Блокчейн, вероятно, не так безопасен
5 ноября 2022 г.У блокчейн-ландшафта плохая репутация в плане безопасности; каждый месяц появляются новости о взломе, и это бросает вызов тому, как рекламирует себя технология. Теоретически блокчейн — одна из самых безопасных технологий, и предполагается, что ее невозможно взломать.
Тем не менее, громкие взломы в этом году имеют комментарий по этому поводу. В этом году произошло нарушение безопасности Crypto.com, IRA Financial Trust, Cashio, Fei Protocol, Qubit Bridge, Harmony Bridge, Beanstalk, Wormhole, Axie Infinity Ronin Bridge и последний взлом BNB. Мосты встречаются часто, и скоро мы узнаем, почему.
По данным Chainalysis, в 2021 году было украдено 3,2 миллиарда долларов, и, несмотря на снижение стоимости криптоактивов, взломщики 2022 года так стараются догнать показатели 2021 года. Общее количество взломов с 2022 года по состоянию на конец октября составило 2,98 миллиарда долларов — цифры кажутся нормальными, пока вы не проанализируете глубже и не обнаружите, что большинство криптоактивов упало более чем на 60%. Этот уровень нарушений безопасности в 2021 году будет более чем в три раза выше, чем сейчас.
Безопасность блокчейна — серьезный аргумент для защиты, особенно если учесть, что традиционные финансы не испытывают столько проблем с безопасностью. Отчеты о взломе, упомянутые в статье, пока касаются только средств, потерянных протоколами и учреждениями.
Статистика пользователей может быть намного хуже, но невозможно сказать точную цифру, которую пользователи криптовалюты могли потерять из-за мошенничества и взломов. Учитывая рост числа нарушений безопасности, логично утверждать, что внедрение криптографии и блокчейна может занять больше времени, чем мы предполагаем.
Мосты и хаки
Большинство недавних нарушений безопасности затронули протоколы DeFi, при этом больше всего пострадали межсетевые мосты. Недавний взлом BNB произошел из-за уязвимости в межсетевом мосту сети, который обеспечивает беспрепятственную передачу активов между BNB Beacon Chain (BEP2) и Binance Smart Chain.
Сообщается, что первоначальный ущерб составил около 570 миллионов долларов. Но благодаря усилиям вкладчиков узлов удалось снизить потери примерно до 100 млн долларов, что стало еще одной ситуацией, вызвавшей споры об истинной природе децентрализации сети.
У мостов была самая высокая частота этих нарушений безопасности, потому что их структуры все еще развиваются. Межсетевые мосты — это, по сути, протоколы, обеспечивающие беспрепятственную передачу ценностей и активов по разным сетям. Например, вы не можете потратить BTC на Ethereum, поэтому мосты предлагают вам обернутую версию BTC (wBTC), которая будет соответствовать стандарту токена, для которого она вам нужна; в данном случае ERC-20.
Ваши BTC заблокированы на кроссчейн-мосте, и это фактически делает их главной целью для атак, потому что они держат большой капитал в сети. Недавние взломы моста произошли из-за несовершенства системы безопасности и в основном из-за уязвимостей в смарт-контрактах.
Принято считать, что в течение следующих нескольких лет мы усовершенствуем передовые методы написания смарт-контрактов для мостов и будем иметь более способных рук для написания и анализа этих кодов. Однако побочный ущерб дорого обходится, и довольно легко понять, как это изменит ситуацию.
Мое самое раннее понимание того, что такое уязвимость смарт-контракта, пришло из проекта NFT где-то в 2021 году. Этот проект предназначался для его участников из белого списка, чтобы чеканить 3 NFT каждый, прежде чем перейти к публичному монетному двору. Однако со смарт-контрактом что-то не так, что уже заметили несколько пользователей с опытом программирования.
Смарт-контракт позволял использовать монетный двор только адресам из белого списка. Но если пользователь выпускает 3 NFT со своим кошельком из белого списка и отправляет эти три элемента, он может вернуться, чтобы отчеканить еще 3; промыть и повторить. Пользователям было очень приятно следить за этим, потому что NFT уже продавался на вторичном рынке в 10 раз дороже своей первоначальной цены. В то время такая ситуация уже случалась несколько раз с другими проектами, которую можно было бы назвать ошибкой новичка.
Однако недавние взломы мостов показали, что эти уязвимости существуют для тех, кто ищет достаточно усердия, чтобы их использовать. В основном речь идет о том, чтобы обмануть компьютер, поставить его в условия, которые смарт-контракт явно не охватывает, и вы сможете выполнять вредоносные действия в сети. Блокчейн сам по себе теоретически очень безопасен, но пока мы не сможем писать почти идеальные смарт-контракты, нас ждут опасные времена.
Насколько серьезны угрозы безопасности?
Блокчейн-сети могут быть атакованы различными способами — такие атаки, как DDoS-атаки, эксплойты неправильной конфигурации программного обеспечения, вредоносное ПО, специфичное для блокчейна, или выполнение атак на основе транзакций, обычно нацеленных на узлы блокчейна. Однако ландшафт блокчейна более знаком с фишинговыми атаками, атаками Сивиллы, маршрутизирующими атаками и атаками 51%. Мошенники и хакеры всегда пытаются получить лучшее от платформ и пользователей.
Угроза, которую это представляет для учреждений, кажется большим злом, пока не обнаружится, насколько плохо это может быть для среднего пользователя. Злоумышленникам было легко это сделать, потому что блокчейн также позволяет экосистеме украсть деньги и замести следы.
Угроза, которую это представляет для учреждений, по-видимому, имеет большее значение, потому что они находятся в лучшем положении для создания систем, которые могут смягчить и контролировать кражи и взломы. Однако случайный опрос показал бы, что миллионы долларов ежедневно переходят из рук пользователей в руки мошенников.
Генеральный директор FTX Сэм Бэнкман-Фрид недавно написал в Твиттере, как FTX помогает пользователям бороться с фишинговыми атаками, включая недавнюю фишинговую атаку с планами по смягчению последствий для поддержки пострадавших пользователей.
https://twitter.com/SBF_FTX/status/1584304025247580160?s =20&t=SveHpocf370hX754dTpYbw?embedable=true
Известный сетевой сыщик под ником ZachXBT в Twitter обнаружил фишингового мошенника по имени Monkey Drainer, который, как сообщается, украл у нескольких пользователей более 700 ETH на сумму более 1 миллиона долларов.
https://twitter.com/zachxbt/status/1584955933452484613?s =20&t=Y_Xvr1hVwjHo4feJTzfmlw?embedable=true
Становится еще хуже, когда ты узнаешь, что это происходит ежедневно. Мошенники пользуются раздражительностью пользователей, чтобы решить определенные проблемы или совершить сделку, чтобы обманом заставить их подписать вредоносные смарт-контракты, которые опустошают их кошельки, или ввести свои закрытые ключи на фишинговый сайт.
Официальных данных о сумме, которую пользователи потеряли из-за мошенничества, нет, но предположения довольно пугающие, если представить, что это сбережения людей. Пользователям пришлось изучить основные советы по безопасности, чтобы обезопасить себя. Пользователи должны понимать, что безопасность — это исключительно их ответственность; здесь нет линий поддержки или обслуживания клиентов, по которым можно было бы сообщить о проблемах, к чему можно было бы привыкнуть.
Как это может повлиять на внедрение криптографии
Блокчейн позволяет создать систему, в которой финансы полностью защищены. пользователи будут нести ответственность за хранение своих средств и их защиту от злоумышленников, которые всегда будут пытаться завладеть ими злонамеренно. С другой стороны, традиционная финансовая система не дает пользователям полного контроля над своими деньгами, но существуют существующие механизмы, защищающие пользователей от мошенничества. Кроме того, система не так благоприятна для мошенников и мошенников.
Блокчейн-ландшафт благословлен пользователями, которые посвящают усилия и время, чтобы помочь другим пользователям отследить их украденные средства и работать над их возвратом. Тем не менее, есть только короткое окно, когда их усилия будут значительными. Блокчейн прозрачен, но крипто-мошенники уже знают лучшие методы отмывания денег и сокрытия истории своих транзакций.
Согласно данные Triple-A, только 4,2% населения мира владеет криптовалютами. Это может быть меньшее количество пользователей, которые могут иметь несколько кошельков. Крипто-ландшафт выполняет довольно сложную работу, убеждая пользователей принять блокчейн. Пользователи в первую очередь обеспокоены безопасностью средств, и если традиционные системы гарантируют лучшую безопасность, чем блокчейн, недостатком использования традиционных финансов может быть небольшая цена за спасение.
Учитывая, как легко мошенникам обмануть обычного пользователя, это пугающая попытка для новичков, не знакомых с передовыми методами обеспечения безопасности. Теоретически блокчейн очень безопасен, но, поскольку в настоящее время все еще разрабатываются лучшие реализации для его платформы, пользователи несут определенную ответственность.
Оригинал