📰 Этому специалисту по кибербезопасности платят за взлом Ethereum – на благо сети

Этому специалисту по кибербезопасности платят за взлом Ethereum – на благо сети

Типичный день Дэвида Теодора, исследователя безопасности из Ethereum Foundation, часто начинается с того, что он проверяет, не было ли сбоев в Ethereum, крупнейшем в мире блокчейне смарт-контрактов.

После этого он и его коллеги принялись пытаться сломать его самостоятельно.

«Наша цель — сломать вещи до того, как их сломает кто-то другой, чтобы больше нечего было ломать», — сказал Теодор CoinDesk в интервью.

33-летний Теодор — один из примерно 10 компьютерных инженеров и специалистов по кибербезопасности в исследовательской группе по безопасности Ethereum Foundation, согласно слайд-презентации от июня. Они считают себя главными хранителями и хранителями быстрорастущей сети, которую некоторые эксперты по блокчейну считают основой будущей глобальной, цифровой и децентрализованной финансовой системы.

Согласно слайд-презентации, в Ethereum Foundation, созданном известным основателем блокчейна Виталиком Бутериным и созданном для поддержки развития сети, работает около 150 человек. Основное внимание уделяется постоянным обновлениям программ, инициативам роста, спонсированию конференций разработчиков и предоставлению грантов.

Таким образом, этот отряд исследователей безопасности представляет собой лишь часть общей деятельности фонда. Но в криптоиндустрии, известной выпуском новых протоколов и приложений, которые впоследствии оказываются уязвимыми для дорогостоящих эксплойтов, роль команды не может быть более важной: хакеры всегда ищут новые точки атаки, и единственная ошибка может привести к разрушительный удар по репутации блокчейна как безопасного места для транзакций.

«Всегда сбивает с толку»

Члены команды имеют широкий спектр знаний и специализаций – многие из них имеют степени в области компьютерных наук, но имеют опыт реагирования на эксплойты, атак на распределенные системы и применения криптографии.

Одним из методов, которые команда безопасности использует для защиты блокчейна, является «фаззинг» — термин, заимствованный из индустрии разработки программного обеспечения, который стал распространенным способом проверки безопасности и отказоустойчивости системы.

В контексте работы над Ethereum члены команды безопасности вводят неверные входные данные в сетевые узлы, чтобы выявить ошибки или уязвимости в программном обеспечении. Цель фаззинга — увидеть, есть ли какие-либо негативные реакции на систему.

«Мы всегда фаззинг. У нас постоянно работают большие суперкомпьютеры», — сказал Теодор CoinDesk. «Они всё путают, пока ты работаешь, пока ты спишь».

Жизнь исследователя безопасности Ethereum

В режиме 24/7 день жизни Теодора всегда выглядит немного по-другому.

«Если вы видите панику или ошибки любого рода, что-то похожее на сбой, — говорит он, — вы смотрите на них и говорите: «Это проблема из-за моего фаззера или это проблема, которую может решить злоумышленник?» создать ту же проблему?»

Живя в Остине, штат Техас, Теодор иногда берет свой офис в дорогу – в автомобиле для отдыха Airstream со специальным офисом, который позволяет ему продолжать работать, даже когда он припаркован в отдаленных местах.

Портативный офис вмещает два больших монитора и подключается к внешнему миру через спутниковый интернет-сервис Starlink Илона Маска. «Пространство достаточно большое, чтобы с комфортом могли разместиться два человека и собака», — говорит Теодор.

В конце 2022 года Airstream служил его базой, припаркованной в Грэнби, штат Колорадо, в тени национального парка Роки-Маунтин, поскольку разработчики Ethereum продвигались к важной вехе, известной как «Слияние» — когда проект перешел на более энергоемкий подход. эффективная сеть «доказательства доли» на основе системы «доказательства работы», используемой Биткойном, оригинальным блокчейном.

«Мы пробыли там месяц до слияния», — вспоминал Теодор. Это было удобное место, поскольку он мог легко поехать в Боулдер, штат Колорадо, чтобы встретиться с другими членами команды Ethereum Foundation и стать свидетелями исторического события.

Теодор изучал электротехнику в Техасском университете в Арлингтоне, но после окончания учебы сделал карьеру в области кибербезопасности. В начале своей карьеры он основал подразделение наступательной кибербезопасности в Raytheon, а затем в 2020 году перешел в фирму по анализу данных SkySafe, а затем в технологический гигант Google.

Он присоединился к Ethereum Foundation в 2021 году, узнав, что организация формирует команду безопасности. Первоначально его роль заключалась в исследовании того, как защитить блокчейн во время перехода к доказательству доли.

С тех пор эта работа превратилась в более широкую задачу по поддержанию целостности сети.

«Они хотели создать команду, которая специализируется на такого рода вещах, на тонкостях того, как национальные государства финансируют эти кибероперации и как они их осуществляют», — сказал Теодор CoinDesk. Фонд набрал членов, которые могли бы «применить эту методологию здесь, оставаться на шаг впереди и попытаться сделать Эфириум надежным».

В июне Теодор выступил с презентацией исследовательской группы по безопасности Ethereum Foundation перед группой разработчиков криптовалют из Остина, перечислив обязанности, в том числе «общая безопасность хардфорка», «здоровье маяковой цепи», программы вознаграждения за обнаружение ошибок, «координацию безопасности клиентов» и «разнообразие клиентов». пропаганда».

«Наша команда обнаружила ошибки в каждом клиенте CL, EL и не только», — говорится на одном из слайдов презентации. «CL» означает уровень консенсуса Ethereum, где размещаются и проверяются валидаторы блокчейна, а «EL» обозначает уровень исполнения блокчейна, где транзакции завершаются, а состояние блокчейна записывается и управляется.

По его словам, его работа весьма нетрадиционна по сравнению с работой других специалистов по кибербезопасности – отчасти потому, что организация придерживается более горизонтальной структуры управления, а также потому, что эту работу можно выполнять практически откуда угодно.

Эфириум, известный своими «умными контрактами», которые обеспечивают программируемость и хостинг децентрализованных приложений, быстро расширился, особенно сейчас, когда он служит центром подтверждения и расчетов – «уровнем 1» или «L1» – для множества Блокчейны «уровня 2», которые работают поверх него, такие как Arbitrum, Optimism и новый базовый блокчейн Coinbase.

Теодор считает, что по мере того, как сеть приобретает все большую ценность, важность задач команды по обеспечению безопасности будет возрастать.

Общая рыночная капитализация токенов эфира (ETH) Ethereum в настоящее время составляет около 212 миллиардов долларов.

«Я думаю, что мы настроены критически», — поделился Теодор. «Самым синонимом безопасности, если вы говорите о пространстве блоков, является Ethereum L1».