Chamar um hack de exploit minimiza o erro Human

Ontem, a partir das 18:24 UTC, alguém ou algo explorou uma vulnerabilidade de segurança no Wormhole, uma ferramenta que permite aos usuários trocar ativos entre Ethereum e diversas blockchains, resultando na perda de 120.000 ether encapsulado (ou wETH, no valor de cerca de US$ 321 milhões) na plataforma.

Este é o segundo maior ataque de Finanças descentralizadas (DeFi) até o momento, de acordo com tabela de classificação do rekt, em uma indústria onde exploits de segurança são bastante comuns e parte da curva de risco dos usuários. Há um negócio inteiro feito de revisões de código, um léxico de jargões específicos da indústria para explicar o que está acontecendo e algo como um manual a Siga se e quando “hacks” inevitavelmente ocorrerem.

Este artigo foi extraído do The Node, o resumo diário do CoinDesk das histórias mais importantes em notícias sobre blockchain e Cripto . Você pode se inscrever para obter o conteúdo completo boletim informativo aqui.

O Wormhole, além de detectar e corrigir esse bug antes, aparentemente tentou fazer a coisa certa: eles fecharam a plataforma para evitar mais perdas, notificaram o público sobre o que sabiam e anunciaram que a Jump Trading está na linha pararepor as moedas roubadas.

Leia Mais: Blockchain Bridge Wormhole sofre possível exploração no valor de mais de US$ 326 milhões

Além disso, em uma ação que está se tornando cada vez mais comum, o Wormhole Deployer postou uma mensagem aberta ao explorador no Ethereum , oferecendo a ele um "acordo de chapéu branco" e US$ 10 milhões por uma explicação do ataque em troca dos fundos roubados.

Desculpe a comparação, mas isso é como esperar que um mágico tire um coelho de uma cartola. O mundo está esperando para ver se estão lidando com um hacker de chapéu “branco” ou “preto”, termos que pretendem explicar as motivações de um hacker. A realidade provavelmente será um pouco mais cinzenta.

Hacks vs. explorações

“Black hat hackers são criminosos que invadem redes de computadores com intenção maliciosa”, de acordo com especialistas em segurança da Kaspersky. Eles podem usar malware, roubar senhas ou explorar códigos como eles são escritos por razões “egoístas” ou talvez “ideológicas”. White hats, também conhecidos como “hackers éticos” ou “hackers bons”, são a “antítese”. “Eles exploram sistemas ou redes de computadores para identificar suas falhas de segurança para que possam fazer recomendações de melhoria”, escreve a Kaspersky.

Devido à forma como as redes de Cripto são projetadas, muitas vezes não fica claro com quem você está lidando. Os usuários existem como longas sequências de jargões alfanuméricos, e seu passado é reduzido a uma série de transações conectadas com seus endereços.

Este sistema tem alguns benefícios. Mesmo que as plataformas T “conheçam” seus “clientes”, todas as transações são registradas na cadeia e qualquer um pode “verificar” quais moedas pertencem a quem. As explorações DeFi geralmente são becos sem saída: as exchanges, usadas como rampas de entrada e saída da Cripto , podem colocar fundos roubados na lista negra, reduzindo a utilidade e o valor desses tokens a nada.

Isso pode explicar por que algumas das façanhas mais proeminentes veem os gênios devolverem suas recompensas. Por exemplo, em agosto passado, o“Hacker” da POLY Network, como passaram a ser chamados, devolveram quase todos os US$ 610 milhões em ativos Cripto roubados e pediram que as pessoas vissem sua exploração como um "hack de chapéu branco", com o objetivo de conscientizar sobre um bug desastroso.

Isso pode estar reescrevendo a história – uma explicação post hoc para um ataque que foi mal executado? Pode estar acontecendo de novo: T sabemos as motivações do explorador do Wormhole, mas a equipe da ponte parece estar pedindo que eles comam o bug em troca de uns arrumadinhos $10 milhões.

Em certo sentido, o sistema é configurado a favor do invasor. Quando alguém usa o código como ele foi escrito, mas não como pretendido, os tecnólogos se referem a isso como uma “exploit”. O código tem precedência sobre a ação Human , de modo que erros Human – como digitar uma transação ruim ou perder uma falha de segurança gritante – são explicados como um processo natural do código.

Um ataque só é elevado ao nível de “hack” quando o código é reescrito ou quebrado. Esta é uma distinção tecnológica importante, embora os termos provavelmente derivem da indústria de jogos, onde “hackear” um jogo para obter uma vantagem injusta é frequentemente desaprovado, enquanto “exploits”, ou encontrar brechas no jogo, são alardeados.

Provavelmente é justo dizer que esse ataque recente T fazia parte dos planos ou motivações do Wormhole Deployer. Um erro no código foi aparentemente cometido, ou não encontrado, e soluções estão sendo trabalhadas. Pode apontar para os "limites fundamentais de segurança das pontes", como o cocriador do Ethereum Vitalik Buterin observou em uma postagem de blog presciente algumas semanas atrás.

O invasor conduziu uma série de transações para que o “contrato inteligente” do Wormhole confundisse falsamente cunhado com o material real – umanálise completa aqui. Era uma brecha que alguém com profundo conhecimento e muito tempo conseguiu explorar.

Algumas pessoas considerarão esse ataque como uma contribuição para o corpo geral de conhecimento sobre Cripto. Alguns até disseram que esse processo pode levar a “código inquebrável”já que cada contrato inteligente é uma potencial “recompensa por bugs de um milhão de dólares”.

Então, vale a pena perguntar se a linguagem que a Cripto usa para explicar suas inúmeras vulnerabilidades (riscos empilhados sobre riscos) contribui para o negócio contínuo feito de hacks. Ou se às vezes estamos tirando definições de chapéus.