Называя взлом эксплойтом, мы минимизируем Human ошибку

Вчера, начиная с 18:24 UTC, кто-то или что-то воспользовалось уязвимостью безопасности Wormhole — инструмента, который позволяет пользователям обмениваться активами между Ethereum и рядом блокчейнов, что привело к потере 120 000 токенов Wrapped Ether (или wETH, стоимостью около 321 миллиона долларов США) на платформе.

По данным, это вторая по величине атака на децентрализованные Финансы (DeFi) на сегодняшний день. таблица лидеров ректа, в отрасли, где эксплойты безопасности довольно распространены и являются частью кривой риска пользователей. Существует целый бизнес, состоящий из обзоров кода, лексикона отраслевого жаргона, объясняющего, что происходит, и что-то вроде руководства по игре, которому нужно Социальные сети , если и когда неизбежно происходят «взломы».

Эта статья взята из The Node, ежедневного обзора CoinDesk самых важных историй в сфере блокчейна и новостей Криптo . Вы можете подписаться, чтобы получить полную версию информационный бюллетень здесь.

Wormhole, помимо обнаружения и исправления этой ошибки ранее, по-видимому, попытались поступить правильно: они закрыли платформу, чтобы предотвратить дальнейшие потери, уведомили общественность о том, что им известно, и объявили, что Jump Trading находится на гранивосполнить украденные монеты.

Читать дальше: Червоточина Blockchain Bridge пострадала от возможной атаки стоимостью более 326 миллионов долларов

Более того, в ходе акции, которая становится все более распространенной, Wormhole Deployer опубликовал открытое сообщение эксплуататору на Ethereum , предлагая ему «белое соглашение» и 10 миллионов долларов за объяснение атаки в обмен на украденные средства.

Извините за сравнение, но это как ждать, пока фокусник вытащит кролика из цилиндра. Мир ждет, имеет ли он дело с «белым» или «черным» хакером, термины, призванные объяснить мотивы хакера. Реальность, скорее всего, будет немного более серой.

Хаки против эксплойтов

«Черные хакеры — это преступники, которые взламывают компьютерные сети со злым умыслом», — утверждают эксперты по безопасности «Лаборатории Касперского». Они могут использовать вредоносное ПО, красть пароли или эксплуатировать код, написанный в «корыстных» или, может быть, «идеологических» целях. Белые хакеры, также известные как «этичные хакеры» или «хорошие хакеры», являются «антитезами». «Они эксплуатируют компьютерные системы или сети, чтобы выявить недостатки в их безопасности и дать рекомендации по улучшению», — пишет «Лаборатория Касперского».

Из-за особенностей Криптo часто неясно, с кем именно вы имеете дело. Пользователи существуют как длинные цепочки буквенно-цифровой тарабарщины, а их прошлое сводится к серии транзакций, связанных с их адресом.

Эта система имеет некоторые преимущества. Даже если платформы T «знают» своих «клиентов», все транзакции записываются в цепочку, и любой может «проверить», какие монеты кому принадлежат. Эксплойты DeFi часто оказываются тупиковыми: биржи, используемые как входы и выходы из Криптo , могут заносить в черный список украденные средства, сводя полезность и ценность этих токенов к нулю.

Это может объяснить, почему некоторые из самых известных подвигов приводят к тому, что вдохновители возвращают свои награды. Например, в августе прошлого года«Хакер» сети POLY Network, как их стали называть, вернули почти все украденные Криптo на сумму 610 миллионов долларов и попросили людей рассматривать их атаку как «белый взлом», призванный привлечь внимание к катастрофической ошибке.

Это может быть переписыванием истории — постфактум объяснение атаки, которая в конечном итоге была плохо реализована? Это может произойти снова: мы T знаем мотивов эксплуататора червоточины, но команда моста, похоже, просит съесть жука в обмен на кругленькие 10 миллионов долларов.

В каком-то смысле система настроена в пользу злоумышленника. Когда кто-то использует код в том виде, в котором он написан, но не так, как задумано, технологи назовут это «эксплойтом». Коду отдается приоритет над Human действиями, так что Human ошибки — например, толстый палец, указывающий на плохую транзакцию или пропускающий зияющую дыру в безопасности — объясняются как естественный процесс кода.

Атака повышается до уровня «взлома» только тогда, когда код переписывается или ломается. Это важное технологическое различие, хотя термины, вероятно, происходят из игровой индустрии, где «взлом» игры для получения несправедливого преимущества часто не приветствуется, тогда как «эксплойты» или поиск лазеек в игре — это похвальба.

Вероятно, справедливо будет сказать, что эта недавняя атака T была частью планов или мотивов Wormhole Deployer. Ошибка в коде, по-видимому, была допущена или не найдена, и решения разрабатываются. Это может указывать на «фундаментальные ограничения безопасности мостов», как заметил один из создателей Ethereum Виталик Бутерин в пророческом сообщении в блоге несколько недель назад.

Злоумышленник провел ряд транзакций, чтобы «умный контракт» Wormhole перепутал ложно отчеканенный wETH с реальным —полная разбивка здесь. Это была лазейка, которой смог воспользоваться человек с глубокими знаниями и большим количеством времени.

Некоторые люди будут рассматривать эту атаку как вклад в общий объем знаний о Криптo. Некоторые даже сказали, что этот процесс может в конечном итоге привести к «невзламываемый код»,поскольку каждый смарт-контракт — это потенциальная «миллионная награда за обнаружение уязвимости».

Итак, стоит спросить, способствует ли язык, который Криптo использует для объяснения своих многочисленных уязвимостей (рисков, наложенных друг на друга), продолжающемуся бизнесу, основанному на взломах. Или же мы иногда вытаскиваем определения из шляп.