💬 Криптопреступление слишком личное

Криптопреступление слишком личное

До недавнего времени легендарные ограбления редко приводили к личным потерям.

Будучи незаинтересованными и незатронутыми сторонними наблюдателями, потребители могли испытать настоящий криминальный азарт, размышляя о том, как команде неизвестных воров удалось выкрасть 13 бесценных шедевров из музея Изабеллы Стюарт Гарднер в 1990 году, или рассказывая о том, как сын и личный советник Саддама Хусейна вывел 1 миллиард долларов наличными через входную дверь Центрального банка Ирака в 2003 году.

Эти истории ошеломляют своим масштабом и в то же время совершенно несущественны для обычного человека; освобожденные от каких-либо личных расходов, мы могли свободно наслаждаться ими как формой развлечения.

Однако современные легенды не так легко проглатываются.

В 2022 году два масштабных крипто-взлома, а именно взлом Binance Smart Chain (566 миллионов долларов) и эксплойт Ronin bridge (522 миллиона долларов), затмили общую стоимость самой дорогой картины в истории, Моны Лизы (850 миллионов долларов). Фактически, в этом знаменательном году из протоколов и бирж DeFi было украдено 3,8 миллиарда долларов, что намного превышает общую совокупную стоимость (2,8 миллиарда долларов) ограбления Центрального банка Ирака и кражи произведений искусства в Музее Изабеллы Стюарт Гарднер.

И, в отличие от своих предшественников, эти грабежи выкачивали деньги не из государственных структур или музея, а из простых людей.

В случае взлома моста Ronin более 75% (400 миллионов долларов) от общей суммы украденного принадлежало пользователям, которые играли в Axie Infinity, популярную игру, разработанную Sky Mavis. Кража произошла после того, как хакеры получили достаточно узлов валидатора, чтобы подтвердить свои мошеннические транзакции. Эксплойт основан на человеческой ошибке; хакерам удалось получить доступ через черный ход, потому что Axie DAO предоставила — и никогда не отменяла — временное разрешение прокси-сервера на подписание транзакций в Sky Mavis, тем самым создавая уязвимость.

Sky Mavis, к ее чести, взяла на себя ответственность за нарушение и убытки своих пользователей. Вскоре после эксплойта разработчик объявил, что возместит убытки игрокам, даже если не сможет вернуть украденные средства. Усилия в этом направлении уже предпринимаются; В апреле Sky Mavis привлекла с этой целью 150 миллионов долларов в партнерстве с Binance и другими криптоинвесторами.

Добрые намерения разработчика должны быть признаны. Однако компенсационные меры не могут возместить ущерб, который этот и подобные эксплойты наносят потребительскому доверию. В то время как пользователи могут найти обнадеживающие обещания, такие как Скай Мэвис, кража криптовалюты — это эмоционально заряженный, даже травмирующий опыт для жертв.

Кто-то может принять свои потери как знак отказаться от Web3 — или новости о взломе могут отговорить потенциальных последователей от покупки технологии вообще.

Это вопрос доверия: если нынешние и потенциальные пользователи Web3 не чувствуют себя в безопасности при навигации по Web3, они отойдут в сторону, пока ландшафт не станет более безопасным. Эта неуверенность уже очевидна; согласно недавнему отчету платформы разработки Web3 Alchemy, активы на централизованных биржах упали на 45% к концу четвертого квартала 2022 года, что свидетельствует о явном недоверии потребителей к хранителям криптовалюты. Однако тот же отчет показал, что настроения разработчиков остаются оптимистичными и полными энтузиазма.

Остается вопрос: как защитники могут преодолеть этот разрыв между все более встревоженными пользователями и неоспоримым потенциалом блокчейна? Единственный возможный ответ — предоставить протоколам, разработчикам и пользователям возможность защитить себя, когда они вступают в будущее Web3.

Безопасность: неизбежный приоритет

Нынешние проблемы с безопасностью Web3 в некотором смысле неизбежны.

Децентрализованный и иногда анонимный характер криптовалют обеспечивает благодатную почву для киберпреступников, которые могут скрывать свою личность и использовать технологические и человеческие слабости. Это еще больше усугубляется высокой стоимостью активов в криптовалюте, что делает их и компании, которые ими торгуют, главными целями для хакеров. Binance, например, имеет ежедневный объем торгов, исчисляемый миллиардами долларов, поэтому использование любой уязвимости в собственном коде биржи может привести к краже миллионов.

Более того, быстрое развитие технологии блокчейна создает порочные стимулы через пробелы в безопасности, которыми могут воспользоваться хакеры. Поскольку многие протоколы отдают приоритет функциональности и разработке продуктов, а не безопасности, они становятся более уязвимыми для атак. Человеческие ошибки, такие как создание ненадежных паролей, обмен закрытыми ключами или отказ от обновления соответствующего программного обеспечения, также могут привести к дополнительным уязвимостям, которыми могут воспользоваться хакеры.

Учитывая вышеизложенное, новаторам Web3 крайне важно понимать, что не существует простого и быстрого решения проблемы.

Восстановление доверия потребителей и достижение «безопасного» статус-кво потребуют осознанных и целенаправленных действий со стороны всех обитателей Web3 — от отдельных пользователей и разработчиков до крупномасштабных децентрализованных финансовых (DeFi) протоколов.

Строительство крепости

Отдельные пользователи могут и должны предпринять шаги, чтобы защитить себя; однако основная ответственность за защиту криптоактивов, естественно, ляжет на протоколы DeFi.

Новаторы должны осознавать свои ограничения — «ненадежная» технология не обязательно означает совершенную или неприкосновенную технологию. Кибербезопасность — это индустрия с оборотом в 153 миллиарда долларов. при определенном пороге риска даже осторожные и действующие из лучших побуждений организации больше не могут защитить себя от злоумышленников без специализированной поддержки.

В случае с протоколом привлечение стороннего аудита и мониторинга кода специализированными фирмами по кибербезопасности блокчейна становится обязательным. Обладая глубоким пониманием экосистемы блокчейна и сложными инструментами, эти фирмы могут помочь обнаружить потенциальные угрозы, аномалии и уязвимости в протоколах DeFi, что сделает их менее уязвимыми для взломов. Регулярные углубленные проверки кодовой базы могут выявить уязвимые места, что снизит возможности для хакеров.

На институциональном уровне в существующие системы должны быть встроены надежные меры безопасности, такие как мониторинг транзакций и протоколы реагирования на чрезвычайные ситуации.

Мониторинг транзакций может помочь обнаружить подозрительные действия на ранней стадии, что позволит оперативно вмешаться. Автоматизированные меры экстренного реагирования, такие как автоматические выключатели, являются еще одной ценной мерой безопасности, которая может помочь, поскольку они могут замедлять подозрительные транзакции и останавливать операции протокола при обнаружении подозрительной активности.

Кроме того, внедрение инновационных технологий, таких как автоматизированные системы обнаружения угроз, может сыграть важную роль в предотвращении атак.

Эти системы, часто основанные на передовых алгоритмах машинного обучения, могут обнаруживать и нейтрализовывать подозрительные действия до того, как они нанесут значительный ущерб. Они обеспечивают жизненно важный уровень безопасности, мгновенно реагируя на угрозы, делая протоколы DeFi более устойчивыми к изощренным попыткам взлома.

Подробнее читайте в нашем разделе мнений: обещанный Web3 мегаполис пока не доставляет удовольствия

Участие в постоянном обучении пользователей также является обязательным.

Информирование пользователей о мерах безопасности и потенциальных угрозах может значительно снизить риск успешных попыток фишинга или других атак, нацеленных на пользователей. Более того, поскольку информированные пользователи с меньшей вероятностью станут жертвами мошенничества, обучение пользователей может повысить общую безопасность. А для отдельных пользователей использование новейших и лучших практик в области цифровой безопасности не подлежит обсуждению; это включает в себя использование надежных и уникальных паролей, использование многофакторной аутентификации и поддержание актуальности программного обеспечения.

Конечно, такие меры защиты не могут быть введены в действие в одночасье. Разработка надежной стратегии безопасности требует тщательного планирования, рассмотрения и финансовых вложений.

Некоторые в отрасли могут задаться вопросом, стоит ли прибыль подъема; но для меня единственный возможный ответ - решительное да.

Сегодняшним новаторам приходится успокаивать и защищать начинающих пользователей Web3, а также следить за тем, чтобы легендарные ограбления криптовалюты не превратились в поучительные истории.