Elogio degli hacker white-hat, ma l'eccessivo affidamento è una follia

Ad agosto, Nomad, una piattaforma che consente agli utenti di trasferire token tra diverse blockchain,è stato vittima di un hackeraggioche ha prosciugato i suoi utenti di quasi 200 milioni di dollari.

Le istruzioni su come eseguire l'attacco si sono diffuse a macchia d'olio su Twitter, trasformando un furto isolato in un'aggressione aperta a chiunque riuscisse a copiare e incollare una transazione sulla blockchain Ethereum .

Mentre gli hacker black-hat scappavano con milioni, i cosiddetti "white hat" (buoni samaritani) saccheggiavano i fondi per poterli restituire a Nomad. Nel complesso, lo sforzo di salvataggio di baseha mantenuto più di 38,5 milioni di dollaridalle mani degli aggressori.

Gli hacker white-hat svolgono un ruolo fondamentale nella protezione dell'ecosistema Web3 e, tuttavia, secondoDarkFi. ETH – ONE degli hacker che hanno sfruttato Nomad per salvare i suoi fondi dagli aggressori – gli hacker altruisti T vengono pagati abbastanza e operano in un panorama legale poco chiaro.

Caso di studio Nomad x DarkFi

DarkFi. ETH(non correlato aDarkFi, la blockchain di livello 1 con ilLunarpunk filosofia) è stato ONE dei cappelli bianchi che hanno rubato e successivamente restituito circa 2 milioni di dollari al Nomad ponte.

Quando DarkFi ha visto transazioni sospette fluire dentro e fuori dal contratto intelligente del bridge Nomad, l'hacker ha copiato e incollato il formato di quelle transazioni simili nelle sue nuove transazioni. Improvvisamente, alcuni dei fondi di Nomad, fondi che tecnicamente appartenevano agli utenti di Nomad, sono apparsi nel portafoglio Cripto di DarkFi.

L'hacker pseudonimo è subito entrato in azione, ricordando in un'intervista con CoinDesk di aver notato "il potenziale per ottenere una quota maggiore di questi soldi [da Nomad] prima che vengano sottratti da altri malintenzionati".

DarkFi ha ripetuto la transazione difettosa più volte (ONE,due,tre,quattro,cinque).

A parte le intenzioni, DarkFi e altri white hat hanno eseguito esattamente gli stessi passaggi degli sfruttatori di Nomad: prelevare fondi senza il permesso dei proprietari.

DarkFi voleva salvare più soldi, ma ha detto che "in pratica ha evitato di prenderne di più" perché era "preoccupato per le ripercussioni che avrebbe potuto avere".

"Sebbene avessi pienamente intenzione di restituire i soldi, la cosa non era ancora del tutto chiara", ha detto DarkFi.

Cappelli bianchi e cappelli neri

Gli hacker che analizzano il codice software per identificare potenziali vulnerabilità vengono identificati tramite i loro metaforici white hat e black hat.

I black hat sfruttano deliberatamente le vulnerabilità che trovano, saccheggiando Cripto, ricattando aziende o vendendo le loro scoperte a un mercato criminale sotterraneo. Stephen Tong, co-fondatore della società di audit di sicurezza Zellic.io, definisce questi hacker “mercenari”.

"I black hat pensano semplicemente a se stessi la maggior parte del tempo, che si tratti di profitto o di intrattenimento", ha detto Tong a CoinDesk in un'intervista.

"I cappelli bianchi, d'altro canto, cercano rigorosamente di fare la cosa giusta. Cercano di agire in buona fede", ha detto.

Nel contesto di Web3, i white hat in genere avvisano gli sviluppatori di protocolli quando scoprono un bug che necessita di patch. In cambio della divulgazione responsabile dei bug, i protocolli in genere ricompensano i white hat con una sorta di ricompensa.

A volte, come nel caso di Nomad, i white hat scoprono un bug così grave che decidono di sfruttarlo loro stessi, assicurandosi i fondi a rischio e restituendoli al protocollo prima che possano essere rubati da qualcuno con cattive intenzioni.

In questi casi, quando è difficile scoprire l’intento originale di un hacker (forse ha restituito i fondi solo per paura delle forze dell’ordine), può diventare difficile per un protocollo decidere come e se risarcirlo.

Problema Dichiarazione informativa della vulnerabilità

DarkFi ha evidenziato un problema comune ai white hat: la Dichiarazione informativa delle vulnerabilità.

Quando un hacker sa che un protocollo è vulnerabile e che i fondi rischiano di essere prelevati senza il permesso dei proprietari, si presentano due possibilità per l'hacker:

• Sfruttare la vulnerabilità per assicurarsi i fondi con l'intenzione di restituirli
• Avvisare il progetto senza sfruttare la vulnerabilità

Se un white hat scegliesse la prima opzione e sfruttasse la vulnerabilità, "lo status legale di ciò che stai facendo è molto incerto. Tecnicamente, potresti comunque essere citato in giudizio da un progetto se svolgi un lavoro white hat e rubi un po' di soldi per salvarlo da un hacker black hat", ha affermato DarkFi.

Il problema con la seconda opzione è che il progetto T è incentivato a pagarti l'importo intero una volta che hai già informato il progetto del bug. Tong ha indicato che con i fondi già restituiti o le vulnerabilità già corrette, il progetto perde il suo incentivo a pagare l'importo massimo che può e il white hat ha meno leva.

In entrambi gli scenari, gli hacker white-hat vogliono in genere una ricompensa perché hanno salvato un protocollo da una perdita maggiore. Ma allo stesso tempo, i white hat T vogliono apparire come estorsori, tenendo in ostaggio fondi o informazioni a meno che non vengano "equamente" compensati.

La questione della Dichiarazione informativa delle vulnerabilità è “un problema di ottimizzazione", ha detto Tong. "Perché vuoi ridurre al minimo il dolore" per sviluppatori, utenti e hacker.

Se l'obiettivo è minimizzare il più possibile il dolore per gli sviluppatori e gli utenti, un progetto si limiterebbe a rattoppare la vulnerabilità e non darebbe nulla all'hacker. E se l'obiettivo è minimizzare il dolore dell'hacker, un progetto pagherebbe l'hacker, un punto dolente per chi è al comando.

È possibile ottenere un risultato equo che renda tutti felici?

Tong afferma: "No... Nella maggior parte degli scenari white-hat, non esiste assolutamente uno scenario win-win".

Soldi rimasti sul tavolo

DarkFi ha restituito i fondi a Nomad in tre transazioni (ONE,due,tre)Prima Stani Kulechov, fondatore della piattaforma di prestito Finanza decentralizzato (DeFi) Aave, ha offerto biglietti per festeai cappelli bianchi e prima che Nomad annunciasse "unfino al 10% di ricompensaagli hacker di Nomad Bridge, dove Nomad considererà come white hat chiunque restituisca almeno il 90% dei fondi totali hackerati."

Se un hacker rubasse 1 milione di dollari, restituisse 900.000 dollari e si intascasse 100.000 dollari, Nomad considererebbe l'hacker un white hat e non intraprenderebbe azioni legali.

DarkFi T ha ancora ricevuto un biglietto rAAVE da Kulechov o una ricompensa da Nomad.

Inoltre, citando Arbitrum,Ricompensa di 400 ETH A 0xriptidedopo che l'hacker ha trovato un elemento criticoVulnerabilità da 400 milioni di dollariDarkFi ha osservato che inizialmente le ricompense T sono abbastanza alte, affermando che i progetti tendono a essere avari.

"Dovrebbe essere un lavoro molto ben pagato quello del white hat", ha affermato.

"È molto importante chiarire meglio il modo in cui apprezziamo i white hat nel settore, in modo che in futuro T restino soldi sul tavolo per i black hat", ha affermato DarkFi.

Al momento in cui andiamo in stampa, Nomad T ha risposto alla Request di commento.

Lo standard 5-5 di Sam Bankman-Fried

Il mese scorso, Sam Bankman-Fried, CEO dell'exchange Cripto FTX, ha FORTH un nuovo standard comunitarioper gli hacker coinvolti in una violazione della sicurezza.

Lo “standard 5-5”, che attribuisce “soprattutto” importanza alla tutela dei clienti e degli utenti, dà priorità al ripristino dell’integrità dei clienti prima di premiare un hacker etico.

Secondo Bankman-Fried, lo standard funziona solo quando l'hacker agisce in buona fede fin dall'inizio. Per essere trattato dalla comunità come un "bravo attore" o un white hat, l'hacker deve restituire almeno il 95% dei fondi rubati.

"Se fosse stato seguito lo standard 5-5, storicamente, l'impatto degli attacchi informatici sarebbe stato ridotto di oltre il 98%", ha affermato Bankman-Fried.

Un grammo di prevenzione vale un chilo di cura

Il numero di volte in cui gli hacker white-hat hanno impedito che un protocollo venisse sfruttato evidenzia preoccupazioni circa il fatto che l'ecosistema Web3 faccia eccessivo affidamento su di loro per individuare vulnerabilità critiche.

Sebbene i white hat svolgano un ruolo importante nella sicurezza dell'ecosistema Cripto , "non è assolutamente accettabile affidarsi ai white hat per la propria KEEP , perché è una specie di ultima linea di difesa", ha affermato Tong. "È come l'ultima grazia salvifica che ti impedisce di essere hackerato, perché se vieni 'white hatted', non è una bella situazione in cui trovarsi".

Secondo Tong, a lungo termine è necessario stabilire pratiche di sviluppo più approfondite e rigorose perché “prevenire è meglio che curare”.

La Dichiarazione informativa di un bug white-hat è "un'emergenza con un risvolto positivo. I tuoi soldi sono stati restituiti anche se qualcuno stava hackerando", ha detto Tong. "La conclusione è che la vulnerabilità avrebbe dovuto essere individuata durante lo sviluppo. Avrebbe dovuto essere individuata durante l'audit".