На честь хакерів білих капелюхів, але надмірна довіра — це дурість

У серпні Nomad, платформа, яка дозволяє користувачам передавати токени між різними блокчейнами, став жертвою злому яка вичерпала з користувачів майже 200 мільйонів доларів.

Інструкції щодо того, як здійснити атаку, поширилися Twitter як лісова пожежа, перетворивши одноразове пограбування на безкоштовне для всіх, відкрите для всіх, хто міг скопіювати та вставити транзакцію в блокчейн Ethereum .

У той час як хакери чорних капелюхів втекли з мільйонами, так звані «білі капелюхи» — добрі самаритяни — пограбували кошти, щоб повернути їх Nomad. Загалом, масова рятувальна робота зберіг понад 38,5 млн дол з рук нападників.

Хакери «білого капелюха» відіграють вирішальну роль у захисті екосистеми Web3, і все ж, згідно з DarkFi. ETH – ONE із хакерів, які використали Nomad, щоб врятувати його кошти від зловмисників – хакери-альтруїсти T отримують достатньої плати та діють у нечіткому правовому середовищі.

Практичний приклад Nomad x DarkFi

DarkFi. ETH (не пов'язане з DarkFi, блокчейн рівня 1 з Місячний панк філософія) був ONE із білих капелюхів, які вкрали та згодом повернули приблизно 2 мільйони доларів у Nomad міст.

Коли DarkFi побачив підозрілі транзакції, що надходять і виходять із смарт-контракту Nomad bridge, хакер скопіював і вставив формат цих схожих на вигляд транзакцій у свої власні, нові транзакції. Несподівано деякі кошти Nomad – кошти, які технічно належали користувачам Nomad – з’явилися в Крипто DarkFi.

Хакер під псевдонімом швидко взявся до дій, нагадавши в інтерв’ю CoinDesk , що він помітив «потенціал отримати ще трохи цих грошей [з Nomad], перш ніж їх заберуть інші зловмисники».

DarkFi кілька разів повторив транзакцію з помилками (ONE, два, три, чотири, п'ять).

За винятком наміру, DarkFi та інші білі капелюхи виконували точно такі ж кроки, що й експлуататори Nomad: виводили кошти без дозволу власників.

DarkFi хотів врятувати більше грошей, але він сказав, що «загалом не збирався брати більше», тому що «стурбувався наслідками цього».

«Хоча я мав намір повернути гроші, це все ще було незрозуміло», — сказав DarkFi.

Білі капелюхи і чорні капелюхи

Хакери, які сканують код програмного забезпечення, щоб виявити потенційні вразливості, ідентифікуються за їхніми метафоричними білими та чорними капелюхами.

Чорні капелюхи навмисно використовують вразливі місця, які вони знаходять – грабують Крипто, шантажують бізнес або продають свої відкриття підпільному кримінальному ринку. Стівен Тонг, співзасновник аудиторської компанії безпеки Zellic.io, називає цих хакерів «найманцями».

«Чорні капелюхи просто дбають про себе більшу частину часу, чи то заради прибутку, чи для розваги», — сказав Тонг в інтерв’ю CoinDesk .

"З іншого боку, "білі капелюхи" суворо намагаються діяти правильно. Вони намагаються діяти добросовісно", - сказав він.

У контексті Web3 «білі капелюхи» зазвичай попереджають розробників протоколу, коли вони виявляють помилку, яку потрібно виправити. В обмін на відповідальне розкриття помилок протоколи зазвичай винагороджують білих капелюхів певною винагородою.

Іноді, як у випадку з Nomad, білі капелюхи виявляють настільки серйозну помилку, що вирішують її використати самостійно, захищаючи ризиковані кошти та повертаючи їх до протоколу, перш ніж їх може вкрасти хтось із злими намірами.

У цих випадках, коли важко визначити початковий намір хакера (можливо, вони повернули кошти лише через страх перед правоохоронними органами), протоколу може стати важко вирішити, як і чи потрібно їм компенсувати.

Проблема Повідомлення вразливості

DarkFi висвітлив поширену проблему для білих капелюхів: Повідомлення вразливостей.

Коли хакер дізнається, що протокол вразливий і кошти під загрозою вилучення без дозволу власників, у хакера виникають два варіанти:

• Використовуйте вразливість, щоб самостійно захистити кошти з наміром повернути їх
• Попередити проект, не використовуючи вразливість

Якщо білий капелюх вибрав перший варіант і скористався уразливістю, "правовий статус того, що ви робите, дуже піддається сумніву. Технічно ви все ще можете подати до суду на проект, якщо ви виконуєте роботу білого капелюха та вкрадете трохи грошей, щоб врятувати їх від хакера чорного капелюха", - сказав DarkFi.

Проблема з другим варіантом полягає в тому, що проект T стимулюється платити вам повну суму, коли ви вже повідомили проект про помилку. Тонг зазначив, що з уже повернутими коштами або виправленими вразливими місцями проект втрачає стимул платити максимальну суму, яку він може, і «білий капелюх» має менше важелів впливу.

В обох сценаріях хакери «білого капелюха» зазвичай хочуть отримати винагороду за те, що вони врятували протокол від більшої втрати. Але в той же час «білі капелюхи»T хочуть виглядати вимагачами – тримати кошти чи інформацію в заручниках, якщо вони не отримають «справедливу» компенсацію.

Питання Повідомлення вразливості – це «ан задача оптимізації", - сказав Тонг. "Тому що ви хочете мінімізувати біль" для розробників, користувачів і хакерів.

Якщо метою є мінімізація болю для розробників і користувачів, проект просто виправить уразливість і не дасть хакеру нічого. І якщо мета полягає в тому, щоб мінімізувати біль хакера, проект заплатить хакеру, точці болю для відповідальних.

Чи можливий справедливий результат, який зробить усіх щасливими?

Тонг каже: «Ні... У більшості сценаріїв «білих капелюхів» немає абсолютно жодного сценарію, в якому можна виграти».

Гроші залишилися на столі

DarkFi повернув кошти Nomad трьома транзакціями (ONE, два, три) раніше Стані Кулечов, засновник кредитної платформи децентралізованого Фінанси (DeFi) Aave, запропонував партійні квитки до білих капелюхів і перед тим, як Nomad оголосив «an до 10% баунті хакерам Nomad Bridge, де Nomad вважатиме будь-яку сторону, яка поверне принаймні 90% від загальної суми зламаних ними коштів, білою капелюхом».

Якби хакер пограбував 1 мільйон доларів, повернув 900 000 доларів і поклав у кишеню 100 000 доларів, Nomad вважав би хакера білим капелюхом і не подав би судового позову.

DarkFi ще T отримав квиток rAAVE від Кулехова чи винагороду від Nomad.

Крім того, з посиланням на Arbitrum’s Винагорода 400 ETH до 0xriptide після цього хакер знайшов критичний Вразливість на 400 мільйонів доларів, DarkFi зазначив, що винагороди спочатку T високі, кажучи, що проекти, як правило, скупі.

«Бути білим капелюхом має бути дуже добре оплачуваною роботою», — сказав він.

«Дуже важливо пояснити, як ми цінуємо білі капелюхи в космосі, щоб у майбутньому гроші T залишалися на столі для чорних капелюхів», — сказав DarkFi.

На час преси Nomad T відповів на Request про коментар.

Стандарт Сема Бенкмана-Фріда 5-5

Минулого місяця Сем Бенкман-Фрід, генеральний директор Крипто FTX, FORTH новий стандарт спільноти для хакерів, залучених до порушення безпеки.

«Стандарт 5-5», який цінує захист клієнтів і користувачів «понад усе», надає пріоритет відновлення здоров’я клієнтів перед винагородою етичного хакера.

За словами Бенкмана-Фріда, стандарт працює лише тоді, коли хакер діє добросовісно з самого початку. Щоб до нього ставилася спільнота як до «хорошого актора» або білого капелюха, хакер повинен повернути принаймні 95% вкрадених коштів.

«Якби стандарт 5-5 дотримувався, історично це зменшило б вплив хакерів більш ніж на 98%», — сказав Бенкман-Фрід.

Унція профілактики варта фунта лікування

Кількість разів, коли хакери «білих капелюхів» запобігали використанню протоколу, підкреслює занепокоєння щодо того, що екосистема Web3 надто покладається на них, щоб виявити критичні вразливості.

Хоча білі капелюхи відіграють важливу роль у забезпеченні безпеки Крипто екосистеми, «абсолютно не можна покладатися на білі капелюхи, щоб KEEP вашу безпеку, тому що це начебто остання лінія захисту», — сказав Тонг. «Це як останній порятунок, який заважає вам бути зламаним, тому що якщо ви отримуєте «білу шапку», це вже не найкраща ситуація».

За словами Тонга, у довгостроковій перспективі необхідно запровадити більш ретельні та суворі методи розробки, оскільки «унція профілактики коштує фунта лікування».

Повідомлення помилок у білому капелюсі — це "надзвичайна ситуація з бездоганною підкладкою. Ваші гроші повернули, навіть якщо хтось зламував", — сказав Тонг. "Висновок полягає в тому, що вразливість слід було виявити під час розробки. Її слід було виявити під час аудиту".