Називаючи хак експлойтом, ви мінімізуєте Human помилки

Учора, починаючи з 18:24 UTC, хтось або щось скористалося вразливістю безпеки на Wormhole, інструменті, який дозволяє користувачам обмінюватися активами між Ethereum і низкою блокчейнів, що призвело до втрати 120 000 обернутих ефірів (або wETH, вартістю близько 321 мільйона доларів) на платформі.

Згідно з даними, це друга за величиною атака на децентралізовані Фінанси (DeFi). таблиця лідерів rekt, у галузі, де зловживання безпекою досить поширені та є частиною кривої ризику користувачів. Існує цілий бізнес, створений із перегляду коду, лексикону галузевого жаргону, щоб пояснити, що відбувається, і щось на кшталт підручника, якому слід Соціальні мережі , якщо і коли неминуче трапляються «зломи».

Ця стаття є уривком із The Node, щоденного огляду найважливіших історій у сфері блокчейну та Крипто CoinDesk. Ви можете підписатися, щоб отримати повну версію інформаційний бюлетень тут.

Wormhole, окрім виявлення та виправлення цієї помилки раніше, здається, намагався вчинити правильно: вони закрили платформу, щоб запобігти подальшим збиткам, повідомили громадськість про те, що їм відомо, і оголосили, що Jump Trading готовий поповнити вкрадені монети.

Читайте також: Blockchain Bridge Wormhole постраждала від можливого експлойту вартістю понад 326 мільйонів доларів

Крім того, крок, який стає все більш поширеним, Wormhole Deployer опублікував відкрите повідомлення для експлуататора на Ethereum , пропонуючи їм «угоду про білий капелюх» і 10 мільйонів доларів США за пояснення атаки в обмін на вкрадені кошти.

Вибачте за порівняння, але це все одно, що чекати, поки фокусник витягне кролика з циліндра. Світ чекає, чи мають вони справу з хакером у «білому» чи «чорному капелюсі» — терміни, призначені для пояснення мотивації хакера. Реальність, швидше за все, буде трохи сірішою.

Хаки проти експлойтів

«Хакери з чорним капелюхом — це злочинці, які проникають у комп’ютерні мережі зі зловмисними намірами», — кажуть експерти з безпеки Kaspersky. Вони можуть використовувати зловмисне програмне забезпечення, викрадати паролі або використовувати написаний код з «корисливих» або, можливо, «ідеологічних» причин. «Білі капелюхи», вони ж «етичні хакери» або «хороші хакери», є «антитезою». «Вони використовують комп’ютерні системи або мережі для виявлення недоліків у їхній безпеці, щоб вони могли давати рекомендації щодо покращення», — пише Касперський.

Через те, як влаштовано Крипто , часто незрозуміло, з ким ви маєте справу. Користувачі існують як довгі рядки буквено-цифрової тарабарщини, а їхнє минуле зводиться до серії транзакцій, пов’язаних з їх адресою.

Ця система має деякі переваги. Навіть якщо платформи T «знають» своїх «клієнтів», усі транзакції реєструються в ланцюжку, і будь-хто може «перевірити», які монети кому належать. Експлойти DeFi часто бувають тупиковими: біржі, які використовуються для входу та виходу з Крипто , можуть заносити вкрадені кошти в чорний список, зводячи до нуля корисність і цінність цих токенів.

Це може пояснити, чому деякі з найвідоміших експлойтів бачать, що натхненники повертають свої винагороди. Наприклад, у серпні минулого року «Хакер» POLY Network, як їх почали називати, повернули майже всі вкрадені Крипто на суму 610 мільйонів доларів і попросили, щоб люди розглядали їхні дії як «злом білих капелюхів», покликаний привернути увагу до катастрофічної помилки.

Можливо, це переписування історії – ретроспективне пояснення атаки, яка зрештою була виконана погано? Це може статися знову: ми T знаємо мотивів експлуатації червоточини, але команда мосту, здається, просить з’їсти жука в обмін на цілих 10 мільйонів доларів.

У певному сенсі система налаштована на користь зловмисника. Коли хтось використовує код, як він написаний, але не за призначенням, технологи називатимуть це «експлойтом». Код має перевагу над Human діями, тому Human помилки, як-от невдалий аналіз невдалої транзакції чи відсутність прогалини в безпеці, пояснюються природним процесом коду.

Атака підвищується до рівня «злому», лише коли код переписується або зламано. Це важлива технологічна відмінність, хоча терміни, ймовірно, походять із ігрової індустрії, де «злом» гри з метою отримання несправедливої ​​переваги часто сприймається несхвально, тоді як «експлойти» або пошук лазівок у грі вихваляються.

Мабуть, справедливо буде сказати, що ця нещодавня атака T входила в плани чи мотивацію Wormhole Deployer. Схоже, була допущена помилка в коді або її не знайдено, і розробляються рішення. Це може вказувати на «фундаментальні межі безпеки мостів», як зазначив один із творців Ethereum Віталік Бутерін у пророчому блозі кілька тижнів тому.

Зловмисник провів серію транзакцій, щоб «розумний контракт» Wormhole сплутав помилково викарбувані речі з реальними речами – повний розрив тут. Це була лазівка, якою зміг скористатися хтось із глибокими знаннями та багато часу.

Деякі люди розглядатимуть цю атаку як внесок у загальну сукупність знань про Крипто. Деякі навіть кажуть, що цей процес може призвести до «незламний код», оскільки кожен смарт-контракт є потенційною «винагородою за помилку в мільйон доларів».

Отже, варто запитати, чи мова, яку Крипто використовує для пояснення своєї безлічі вразливостей (ризики, що складаються на ризики), сприяє поточному бізнесу, створеному за допомогою хакерів. Або якщо іноді ми витягуємо визначення з капелюхів.