Poly Network Hack — перегляд сценарію «справжнього хакера».

Нещодавній міжланцюговий хак Poly Network, зокрема Ethereum, Binance Smart Chain і Polygon викликав багато галасу, оскільки хакер повернув вкрадені кошти.

Чим довше триває історія, тим більше подробиць і припущень про неї з'являються справжні мотиви хакера.

Якщо ви уважніше подивитеся на цю подію, ви можете задатися питанням, чи це була атака повністю реалізована сторонніми особами.

Що ховається під хаком

Злом Poly Network стався через використання вразливості в міжланцюжкових мостах, побудованих Poly Network. Це було передбачено в звітом компанією з кібербезпеки SlowMist.

Компанія з кібербезпеки BlockSec має запропонований версія злому. У цій версії хакер заволодів ключем що дозволило йому підписувати міжланцюгові транзакції за допомогою мостів Poly Network. В іншому випадку він знайшов помилку в смарт-контракті Poly Network, яка дозволила йому генерувати власні транзакції.

Обидва такі експлойти було б дуже важко знайти як для хакерів, так і для аудиторів. Очевидно, аудитори не виявили експлойту. Тож це відкриває для нас можливість сумніватися щодо зовнішнього хакера.

Крім того, ви повинні враховувати піар-ефект, який викликала новина. Це змушує мене думати про те, що це був піар-захід компанії.

Однак сценарій «справжнього хакера» все ще актуальний через кілька фактів. Хакер вирішив повернути кошти. Це сталося після того, як у Twitter з’явилася інформація про IP-адресу хакера та підтверджену адресу клієнта на китайській біржі криптовалют Hoo.com.

Перед атакою хакер зняв 0.47 ETH з нього платити за газ за транзакції. Біржа змогла зареєструвати електронну пошту та IP-адресу, які використовував хакер.

Тож під загрозою кримінального переслідування хакер вирішив повернути вкрадені кошти, щоб уникнути обвинувачення. Однак це виглядає досить сумнівно, оскільки хакер використовував численні інструменти анонімізації. Це також було у його відповіді на звіт SlowMist.

Також варто зазначити, що зловмисник відправив частину вкрадених коштів у пул ліквідності Ellipsis Finance. Можливо, це вже принесло йому пристойний прибуток, а решта коштів не варті ризику.

Нова технологія несе в собі ризики

Основною причиною зломів є використання нових мов програмування, з якими багато розробників блокчейнів не зовсім знайомі, наприклад, мова програмування Solidity.

Однак найбільший тягар лежить на архітектурних характеристиках смарт-контрактів, які створюють найбільше безпеку зокрема загроза децентралізованим фінансам.

Крім того, кількість співробітників служби безпеки явно недостатня в більшості блокчейн-стартапів. Деякі з них навіть не намагаються провести належний аудит своїх технологій.

Тим часом із зростанням галузі зростає й кількість гіків, які вивчають технології. Різниця в цифрах часто на користь гіків, які, об’єднавшись у групу, можуть стати причиною величезної небезпеки для кількох тисяч працьовитих людей у ​​всій галузі.

Чим більше розвиватиметься галузь, тим більше буде вразливостей, поки ситуація з безпекою в галузі залишається такою, як зараз.

Шляхи боротьби з кіберзагрозами у сфері криптовалют

Перш за все, більше уваги слід приділяти безпеці смарт-контрактів. Найчастіше успішні хакерські атаки відбуваються на смарт-контракти, які не пройшли належний аудит.

Дозволити може лише системний підхід до безпеки блокчейн-проектів Defi масштабувати. Це включає перевірки, які проводять професіонали та дотримання протоколів безпеки всередині підприємства.

Говорячи про боротьбу з архітектурними ризиками, модульний підхід може бути хорошим вирішенням проблеми. Перевагою модульної розробки є те, що це схоже на створення локальної мережі за допомогою блейд-систем, які можна замінити, не вимикаючи весь блок, у якому вони працюють.

Ви можете замінити сервер без шкоди для роботи локальної мережі. Таким чином, ви можете перебудувати модуль без шкоди для роботи решти вашого стеку технологій.

Приклад Poly Network не унікальний, будь-який проект, який працює з величезними коштами, повинен пройти незліченну кількість перевірок коду, і завжди краще використовувати послуги кількох аудиторів, а не одного, якими б хорошими та професійними вони не були.

Подвійна перевірка має бути керівним принципом у цьому відношенні. По-друге, не варто випускати проект поспішно, тому що ціна помилки в незмінному коді занадто висока. Навіть якщо деякі дати випуску мають змінитися, краще це зробити, ніж ризикувати випустити продукт, якому ви не довіряєте.

Обидві ці тактики можуть суттєво знизити контрольовані та невпливові ризики.

Що це означає для майбутнього?

Це може бути стороння хакерська атака або інсайдер, який вирішив підняти ажіотаж навколо проекту. Наразі малоймовірно, що ми дізнаємося правду, поки компанія не оприлюднить свої результати.

Однак, якби це була атака, здійснена компанією заради привернення уваги громадськості, було б безглуздо очікувати, що вони відкриються, оскільки це може мати дуже серйозні наслідки для всіх її виконавчих менеджерів.

Справа в тому, що проблема безпеки потребує серйозного вирішення. Поки це не так, ми побачимо більше заголовків про епічні крадіжки в криптовалютних ЗМІ.