Em louvor aos hackers de chapéu branco, mas a confiança excessiva é tolice

Em agosto, o Nomad, uma plataforma que permite aos usuários transferir tokens entre diferentes blockchains,foi vítima de um hackque custou aos seus usuários quase US$ 200 milhões.

Instruções sobre como executar o ataque se espalharam como fogo no Twitter, transformando um assalto único em um vale-tudo aberto a qualquer um que conseguisse copiar e colar uma transação na blockchain Ethereum .

Enquanto os hackers black-hat fugiam com milhões, os chamados “white hats” – bons samaritanos – saqueavam os fundos para que pudessem devolvê-los ao Nomad. No total, o esforço de resgate de basemanteve mais de US$ 38,5 milhõesdas mãos dos atacantes.

Os hackers de chapéu branco desempenham um papel fundamental na proteção do ecossistema Web3 e, no entanto, de acordo comDarkFi. ETH – um dos hackers que exploraram o Nomad para resgatar seus fundos de invasores – hackers altruístas T são pagos o suficiente e operam em um cenário legal pouco claro.

Estudo de caso Nomad x DarkFi

DarkFi. ETH(não relacionado aFicção Escura, a camada 1 do blockchain com oPunk lunar filosofia) foi um dos chapéus brancos que roubou e posteriormente devolveu cerca de US$ 2 milhões do Nomad ponte.

Quando DarkFi viu transações suspeitas fluindo para dentro e para fora do contrato inteligente da ponte Nomad, o hacker copiou e colou o formato dessas transações de aparência semelhante em suas próprias transações novas. De repente, alguns dos fundos do Nomad — fundos que tecnicamente pertenciam aos usuários do Nomad — apareceram na carteira de Cripto do DarkFi.

O hacker pseudônimo rapidamente entrou em ação, lembrando em uma entrevista ao CoinDesk que ele percebeu o “potencial de tirar mais desse dinheiro [do Nomad] antes que ele fosse levado por outros agentes maliciosos”.

DarkFi repetiu a transação com bugs várias vezes (um,dois,três,quatro,cinco).

Intenção à parte, DarkFi e outros white hats executaram exatamente os mesmos passos que os exploradores do Nomad: retirar fundos sem a permissão dos proprietários.

DarkFi queria resgatar mais dinheiro, mas ele disse que "basicamente adiou a retirada de mais" porque estava "preocupado com as repercussões de fazê-lo".

“Embora eu tivesse a intenção de devolver o dinheiro, ainda não estava muito claro”, disse DarkFi.

Chapéus brancos e chapéus pretos

Hackers que escaneiam códigos de software para identificar potenciais vulnerabilidades são identificados por seus chapéus brancos e pretos metafóricos.

Os black hats exploram deliberadamente as vulnerabilidades que encontram – saqueando Cripto, chantageando empresas ou vendendo suas descobertas para um mercado criminoso subterrâneo. Stephen Tong, cofundador da empresa de auditoria de segurança Zellic.io, chama esses hackers de “mercenários”.

“Os black hats estão simplesmente cuidando de si mesmos na maior parte do tempo, seja por lucro ou entretenimento”, disse Tong ao CoinDesk em uma entrevista.

“White hats, por outro lado, estão estritamente tentando fazer a coisa certa. Eles estão tentando agir de boa fé”, ele disse.

No contexto da Web3, os white hats normalmente alertam os desenvolvedores de protocolos quando descobrem um bug que precisa de patch. Em troca de divulgar bugs de forma responsável, os protocolos geralmente recompensam os white hats com algum tipo de recompensa.

Às vezes, como no caso do Nomad, os white hats descobrem um bug tão grave que decidem explorá-lo eles mesmos, protegendo fundos em risco e devolvendo-os ao protocolo antes que sejam roubados por alguém com más intenções.

Nesses casos, quando a intenção original de um hacker é difícil de entender (talvez eles tenham devolvido os fundos apenas por medo da aplicação da lei), como – e se – eles devem ser compensados pode se tornar difícil para um protocolo decidir.

Problema de Aviso Importante de vulnerabilidade

DarkFi destacou um problema comum para white hats: Aviso Importante de vulnerabilidades.

Quando um hacker sabe que um protocolo é vulnerável com fundos em risco de retirada sem a permissão dos proprietários, duas opções surgem para o hacker:

• Explorar a vulnerabilidade para garantir os fundos com a intenção de devolvê-los
• Alertar o projeto sem explorar a vulnerabilidade

Se um white hat pegasse a primeira opção e explorasse a vulnerabilidade, “o status legal do que você está fazendo é muito incerto. Tecnicamente, você ainda pode ser processado por um projeto se fizer trabalho white-hat e roubar algum dinheiro para salvá-lo de um hacker black-hat”, disse DarkFi.

O problema com a segunda opção é que o projeto T é incentivado a pagar a você o valor total depois que você já informou o projeto sobre o bug. Tong indicou que com fundos já devolvidos ou vulnerabilidades já corrigidas, o projeto perde seu incentivo para pagar o valor máximo que pode e o white hat tem menos alavancagem.

Em ambos os cenários, os hackers white-hat geralmente querem uma recompensa porque salvaram um protocolo de uma perda maior. Mas, ao mesmo tempo, os white hats T querem ser vistos como extorsionários – mantendo fundos ou informações como reféns, a menos que sejam "justamente" compensados.

A questão da Aviso Importante de vulnerabilidades é “uma problema de otimização”, disse Tong. “Porque você quer minimizar a dor” para desenvolvedores, usuários e hackers.

Se o objetivo é minimizar o máximo de dor para os desenvolvedores e usuários, um projeto apenas consertaria a vulnerabilidade e não daria nada ao hacker. E se o objetivo é minimizar a dor do hacker, um projeto pagaria ao hacker, um ponto de dor para os responsáveis.

É possível ter um resultado justo que deixe todos felizes?

Tong diz: “Não… Na maioria dos cenários de white-hat, não há absolutamente nenhum cenário ganha-ganha.”

Dinheiro deixado na mesa

DarkFi devolveu fundos ao Nomad em três transações (um,dois,três)antes Stani Kulechov, o fundador da plataforma de empréstimos de Finanças descentralizadas (DeFi) Aave, ofereceu ingressos para festapara chapéus brancos e antes que Nomad anunciasse “umaté 10% de recompensapara os hackers do Nomad Bridge, onde o Nomad considerará qualquer parte que retornar pelo menos 90% do total de fundos que eles hackearam como um white hat.”

Se um hacker saqueasse US$ 1 milhão, devolvesse US$ 900.000 e embolsasse US$ 100.000, o Nomad consideraria o hacker um white hat e não entraria com nenhuma ação legal.

O DarkFi ainda T recebeu um tíquete rAAVE de Kulechov ou uma recompensa do Nomad.

Além disso, citando a ArbitrumRecompensa de 400 ETH para 0xriptidedepois que o hacker encontrou um críticoVulnerabilidade de US$ 400 milhões, DarkFi observou que as recompensas T são altas o suficiente inicialmente, dizendo que os projetos tendem a ser mesquinhos.

“Deveria ser um trabalho muito bem pago ser um white hat”, disse ele.

“Deixar mais claro como valorizamos os white hats no espaço é muito importante para que no futuro T haja dinheiro sobrando para os black hats”, disse DarkFi.

A Nomad T retornou um Request de comentário até o momento.

Padrão 5-5 de Sam Bankman-Fried

No mês passado, Sam Bankman-Fried, CEO da bolsa de Cripto FTX, FORTH um novo padrão comunitáriopara hackers envolvidos em uma violação de segurança.

O “padrão 5-5”, que valoriza a proteção do cliente e do usuário “acima de tudo”, prioriza tornar os clientes inteiros novamente antes de recompensar um hacker ético.

De acordo com Bankman-Fried, o padrão funciona somente quando o hacker está agindo de boa fé desde o começo. Para ser tratado pela comunidade como um "bom ator" ou um white hat, o hacker deve devolver pelo menos 95% dos fundos roubados.

“Se o padrão 5-5 tivesse sido seguido, historicamente, teria reduzido o impacto dos hacks em mais de 98%”, disse Bankman-Fried.

É melhor prevenir do que remediar

O número de vezes que hackers white hat impediram que um protocolo fosse explorado destaca preocupações sobre como o ecossistema Web3 depende muito deles para detectar vulnerabilidades críticas.

Embora os white hats tenham um dever significativo na segurança do ecossistema de Cripto , “não é absolutamente OK confiar nos white hats para KEEP lo seguro porque essa é uma espécie de última linha de defesa”, disse Tong. “É como a última graça salvadora que impede que você seja hackeado porque se você está sendo 'white-hatted', essa já não é uma ótima situação para se estar.”

De acordo com Tong, práticas de desenvolvimento mais completas e rigorosas precisam ser estabelecidas a longo prazo porque “é melhor prevenir do que remediar”.

Uma Aviso Importante de bug white-hat é “uma emergência com um lado positivo. Seu dinheiro foi devolvido mesmo que alguém estivesse hackeando”, disse Tong. “A conclusão é que [a] vulnerabilidade deveria ter sido detectada durante o desenvolvimento. Ela deveria ter sido detectada durante a auditoria.”