La rapina da 600 milioni di dollari POLY dimostra che la DeFi ha bisogno degli hacker per diventare inattaccabile

Il probabile autore di ONE dei più grandi furti Cripto lo ha fatto per "divertimento". Martedì, un hacker o un gruppo anonimo ha rubato circa 600 milioni di dollari in Cripto da POLY Network, apparentemente per dare una lezione alla piattaforma multi-catena (è quello che hanno detto in una sessione di domande e risposte sulle loro motivazioni e sui loro piani).

Hanno identificato un bug, o meglio, una parte del codice che consentiva loro di trasferire denaro a se stessi, e hanno agito di conseguenza. Gli sviluppatori T avevano intenzione di mettere un pulsante "soldi gratis", ma era lì pronto per essere sfruttato. E sia lodato: è ONE altro errore che (si spera) T si ripeterà.

Questo articolo è tratto da The Node, il riepilogo quotidiano di CoinDesk delle storie più importanti in tema di blockchain e Cripto . Puoi abbonarti per ottenere l'interonewsletter qui.

"Non sono molto interessato ai soldi! So che fa male quando le persone vengono attaccate, ma T dovrebbero Imparare qualcosa da quegli attacchi?" ha scritto mercoledì lo sfruttatore nei dati della blockchain Ethereum . Al momento della stampa, circa la metà dei fondi rubati è stata restituita.

Non spetta a me dire se lo sonogenuinamenteun hacker "white hat" o un black hat che si è reso conto che sarebbe stato impossibile incassare. Per quel che vale,Tor Ekeland, un avvocato che ha costruito la sua carriera sulla difesa di criminali informatici, ha affermato: "L'hacking spesso riguarda più il brivido dell'hacking che l'oggetto ottenuto tramite l'hacking".

Gli attacchi hacker e gli exploit non sono rari nel crescente ecosistema multimiliardario Finanza decentralizzata (DeFi), di cui POLY Network faceva parte. Spesso il risultato di script progettati in fretta o di difetti più profondi a livello di protocollo, gli attacchi sono anche una parte importante del modo in cui qualsiasi rete informatica diventa più sicura. Ciò è doppiamente vero nel mondo della blockchain.

In effetti, alcuni direbbero che gli hack portano a un codice non hackerabile. È un punto controverso, soprattutto perché gli hacker T sempre restituiscono i fondi rubati e, senza dubbio, le persone vengono danneggiate nel processo.

Continua a leggere: Un’estorsione andata male: dentro le negoziazioni di Binance con il suo “KYC Leaker”

"Nel mondo della blockchain, quando qualcuno distribuisce uno smart contract, come su Ethereum , che presenta una vulnerabilità, centinaia di milioni di dollari scompaiono durante la notte e non c'è più alcun ricorso", ha affermato il leggendario ex informatico di Google e fondatore di Agorico, ha affermato Mark Miller in una conferenza del Foresight Institute2018. "Ci sono queste enormi taglie per bug, in effetti. E quando ONE di queste cose viene raccolta, il software con queste vulnerabilità muore."

In altre parole, i sistemi basati su blockchain affrontano una pressione evolutiva. I progetti deboli affrontano una "morte precoce", quindi l'intero sistema viene popolato da codice sicuro.

La Tecnologie blockchain esiste solo da poco più di un decennio. La DeFi, come la conosciamo, è ancora più giovane. C'è un caso da sostenere che siamo solo alle fasi iniziali dell'adozione, con molti altri errori probabili lungo il percorso.

Gli hack T sono l'unico modo in cui progetti o protocolli possono evolversi. Le persone possono costruire cose semplici lentamente, come nel caso di Bitcoin, che è stato down solo due volte nei suoi 12 anni di vita. Ci sono audit esterni e un potenziale ruolo da svolgere per i decisori politici o gli enti di regolamentazione governativi.

Ma cercare difetti in una base di codice o scovare gli sfruttatori a posteriori è come "dare la caccia ai lupi", ha affermato Zooko Wilcox-O'Hearn, specialista in sicurezza informatica e ideatore di Zcash, in un messaggio diretto, prendendo in prestito una frase di Vitalik Buterin.

Dovrebbe saperlo. Nel 2015, la sua società di revisione, Least Authority, è stata assunta da un gruppo di sviluppatori per effettuare un audit di sicurezza della rete Ethereum che sarebbe stata lanciata a breve. Molte delle vulnerabilità che trovato sono stati risolti, ma non ONE relativo alla “rientranza”, che ha consentito alle persone di implementare contratti intelligenti che potevano essere sfruttati.

Solo anni dopo la stessa vulnerabilità è stata sfruttata in “L'hacking del DAO,” un mal di testa da 55 milioni di dollari che ha portato alla controversa biforcazione tra Ethereum ed Ethereum Classic. Al momento della presentazione del suo rapporto, Least Authority ha persino fornito un esempio ipotetico di smart contract che potrebbe essere sfruttato: uno smart contract di crowdfunding, come The DAO.

Continua a leggere: L'hacking da 55 milioni di dollari che ha quasi fatto crollare Ethereum | Matthew Leising

Man mano che più soldi si accumulano negli smart contract, diventerà sempre più difficile "dare la caccia ai lupi" o ai singoli sfruttatori. Con gli hack, intere comunità Imparare insieme cosa dovrebbe e cosa non dovrebbe essere ripetuto. Nel tempo, questo porta a un codice più "affidabile". È ONE modo per "blindare le pecore".

"Se noi, in quanto esseri umani, dobbiamo affidarci ai computer per fare cose importanti per noi, e lo facciamo!, allora abbiamo davvero bisogno che quei programmi siano inattaccabili. E nonostante il cinismo e la disperazione tra i miei colleghi esperti di sicurezza, è effettivamente realizzabile!" ha detto Wilcox.

"Per ogni programma come The DAO e POLY che è stato sfruttato perché aveva una vulnerabilità, puoi indicare un altro programma che ha fatto la stessa cosa ma non aveva quella vulnerabilità. Quindi il progresso è possibile!"

AGGIORNAMENTO (12 agosto 2021, 18:35 UTC):Corregge il nome di Agoric. Ci scusiamo per l'errore.