Éloge des hackers white hat, mais une confiance excessive est insensée

En août, Nomad, une plateforme qui permet aux utilisateurs de transférer des jetons entre différentes blockchains,a été victime d'un piratagece qui a privé ses utilisateurs de près de 200 millions de dollars.

Les instructions sur la façon d'exécuter l'attaque se sont répandues comme une traînée de poudre sur Twitter, transformant un braquage ponctuel en une mêlée générale ouverte à quiconque pouvait copier et coller une transaction sur la blockchain Ethereum .

Alors que les pirates informatiques s'emparaient de millions, les soi-disant « chapeaux blancs » – de bons samaritains – pillaient les fonds pour pouvoir les restituer à Nomad. L'opération de sauvetage locale a été menée dans son ensemble.conservé plus de 38,5 millions de dollarshors des mains des attaquants.

Les hackers white hat jouent un rôle essentiel dans la sécurisation de l'écosystème Web3, et pourtant, selonDarkFi. ETH – ONEun des pirates informatiques qui ont exploité Nomad afin de sauver ses fonds des attaquants – les pirates informatiques altruistes ne sont T suffisamment payés et opèrent dans un paysage juridique flou.

Étude de cas Nomad x DarkFi

DarkFi. ETH(sans rapport avecDarkFi, la blockchain de couche 1 avec leLunarpunk (philosophie) était ONEun des chapeaux blancs qui ont volé et ensuite restitué environ 2 millions de dollars au Nomad pont.

Lorsque DarkFi a constaté des transactions suspectes entrant et sortant du contrat intelligent Nomad Bridge, le pirate a copié-collé le format de ces transactions similaires dans ses propres transactions. Soudain, des fonds de Nomad – des fonds qui appartenaient techniquement à ses utilisateurs – sont apparus dans le portefeuille Crypto de DarkFi.

Le pirate informatique pseudonyme est rapidement passé à l'action, rappelant dans une interview avec CoinDesk qu'il avait remarqué le « potentiel de récupérer un peu plus de cet argent [de Nomad] avant qu'il ne soit récupéré par d'autres acteurs malveillants ».

DarkFi a répété la transaction boguée plusieurs fois (un,deux,trois,quatre,cinq).

Mis à part l’intention, DarkFi et d’autres white hats ont effectué exactement les mêmes étapes que les exploiteurs Nomad : retirer des fonds sans l’autorisation des propriétaires.

DarkFi voulait récupérer plus d'argent, mais il a déclaré qu'il avait « essentiellement attendu avant d'en prendre davantage » parce qu'il était « inquiet des répercussions que cela pourrait avoir ».

« Même si j'avais pleinement l'intention de rendre l'argent, ce n'était pas encore très clair », a déclaré DarkFi.

Chapeaux blancs et chapeaux noirs

Les pirates informatiques qui analysent le code des logiciels pour identifier les vulnérabilités potentielles sont identifiés par leurs chapeaux blancs et noirs métaphoriques.

Les hackers exploitent délibérément les vulnérabilités qu'ils découvrent : ils pillent des Crypto, font chanter des entreprises ou vendent leurs découvertes à des marchés criminels clandestins. Stephen Tong, cofondateur d'un cabinet d'audit de sécurité Zellic.io, qualifie ces pirates de « mercenaires ».

« Les chapeaux noirs ne pensent qu'à eux-mêmes la plupart du temps, que ce soit pour le profit ou le divertissement », a déclaré Tong à CoinDesk dans une interview.

« Les chapeaux blancs, quant à eux, s'efforcent strictement de faire ce qui est juste. Ils essaient d'agir de bonne foi », a-t-il déclaré.

Dans le contexte du Web3, les white hats alertent généralement les développeurs de protocoles dès qu'ils découvrent un bug nécessitant une correction. En échange de la divulgation responsable des bugs, les protocoles récompensent généralement les white hats par une prime.

Parfois, comme dans le cas de Nomad, les white hats découvrent un bug si grave qu'ils décident de l'exploiter eux-mêmes, en sécurisant les fonds à risque et en les restituant au protocole avant qu'ils ne soient volés par une personne mal intentionnée.

Dans ces cas, lorsque l’intention initiale d’un pirate informatique est difficile à déterminer (peut-être a-t-il restitué les fonds uniquement par crainte des forces de l’ordre), il peut devenir difficile pour un protocole de décider comment – et si – il doit être indemnisé.

Problème de Déclaration de transparence de vulnérabilité

DarkFi a mis en évidence un problème courant pour les white hats : la Déclaration de transparence des vulnérabilités.

Lorsqu'un pirate informatique sait qu'un protocole est vulnérable et que des fonds risquent d'être retirés sans l'autorisation des propriétaires, deux options s'offrent à lui :

• Exploiter la vulnérabilité pour sécuriser lui-même les fonds dans l'intention de les restituer
• Alerter le projet sans exploiter la vulnérabilité

Si un hacker white hat choisissait la première option et exploitait la vulnérabilité, « la légalité de son action est très incertaine. Techniquement, vous pouvez toujours être poursuivi par un projet si vous effectuez un travail white hat et volez de l'argent pour le sauver d'un hacker black hat », a déclaré DarkFi.

Le problème avec la deuxième option est que le projet n'est T incité à vous verser le montant total une fois que vous lui avez signalé le bug. Tong a indiqué qu'avec des fonds déjà remboursés ou des vulnérabilités déjà corrigées, le projet perd toute motivation à payer le montant maximum possible et le white hat a moins de poids.

Dans les deux cas, les hackers white hat recherchent généralement une récompense pour avoir sauvé un protocole d'une perte plus importante. Mais ils ne veulent T non plus passer pour des extorqueurs, retenant des fonds ou des informations en otage, à moins d'être rémunérés « équitablement ».

La question de la Déclaration de transparence des vulnérabilités est « une problème d'optimisation« », a déclaré Tong. « Parce que vous voulez minimiser la douleur » pour les développeurs, les utilisateurs et les pirates.

Si l'objectif est de minimiser les difficultés des développeurs et des utilisateurs, un projet se contenterait de corriger la vulnérabilité sans rien apporter au pirate. Et si l'objectif est de minimiser les difficultés du pirate, un projet le rémunérerait, ce qui serait un point sensible pour les responsables.

Est-il possible d’obtenir un résultat équitable qui satisfasse tout le monde ?

Tong dit : « Non… Dans la plupart des scénarios de white hat, il n’y a absolument aucun scénario gagnant-gagnant. »

L'argent laissé sur la table

DarkFi a restitué des fonds à Nomad en trois transactions (un,deux,trois)avant Stani Kulechov, le fondateur de la plateforme de prêt de Finance décentralisée (DeFi) Aave, a proposé billets de fêteaux chapeaux blancs et avant que Nomad n'annonce « unjusqu'à 10 % de primeaux pirates informatiques de Nomad Bridge, où Nomad considérera toute partie qui restitue au moins 90 % du total des fonds piratés comme un white hat.

Si un pirate informatique pillait 1 million de dollars, rendait 900 000 dollars et empochait 100 000 dollars, Nomad considérerait le pirate comme un white hat et n'engagerait pas de poursuites judiciaires.

DarkFi n'a T encore reçu de ticket rAAVE de Kulechov ni de récompense de Nomad.

En outre, citant ArbitrumRécompense de 400 ETH à 0xriptideaprès que le pirate ait trouvé une faille critiqueVulnérabilité de 400 millions de dollarsDarkFi a noté que les primes ne sont T assez élevées au départ, affirmant que les projets ont tendance à être radins.

« Être un chapeau blanc devrait être un travail très bien rémunéré », a-t-il déclaré.

« Il est très important de clarifier la manière dont nous apprécions les chapeaux blancs dans l'espace afin qu'à l'avenir, l'argent ne soit T laissé sur la table pour les chapeaux noirs », a déclaré DarkFi.

Nomad n'a T répondu à une Request de commentaire au moment de la mise sous presse.

La norme 5-5 de Sam Bankman-Fried

Le mois dernier, Sam Bankman-Fried, PDG de la plateforme d'échange de Crypto FTX, a FORTH une nouvelle norme communautairepour les pirates informatiques impliqués dans une faille de sécurité.

La « norme 5-5 », qui valorise la protection des clients et des utilisateurs « avant tout », donne la priorité à la réparation des clients avant de récompenser un pirate informatique éthique.

Selon Bankman-Fried, la norme ne fonctionne que si le pirate agit de bonne foi dès le départ. Pour être considéré par la communauté comme un « bon acteur » ou un « white hat », le pirate doit restituer au moins 95 % des fonds volés.

« Si la norme 5-5 avait été respectée, historiquement, elle aurait réduit l’impact des piratages de plus de 98 % », a déclaré Bankman-Fried.

Mieux vaut prévenir que guérir

Le nombre de fois où des hackers white hat ont empêché l'exploitation d'un protocole met en évidence les inquiétudes quant à la manière dont l'écosystème Web3 s'appuie trop sur eux pour détecter les vulnérabilités critiques.

Bien que les white hats jouent un rôle important dans la sécurité de l'écosystème Crypto , « il est absolument inacceptable de compter sur eux pour KEEP votre sécurité, car c'est en quelque sorte la dernière ligne de défense », a déclaré Tong. « C'est comme la dernière chance de vous protéger du piratage, car être victime d'un white hat n'est déjà pas une situation idéale. »

Selon Tong, des pratiques de développement plus rigoureuses et plus approfondies doivent être établies à long terme, car « mieux vaut prévenir que guérir ».

Une Déclaration de transparence de bug par un hacker white hat est « une urgence avec un bon côté. Votre argent a été remboursé même si quelqu'un piratait », a déclaré Tong. « Le point à retenir est que la vulnérabilité aurait dû être détectée dès le développement. Elle aurait dû l'être lors de l'audit. »