Похвала хакерам-«белым шляпам», но переоценивать свои возможности глупо

В августе Nomad, платформа, позволяющая пользователям переводить токены между различными блокчейнами,стал жертвой взломачто лишило пользователей почти 200 миллионов долларов.

Инструкции о том, как осуществить атаку, распространились по Twitter со скоростью лесного пожара, превратив одноразовое ограбление в общедоступную акцию, доступную любому, кто сможет скопировать и вставить транзакцию в блокчейн Ethereum .

В то время как хакеры-черношляпники сбежали с миллионами, так называемые «белые шляпы» — добрые самаритяне — разграбили средства, чтобы вернуть их Nomad. В целом, низовые усилия по спасениюсохранил более 38,5 миллионов долларовиз рук нападавших.

«Белые хакеры» играют важную роль в обеспечении безопасности экосистемы Web3, и тем не менее, по словамDarkFi. ETH – ONE из хакеров, использовавших Nomad для спасения его средств от злоумышленников – бескорыстным хакерам платят T , и они действуют в неясной правовой среде.

Пример использования Nomad x DarkFi

DarkFi. ETH(не относится кDarkFi, блокчейн уровня 1 сЛунарпанк философия) был ONE из тех, кто украл и впоследствии вернул около 2 миллионов долларов у Номада мост.

Когда DarkFi увидел подозрительные транзакции, входящие и исходящие из смарт-контракта моста Nomad, хакер скопировал и вставил формат этих похожих транзакций в свои собственные, новые транзакции. Внезапно часть средств Nomad — средств, которые технически принадлежали пользователям Nomad — появились в Криптo DarkFi.

Хакер, скрывающийся под псевдонимом, быстро приступил к действиям, вспомнив в интервью CoinDesk , что он заметил «потенциал вывести еще немного этих денег [из Nomad], прежде чем их заберут другие злоумышленники».

DarkFi повторил ошибочную транзакцию несколько раз (ONE,два,три,четыре,пять).

Если отбросить намерения, DarkFi и другие «белые хакеры» выполнили точно такие же действия, что и эксплуататоры Nomad: сняли средства без разрешения владельцев.

DarkFi хотел выручить больше денег, но, по его словам, он «в основном воздержался от взятия большего», потому что «беспокоился о последствиях этого».

«Хотя я полностью намеревался вернуть деньги, все равно было неясно», — сказал DarkFi.

Белые шляпы и черные шляпы

Хакеров, сканирующих программный код для выявления потенциальных уязвимостей, можно отличить по их метафорическим белым и черным шляпам.

Черные хакеры намеренно используют уязвимости, которые они находят, — воруют Криптo, шантажируют компании или продают свои открытия на подпольном криминальном рынке. Стивен Тонг, соучредитель фирмы по аудиту безопасности Zellic.ioназывает этих хакеров «наемниками».

«Чёрные хакеры большую часть времени просто заботятся о себе, будь то ради прибыли или развлечения», — сказал Тонг в интервью CoinDesk .

«С другой стороны, белые шляпы строго стараются поступать правильно. Они пытаются действовать добросовестно», — сказал он.

В контексте Web3 белые хакеры обычно оповещают разработчиков протоколов, как только они обнаруживают ошибку, требующую исправления. В обмен на ответственное раскрытие ошибок протоколы обычно вознаграждают белых хакеров каким-то вознаграждением.

Иногда, как в случае с Nomad, «белые хакеры» обнаруживают настолько серьезную ошибку, что решают воспользоваться ею самостоятельно, обезопасив подверженные риску средства и вернув их в протокол до того, как их сможет украсть кто-то со злым умыслом.

В таких случаях, когда первоначальные намерения хакера трудно определить (возможно, они вернули средства только из страха перед правоохранительными органами), протоколу может быть сложно решить, как именно им следует выплачивать компенсацию и следует ли вообще ее выплачивать.

Проблема Раскрытие информации уязвимости

DarkFi выявил распространенную проблему для «белых хакеров»: Раскрытие информации уязвимостей.

Когда хакер знает, что протокол уязвим и существует риск вывода средств без разрешения владельцев, у хакера возникают два варианта действий:

• Использовать уязвимость, чтобы завладеть средствами самостоятельно с намерением вернуть их.
• Предупредить проект, не эксплуатируя уязвимость

Если white hat выберет первый вариант и воспользуется уязвимостью, «юридический статус того, что вы делаете, очень неопределен. Технически, вы все еще можете получить иск от проекта, если вы выполните работу white hat и украдете немного денег, чтобы спасти их от black hat хакера», — сказал DarkFi.

Проблема со вторым вариантом в том, что проект T заинтересован в том, чтобы заплатить вам полную сумму, как только вы уже сообщили проекту об ошибке. Тонг указал, что с уже возвращенными средствами или уже исправленными уязвимостями проект теряет стимул платить максимальную сумму, которую он может, и у белой шляпы меньше рычагов воздействия.

В обоих сценариях белые хакеры обычно хотят получить вознаграждение, поскольку они спасли протокол от большей потери. Но в то же время белые хакеры T хотят показаться вымогателями — держащими в заложниках средства или информацию, если им не возместят «справедливо».

Проблема Раскрытие информации уязвимости — это « проблема оптимизации«Потому что вы хотите минимизировать неудобства» для разработчиков, пользователей и хакеров.

Если цель состоит в том, чтобы минимизировать боль для разработчиков и пользователей, проект просто залатает уязвимость и ничего не даст хакеру. А если цель состоит в том, чтобы минимизировать боль хакера, проект заплатит хакеру, болевая точка для ответственных.

Возможен ли справедливый результат, который удовлетворит всех?

Тонг говорит: «Нет… В большинстве сценариев «белой шляпы» абсолютно нет беспроигрышного варианта».

Деньги остались на столе

DarkFi вернул средства Nomad тремя транзакциями (ONE,два,три)до Стани Кулечов, основатель кредитной платформы децентрализованного Финансы (DeFi) Aave, предложил билеты на вечеринкув белые шляпы и до того, как Номад объявил «до 10% вознагражденияхакерам Nomad Bridge, где Nomad будет считать любую сторону, которая вернет не менее 90% от общей суммы взломанных средств, белой хакерской атакой».

Если хакер украдет 1 миллион долларов, вернет 900 000 долларов и присвоит себе 100 000 долларов, Nomad сочтет хакера «белым хакером» и не будет возбуждать судебное дело.

DarkFi пока T получил билет rAAVE от Кулечова или вознаграждение от Nomad.

Кроме того, ссылаясь на ArbitrumНаграда 400 ETH к 0xriptideпосле того, как хакер нашел критическийУязвимость на сумму 400 миллионов долларовDarkFi отметил, что изначально вознаграждения T высоки, поскольку проекты, как правило, скупы.

«Быть белой шляпой должно быть очень хорошо оплачиваемой работой», — сказал он.

«Очень важно более четко обозначить, как мы ценим белых хакеров в этой сфере, чтобы в будущем деньги T оставались на столе у ​​черных хакеров», — заявили в DarkFi.

На момент публикации материала Nomad T ответил на Request о комментарии.

Стандарт Сэма Бэнкмана-Фрида 5-5

В прошлом месяце Сэм Бэнкман-Фрид, генеральный директор Криптo биржи FTX, выдвинул FORTH новый стандарт сообществадля хакеров, причастных к нарушению безопасности.

«Стандарт 5-5», который ставит защиту клиентов и пользователей «превыше всего», отдает приоритет восстановлению клиентов, прежде чем вознаграждать этичного хакера.

По словам Бэнкмана-Фрида, стандарт работает только тогда, когда хакер действует добросовестно с самого начала. Чтобы сообщество относилось к нему как к «хорошему актеру» или «белой шляпе», хакер должен вернуть не менее 95% украденных средств.

«Если бы стандарт 5-5 соблюдался исторически, это снизило бы влияние взломов более чем на 98%», — сказал Бэнкман-Фрид.

Унция профилактики стоит фунта лечения

Количество случаев, когда «белым хакерам» удалось предотвратить использование протокола, подчеркивает обеспокоенность тем, что экосистема Web3 слишком сильно полагается на них в плане выявления критических уязвимостей.

Хотя белые хакеры играют важную роль в обеспечении безопасности Криптo , «совершенно неправильно полагаться на белых хакеров, чтобы они KEEP вашу безопасность, потому что это своего рода последняя линия обороны», — сказал Тонг. «Это как последняя спасительная благодать, которая не даст вам подвергнуться взлому, потому что если вас «обманывают белыми хакерами», это уже не очень хорошая ситуация».

По словам Тонга, в долгосрочной перспективе необходимо внедрить более тщательные и строгие методы разработки, поскольку «унция профилактики стоит фунта лечения».

Раскрытие информации ошибки в белой шляпе — это «чрезвычайная ситуация с хорошей подкладкой. Ваши деньги были возвращены, даже несмотря на то, что кто-то взломал систему», — сказал Тонг. «Вывод в том, что уязвимость должна была быть обнаружена во время разработки. Она должна была быть обнаружена во время аудита».