Ostatnie włamanie do sieci Poly Network, podczas którego skradziono aktywa na Ethereum, Binance Smart Chain i Polygon, wywołało wiele kontrowersji, ponieważ haker zwrócił skradzione środki.
Im dłużej trwa ta historia, tym więcej pojawia się szczegółów i spekulacji na temat prawdziwych motywów hakera. Jeśli przyjrzeć się bliżej temu wydarzeniu, można się zastanawiać, czy był to atak w pełni zrealizowany przez osoby z zewnątrz.
Co kryje się za włamaniem?
Do włamania do Poly Network doszło poprzez wykorzystanie luki w zabezpieczeniach międzysieciowych mostów zbudowanych przez Poly Network. Tak wynika z raportu firmy zajmującej się cyberbezpieczeństwem SlowMist.
Firma zajmująca się cyberbezpieczeństwem BlockSec przedstawiła inną wersję tego włamania. Według BlockSec haker wszedł w posiadanie klucza, który umożliwił mu podpisywanie transakcji cross-chain przy użyciu mostów Poly Network. W innym przypadku znalazł błąd w SMART kontrakcie Poly Network, który pozwolił mu na generowanie własnych transakcji.
Oba te przypadki byłyby bardzo trudne do znalezienia zarówno dla hakerów, jak i audytorów. Najwyraźniej audytorzy nie znaleźli tego błędu. Dlatego budzi to nasze wątpliwości, jeśli chodzi o działanie zewnętrznego hakera.
Należy również wziąć pod uwagę efekt PR, który wywołała ta wiadomość. To powoduje, że trzeba wziąć pod uwagę możliwość, że był to PR-owy zabieg ze strony firmy.
Jednakże, scenariusz “prawdziwego haker” jest nadal możliwy ze względu na kilka faktyów. Po pierwsze, haker zdecydował się zwrócić środki. Nastąpiło to po tym, jak na Twitterze pojawiły się informacje dotyczące adresu IP hakera oraz zweryfikowanego adresu na chińskiej giełdzie kryptowalutowej Hoo.com.
Przed atakiem haker wypłacił z niej 0,47 ETH, aby zapłacić za opłaty od transakcji. Giełda zdążyła zarejestrować e-mail oraz adres IP używany przez napastnika.
Zagrożony postępowaniem karnym haker postanowił więc zwrócić skradzione środki, aby uniknąć oskarżeń. Wydaje się to jednak dość wątpliwe, gdyż haker korzystał z licznych narzędzi służących anonimizacji. Tak wynikało z jego odpowiedzi na raport SlowMist.
Warto również zauważyć, że napastnik wysłał część skradzionych środków do puli płynnościowej Ellipsis Finance. Mogło mu to już przynieść przyzwoity zysk, przez co reszta środków nie była warta ryzyka.
Nowa technologia pociąga za sobą ryzyko
Główną przyczyną tych włamań jest wykorzystanie nowych języków programowania, z którymi wielu programistów blockchain nie jest do końca zaznajomionych. Na przykład języka programowania Solidity.
Największym obciążeniem są jednak cechy architektoniczne smart kontraktów, które stanowią największe zagrożenie dla bezpieczeństwa, szczególnie w przypadku zdecentralizowanych finansów.
Ponadto, liczba pracowników zajmujących się bezpieczeństwem w większości startupów blockchain jest oczywiście niewystarczająca. Niektóre z nich nawet nie zawracają sobie głowy przeprowadzaniem odpowiedniego audytu swoich technologii.
W międzyczasie, wraz z rozwojem branży, rośnie również liczba maniaków, którzy studiują tę technologię. Różnica w liczbach jest często na korzyść maniaków, którzy, zjednoczeni w grupie, mogą spowodować ogromne zagrożenie dla kilku tysięcy ciężko pracujących ludzi w całej branży.
Im bardziej branża się rozrasta, tym więcej będzie podatności na ataki, dopóki sytuacja z bezpieczeństwem w branży będzie się utrzymywać na obecnym poziomie.
Sposoby radzenia sobie z cyberzagrożeniami w sferze kryptowalutowej
Przede wszystkim należy poświęcić więcej uwagi bezpieczeństwu smart kontraktów. Najczęściej udane ataki hakerskie dotyczą nieodpowiednio skontrolowanych smart kontraktów.
Tylko systemowe podejście do bezpieczeństwa projektów blockchain może pozwolić DeFi na zwiększenie skali działania. Obejmuje to audyty przeprowadzane przez profesjonalistów oraz przestrzeganie protokołów bezpieczeństwa wewnątrz firmy.
Mówiąc o radzeniu sobie z ryzykiem architektonicznym, dobrym rozwiązaniem problemu może być modułowe podejście. Dobrą rzeczą w rozwoju modułowym jest to, że jest to jak budowanie sieci lokalnej przy użyciu systemów typu blade, które mogą być wymieniane bez wyłączania całej jednostki, w której pracują.
Można wymienić serwer bez uszczerbku dla pracy sieci lokalnej. Tak samo można przebudować moduł bez uszczerbku dla pracy reszty technologicznego stosu.
Przykład Poly Network nie jest wyjątkowy. Każdy projekt, który pracuje z ogromnymi sumami pieniędzy musi przejść przez liczne kontrole kodu i zawsze najlepiej jest skorzystać z usług kilku audytorów, a nie jednego, niezależnie od tego jak dobry i profesjonalny by nie był.
Zasadą przewodnią w tym względzie powinno być podwójne sprawdzanie. Po drugie, projekt nie powinien być wypuszczany w pośpiechu. Cena błędu w kodzie, którego nie da się zmienić, może być bowiem zbyt wysoka. Nawet jeśli niektóre z dat premiery muszą ulec przesunięciu, lepiej to zrobić, niż ryzykować wypuszczenie produktu, do którego nie ma się pełnego zaufania.
Obie te taktyki mogą znacząco obniżyć kontrolowane i niepodlegające wpływowi ryzyka.
Co to oznacza dla przyszłości?
Może to być atak hakerski strony trzeciej lub osoby z wewnątrz firmy, która postanowiła wywołać szum wokół projektu. Obecnie jest mało prawdopodobne, że poznamy prawdę, dopóki firma nie ujawni swoich wyników.
Jeśli jednak byłby to atak przeprowadzony przez firmę w celu zwrócenia na siebie uwagi opinii publicznej, głupotą byłoby oczekiwać, że ujawnią się, ponieważ mogłoby to pociągnąć za sobą bardzo poważne konsekwencje dla wszystkich kierowników wykonawczych.
Prawda jest taka, że problem bezpieczeństwa musi zostać poważnie potraktowany. Dopóki tak się nie stanie, będziemy świadkami kolejnych nagłówków o wielkich kradzieżach, które pojawią się w kryptowalutowych mediach.
Trusted
Wyjaśnienie
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.
