalataya mula pa sa simula. Upang ituring ng komunidad bilang isang "magandang artista" o isang puting sumbrero, dapat ibalik ng hacker ang hindi bababa sa 95% ng mga ninakaw na pondo.

"Kung ang 5-5 na pamantayan ay sinunod, ayon sa kasaysayan, mababawasan nito ang epekto ng mga hack ng higit sa 98%," sabi ni Bankman-Fried.

Ang isang onsa ng pag-iwas ay nagkakahalaga ng kalahating kilong lunas

Ang dami ng beses na pinigilan ng mga hacker na may puting sumbrero ang isang protocol mula sa pagsasamantala ay nagpapakita ng mga alalahanin tungkol sa kung paano umaasa ang Web3 ecosystem sa kanila upang mahuli ang mga kritikal na kahinaan.

Habang ang mga puting sumbrero ay may malaking tungkulin sa seguridad ng Crypto ecosystem, "talagang hindi OK na umasa sa mga puting sumbrero upang KEEP kang ligtas dahil iyon ang uri ng huling linya ng depensa," sabi ni Tong. “Iyan ay tulad ng huling saving grace na pumipigil sa iyo na ma-hack dahil kung ikaw ay nagiging 'white-hatted,' hindi na iyon magandang sitwasyon."

Ayon kay Tong, ang mas masusing at mahigpit na mga kasanayan sa pag-unlad ay kailangang maitatag sa katagalan dahil "ang isang onsa ng pag-iwas ay nagkakahalaga ng isang kalahating kilong lunas."

Ang Disclosure ng white-hat bug ay "isang emergency na may silver lining. Ibinalik ang iyong pera kahit na may nang-hack," sabi ni Tong. "Ang takeaway ay [na] ang kahinaan ay dapat na nahuli sa panahon ng pag-unlad. Dapat itong nahuli sa panahon ng pag-audit."