Будущее Web3 под угрозой из-за хакеров

Web3 развивается неравномерно: криптовалюты вот-вот приблизятся к массовому принятию, а базовые проблемы с безопасностью блокчейна до сих пор никто не решил. Одна ошибка в коде обходится в сотни миллионов или даже миллиарды долларов, и выход тут один — просить помощь у хакеров. Почему в будущем краж и взломов не станет меньше и с чем связана нехватка погруженных в тему людей — главное из материала Vice. 

Кражи и взломы в Web3 возникают регулярно, только за последнее время мы наблюдали за целым рядом громких схем, повлекших за собой потери в $1,3 млрд:

• $600 млн украдено с Poly Network,
• $320 млн — с кроссчейн-криптоплатформы Wormhole,
• $30 млн — с Crypto.com,
• около $4 млн — у пользователей Multichain,
• $140 млн — у криптоигровой компании VulcanForge,
• почти $120 млн — у посетителей сайта BadgerDAO,
• $150 млн — у криптобиржи BitMart, которая называет себя «самой надежной».

И этим список не ограничивается. По данным аналитической компании Elliptic, на сегодняшний день DeFi-протоколы уже потеряли $12 млрд из-за мошенников. А ведь учет потерь рядовых пользователей даже не ведется — каждый день кто-то лишается своих бесценных картинок с обезьянами и токенов с собаками.

Хакеры используют все возможные средства — от взлома смарт-контрактов до банальных фишинга и веб-атак. Не нужно быть аналитиком, чтобы понять, что у Web3 и криптовалют в частности серьезные проблемы с кибербезопасностью, избавиться от которых будет сложно. Специалисты полагают, что компаниям нового поколения интернета критически важно найти «белых» хакеров, которые действительно знают, как защитить ПО от угроз. 

Загвоздка может возникнуть с тем, что большинство взломщиков считают помощь компаниям аморальной и даже нелепой. А ведь встать на легальный путь и без того сложно — полиция не будет просто так забывать о прошлых проступках.

Сооснователь компании по кибербезопасности Zellic, скрывающийся под ником Jazzy, отмечает, что в Web3 остро не хватает криптоаудиторов и что попадающим в этот бизнес людям важно понимать, что проблемы нового интернета серьезно отличаются от привычных киберугроз. 

«Ставки гораздо выше потому, что ошибка в традиционном тесте на проникновение может стоить проекту всех его миллионов, — говорит Jazzy. — Смарт-контракты можно сравнить с ракетой, запущенной в космос. Если расчет неверный, ракета взорвется, не долетев до цели».

Основная проблема в том, что создание смарт-контрактов, на которых основаны криптовалюты, DeFi-проекты и другие составляющие Web3, разительно отличается от написания приложений для прошлого поколения интернета и мобильных платформ. Jazzy — не единственный, кто указывает на это. То же самое выносит на обсуждение и Дэн Гидо, сооснователь компании Trail of Bits, которая занимается консалтинговыми услугами в сфере кибербезопасности и аудитом смарт-контрактов. 

Смарт-контракты — это неотъемлемая часть блокчейна со всеми вытекающими. Подобно обычным бумажным контрактам, они контролируют выполнение обязательств, однако происходит это автоматически и, как и другие операции на блокчейне, без возможности отмены. Дэн Гидо подчеркивает, что именно из-за отсутствия кнопки «отменить» обнаруженную ошибку не так просто исправить. Это и отличает смарт-контракты от обычного программного обеспечения. 

 «У всех программ есть проблемы, и постулат Web3 о том, что «код — это закон», поднимает ставки, делая эти ошибки неисправимыми. Это кажется забавной игрой, пока вы не потеряете полмиллиарда долларов из-за маленькой ошибки», — говорит Дженнифер Ферник, старший вице-президент и глобальный директор по исследованиям в компании по обеспечению информационной безопасности NCC Group. 

«Среди адептов Web3 распространено неверное убеждение, что блокчейн по определению полностью безопасен. Но это совершенно не так. Существуют специфичные для блокчейна уязвимости, но децентрализованные системы также подвержены большинству рисков, свойственных для других компьютерных систем», — добавляет она. 

Таль Беэри — технический директор криптокошелька ZenGo и один из немногих экспертов по кибербезопасности, который занимается Web3 и криптоиндустрией. По его словам, безопасность Web3 в плачевном состоянии. Несмотря на то, что выстроить эффективную систему защиты смарт-контрактов можно, и современным экспертам это определенно под силу, «гораздо легче монетизировать программы-эксплойты смарт-контрактов». 

Более того, отмечает он, зачастую уязвимостям подвержен даже безопасный код — достаточно допустить его взаимодействие с непроверенными внешними контрактами. В таком случае потери могут быть катастрофическими, несмотря на продуманную защиту в первоначальном коде.

Хоть с популяризацией Web3 некоторые известные компании в сфере кибербезопасности и переквалифицировались в крипто- и блокчейн-консультантов, Таль Беэри считает, что в ближайшее время мир увидит лишь больше взломов и краж. Не спасет ситуацию и тот факт, что многие инвесторы ищут пути для повышения безопасности Web3, нанимая талантливых программистов для решения этих вопросов.

Проблемы с защитой от хакеров относятся не только к самим Web3-проектам, но и к их инфраструктуре. NFT-сообщества и криптокомпании активно используют Discord для общения и кооперации — взлом крупного аккаунта равноценен найденному кладу. В таком случае хакеру даже не придется придумывать сложную схему, достаточно воспользоваться старым-добрым фишингом и разместить объявление со ссылкой на сбор средств от лица компании. 

Зачастую в качестве цели хакеры выбирают сайты криптопроектов — их взламывать легче, чем смарт-контракты. Достаточно обмануть интернет-инфраструктуру третьей стороны. Наиболее уязвимыми оказались NFT-сообщества: все, что нужно хакеру для кражи ценных картинок, — это разрешение криптокошелька, которое легко выманить обманным путем.

Эксперт по кибербезопасности Маркус Кэри недавно запустил консалтинговую компанию, которая специализируется конкретно на художниках, авторах контента и других участниках метавселенной. По его словам, он хочет помочь людям, которые мало знакомы с «базовой гигиеной безопасности в интернете» и от этого беззащитны перед хакерами.

Кэри уверен, что, несмотря на скептицизм и противодействие изменениям, криптовалюты, смарт-контракты и DeFi не исчезнут и в конечном счете войдут в нашу жизнь. Он также уверен, что все эти инструменты успешно пересекаются с более традиционными финансовыми практиками. Иными словами, даже те эксперты по кибербезопасности, которые не хотят заниматься «детскими» NFT или «шарлатанскими» криптовалютами, должны будут разобраться в них и помочь своим организациям безопасно войти в эту сферу. 

Другой эксперт по безопасности в интернете нового поколения Кимбер Доусетт критикует и хакеров и тех, кто пренебрежительно относится к NFT. Она считает, что информировать пользователей о возможных рисках и поддерживать их заинтересованность — важная часть работы консультантов в сфере криптобезопасности.

Доусетт также подчеркивает, что в новом поколении интернета компании стремятся как можно быстрее запускать новые проекты и протоколы в попытке защитить свои инвестиции и выйти на рынок раньше других. При этом они редко думают о таких важных вещах, как безопасность. Вот почему Web3 не просто нуждается в специалистах: новому интернету не хватает руководства, которое предусматривало бы подобные угрозы с самого начала.

Фото на обложке: Standret / Freepik.