Почему будущее Web 3.0 зависит от хакеров

Кажется, что каждый день какой-нибудь хакер ворует миллионы долларов в криптовалюте. На самом деле так и есть.

Вот лишь несколько примеров последних месяцев:

• $600 млн украдено с Poly Network,
• $320 млн — с кроссчейн-криптоплатформы Wormhole,
• $30 млн — с Crypto.com,
• около $4 млн — у пользователей Multichain,
• $140 млн — у криптоигровой компании VulcanForge,
• почти $120 млн — у посетителей сайта BadgerDAO,
• $150 млн — у криптобиржи BitMart, которая называет себя «самой надежной».

В общей сложности — $1,3 млрд. И это далеко не полный список. По данным компании Elliptic, которая занимается аналитикой блокчейна, на сегодняшний день DeFi-протоколы потеряли $12 млрд. Не говоря о том, что обычные пользователи постоянно лишаются своих дорогостоящих NFT с обезьянами.

Разнообразие подходов хакеров поражает — от взлома смарт-контрактов до фишинга и веб-атак.

Иными словами, у криптомира или Web 3.0 проблемы с кибербезопасностью, и решить их будет непросто. Специалисты считают, что единственный выход для отрасли — найти дружественных хакеров и тех, кто действительно понимает, как защитить ПО.

Читайте по теме: Web 3.0: от зари интернета до метавселенных

Проблема в том, что множество профессионалов считают эту сферу аморальной и даже нелепой. А переход в нее дается непросто.

Псевдонимный исследователь с ником Jazzy и сооснователь компании по кибербезопасности Zellic отмечает, что в отрасли «невероятная нехватка криптоаудиторов», и что людям, которые попадают в этот бизнес, важно понимать, как он отличается от традиционной безопасности.

«Ставки гораздо выше, потому что если совершить ошибку в традиционном тесте на проникновение, это может стоить проекту всех его денег», — говорит он.

Основная проблема в том, что написание и публикация смарт-контрактов, на которых основаны криптовалюты или DeFi-проекты — не то же самое, что написание приложений для веба или мобильных платформ. Об этом предупреждает и Дэн Гидо, сооснователь консалтинговой компании Trail of Bits, которая специализируется на кибербезопасности и уже около 5 лет занимается аудитом смарт-контрактов.

Смарт-контракты — сложные фрагменты самоисполняющегося кода на блокчейне. Их нельзя удалить, и, как и все на блокчейне, нельзя повернуть вспять. Они считаются ПО с высоким уровнем контроля, добавляет Гидо: это означает, что обнаруженную ошибку не так просто исправить. Это отличает их от обычного программного обеспечения.

«У всех программ есть недостатки, и постулат Web 3.0 о том, что "код это закон" поднимает ставки, делая эти ошибки неисправимыми. Это кажется веселой игрой, пока вы не потеряете полмиллиарда долларов из-за единственной уязвимости», — комментирует Дженнифер Ферник, старший вице-президент и глобальный директор по исследованиям в NCC Group.

Читайте по теме: Метавселенные, блокчейн и web 3.0: российские инвесторы рассказали о стратегии и трендах 2022 года

«Среди евангелистов Web 3.0 распространено опасное убеждение, что блокчейн изначально полностью безопасен. Но это не так. Существует несколько типов уязвимостей, которые специфичны для блокчейна, но децентрализованные системы также подвержены большинству рисков, свойственных для других компьютерных систем», — добавляет она.

Таль Беэри, CTO криптокошелька ZenGo, один из немногих экспертов по кибербезопасности, который занимается криптоиндустрией. По его словам, безопасность Web 3.0 в отчаянном положении. Теоретически, отмечает он, защитить смарт-контракты не сложнее, чем другие типы кода, но «гораздо легче монетизировать программы-эксплойты смарт-контрактов, поскольку они имеют дело с наличными деньгами».

Кроме того, говорит он, ошибки в смарт-контрактах возникают из-за взаимодействия с внешними. контрактами, поэтому даже если код безопасен, но взаимодействует с чем-то уязвимым, этот может привести к катастрофическим потерям.

Популярность криптовалют и DeFi стала причиной смены деятельности некоторых компаний по кибербезопасности, которые сконцентрировались на новой индустрии, а также появления новых игроков, занимающихся исключительно безопасностью блокчейна.

Проблемы с безопасностью касаются не только смарт-контрактов. Хакеры также взламывают каналы в Discord, которые практически все криптокомпании используют для взаимодействия с пользователями. Как правило, для этого используется старый добрый фишинг.

Целями становятся и сайты, связанные с криптопроектами, — их взламывают через интернет-инфраструктуру третьей стороны. NFT продемонстрировали особую уязвимость перед социальным инжинирингом и фишингом, поскольку все, что нужно хакеру, чтобы украсть их, это получить разрешение кошелька MetaMask.

Маркус Кэри, эксперт по кибербезопасности с многолетним опытом, недавно запустил консалтинг специально для художников, авторов контента и инвесторов в криптосферу Metaversable. Его цель — помочь людям, которые «не понимают базовой гигиены кибербезопасности» и могут стать целью хакеров. Кроме того, он хотел бы бороться со скепсисом и привлечь в криптосферу больше экспертов по безопасности.

Фото в тексте: Unsplash

Кэри считает, что по своей природе онискептики и «сопротивляются изменениям». Но криптовалюты, смарт-контракты и DeFi не исчезнут, и в конечном итоге они пересекаются с более традиционными компаниями. Таким образом, даже эксперты по кибербезопасности, которые не хотят заниматься NFT или криптовалютами, должны будут разобраться в них и помочь своим орагнизациям безопасно войти в эту сферу.

Кимбер Доусетт, еще один эксперт по кибербезопасности, проработавший в отрасли десять лет, критикует хакеров и тех, кто пренебрежительно относится к NFT. По ее словам, информировать пользователей о рисках и поддерживать их заинтересованность — важная часть ее работы.

Еще одна проблема на данном этапе заключается в том, что многие стремятся как можно быстрее запускать проекты и протоколы, чтобы защитить свои инвестиции и первыми выйти на рынок. Однако они уделяют недостаточно внимания кибербезопасности. Вот почему криптосфере нужны не просто специалисты: нужно предусматривать угрозы с самого начала.

Однако, считает Кэри, на данный момент это «Дикий, Дикий Запад».

Источник.

Фото на обложке: Unsplash