Chiamare un hack un exploit riduce al minimo l'errore Human

Ieri, a partire dalle 18:24 UTC, qualcuno o qualcosa ha sfruttato una vulnerabilità di sicurezza su Wormhole, uno strumento che consente agli utenti di scambiare asset tra Ethereum e diverse blockchain, causando la perdita di 120.000 ether wrapper (o wETH, per un valore di circa 321 milioni di dollari) sulla piattaforma.

Questo è il secondo più grande attacco Finanza decentralizzata (DeFi) fino ad oggi, secondo classifica di rekt, in un settore in cui gli exploit di sicurezza sono piuttosto comuni e fanno parte della curva di rischio degli utenti. C'è un intero business fatto di revisioni del codice, un lessico di gergo specifico del settore per spiegare cosa sta succedendo e una sorta di manuale da Seguici se e quando si verificano inevitabilmente degli "hack".

Questo articolo è tratto da The Node, il riepilogo quotidiano di CoinDesk delle storie più importanti in tema di blockchain e Cripto . Puoi abbonarti per ottenere l'intero newsletter qui.

Wormhole, oltre ad aver individuato e corretto questo bug in precedenza, ha apparentemente cercato di fare la cosa giusta: ha chiuso la piattaforma per prevenire ulteriori perdite, ha informato il pubblico di ciò che sapeva e ha annunciato che Jump Trading è in gioco perreintegrare le monete rubate.

Continua a leggere: Il wormhole del Blockchain Bridge subisce un possibile exploit del valore di oltre 326 milioni di dollari

Inoltre, in una mossa che sta diventando sempre più comune, il Wormhole Deployer ha pubblicato un messaggio aperto allo sfruttatore su Ethereum, offrendogli un "accordo white hat" e 10 milioni di dollari per una spiegazione dell'attacco in cambio dei fondi rubati.

Scusate la similitudine, ma è come aspettare che un mago tiri fuori un coniglio da un cilindro. Il mondo aspetta di vedere se ha a che fare con un hacker "white" o "black", termini pensati per spiegare le motivazioni di un hacker. La realtà è probabile che sia un po' più grigia.

Hack contro exploit

"Gli hacker black hat sono criminali che si introducono nelle reti informatiche con intenti malevoli", secondo gli esperti di sicurezza di Kaspersky. Possono usare malware, rubare password o sfruttare il codice così come è scritto per motivi "egoistici" o forse "ideologici". I white hat, ovvero "hacker etici" o "buoni hacker", sono "l'antitesi". "Sfruttano i sistemi informatici o le reti per identificare i loro difetti di sicurezza in modo da poter fare raccomandazioni per il miglioramento", scrive Kaspersky.

A causa del modo in cui sono progettate le reti Cripto , spesso non è chiaro con chi si ha a che fare. Gli utenti esistono come lunghe stringhe di gergo alfanumerico e il loro passato è ridotto a una serie di transazioni collegate al loro indirizzo.

Questo sistema ha alcuni vantaggi. Anche se le piattaforme T "conoscono" i loro "clienti", tutte le transazioni vengono registrate on-chain e chiunque può "verificare" quali monete appartengono a chi. Gli exploit DeFi sono spesso vicoli ciechi: gli exchange, usati come rampe di accesso e di uscita da e per l'economia Cripto , possono mettere nella blacklist i fondi rubati, riducendo a zero l'utilità e il valore di quei token.

Ciò potrebbe spiegare perché alcune delle imprese più importanti vedono i mastermind restituire le loro taglie. Ad esempio, lo scorso agosto, il"Hacker" della POLY Network, come vennero chiamati, restituirono quasi tutti i 610 milioni di dollari di Cripto rubate e chiesero alle persone di considerare il loro exploit come un "white hat hack", volto a sensibilizzare l'opinione pubblica su un bug disastroso.

Potrebbe essere una riscrittura della storia, una spiegazione post hoc per un attacco che alla fine è stato eseguito male? Potrebbe succedere di nuovo: T conosciamo le motivazioni dello sfruttatore del Wormhole, ma il team del ponte sembra chiedere che mangino il bug in cambio di una bella cifra di 10 milioni di dollari.

In un certo senso, il sistema è impostato a favore di un aggressore. Quando qualcuno usa il codice così com'è scritto, ma non come previsto, i tecnologi lo chiameranno "exploit". Al codice viene data la precedenza sull'azione Human , in modo che gli errori Human , come il rilevamento superficiale di una transazione errata o la mancata individuazione di una falla di sicurezza, siano spiegati come un processo naturale del codice.

Un attacco viene elevato al livello di "hack" solo quando il codice viene riscritto o violato. Questa è un'importante distinzione tecnologica, anche se i termini probabilmente derivano dall'industria dei videogiochi, dove "hackerare" un gioco per ottenere un vantaggio sleale è spesso malvisto, mentre "sfruttare", o trovare scappatoie nel gioco, è un vanto.

Probabilmente è giusto dire che questo recente attacco T faceva parte dei piani o delle motivazioni del Wormhole Deployer. Apparentemente è stato fatto un errore nel codice, o non è stato trovato, e si stanno elaborando delle soluzioni. Potrebbe indicare i "limiti fondamentali di sicurezza dei bridge", come ha osservato il co-creatore Ethereum Vitalik Buterin in un post di blog lungimirante di qualche settimana fa.

L'attaccante ha condotto una serie di transazioni in modo che il "contratto intelligente" di Wormhole confondesse il wETH falsamente coniato con la roba reale - unripartizione completa quiEra una scappatoia che qualcuno con una conoscenza approfondita e molto tempo a disposizione è stato in grado di sfruttare.

Alcune persone considereranno questo attacco come un contributo al corpo complessivo di conoscenze sulla Cripto. Alcuni hanno persino affermato che questo processo potrebbe in ultima analisi portare a “codice non hackerabile”,poiché ogni contratto intelligente è una potenziale “ricompensa da un milione di dollari per bug”.

Quindi, vale la pena chiedersi se il linguaggio che la Cripto usa per spiegare le sue innumerevoli vulnerabilità (rischi accumulati su rischi) contribuisca al business in corso fatto di hack. O se a volte stiamo tirando fuori definizioni dai cappelli.