Ограбление POLY на сумму 600 млн долларов показывает, что DeFi нужны хакеры, чтобы стать неуязвимым

Вероятный виновник ONE из крупнейших краж Криптo сделал это «ради развлечения». Во вторник анонимный хакер или группа украли Криптo на сумму около 600 миллионов долларов из POLY Network, по-видимому, чтобы преподать урок многоцепочечной платформе (так они сказали в вопросах и ответах о своих мотивах и планах).

Они обнаружили ошибку — или, скорее, часть кода, которая позволяла им переводить деньги себе — и отреагировали на нее. Разработчики T собирались вставлять кнопку «бесплатные деньги», но она была готова к эксплуатации. И хвала богу: это еще ONE ошибка, которая (надеюсь) T повторится.

Эта статья взята из The Node, ежедневного обзора CoinDesk самых важных историй в сфере блокчейна и новостей Криптo . Вы можете подписаться, чтобы получить полную версиюинформационный бюллетень здесь.

«Меня не очень интересуют деньги! Я знаю, что это больно, когда на людей нападают, но разве они не T чему-то Словарь из этих атак?» — написал эксплуататор в среду в данных блокчейна Ethereum . На момент публикации статьи примерно половина украденных средств была возвращена.

На самом деле, я не могу сказать, являются ли ониискренне«белый» хакер или «черный» хакер, который понял, что обналичить его будет невозможно. Как бы то ни было,Тор Экеланд, адвокат, построивший карьеру на защите компьютерных мошенников, сказал: «Взлом часто больше связан с острыми ощущениями от взлома, чем с каким-либо объектом, полученным в результате взлома».

Взломы и эксплойты не редкость в растущей многомиллиардной экосистеме децентрализованных Финансы (DeFi), частью которой была POLY Network. Часто являясь результатом поспешно разработанных скриптов или более глубоких недостатков на уровне протокола, атаки также являются важной частью того, как любая компьютерная сеть становится более безопасной. Это вдвойне верно в мире блокчейна.

На самом деле, некоторые скажут, что взломы приводят к невзламываемому коду. Это спорный момент, особенно потому, что хакеры T всегда возвращают украденные средства, и, несомненно, в процессе люди страдают.

Читать дальше: Вымогательство пошло не так: переговоры Binance с «утечкой информации о KYC»

«В мире блокчейна, когда кто-то внедряет смарт-контракт, например, на Ethereum , в котором есть уязвимость, сотни миллионов долларов исчезают в одночасье, и нет никакой возможности восстановить их», — легендарный бывший специалист по информатике Google и основатель Агорический, Марк Миллер сказал на конференции Foresight Institute в2018. «По сути, существуют огромные вознаграждения за ошибки. И когда что-то из этого собирается, программное обеспечение с этими уязвимостями умирает».

Другими словами, системы на основе блокчейна сталкиваются с эволюционным давлением. Слабые проекты сталкиваются с «ранней смертью», поэтому вся система заполняется безопасным кодом.

Технологии блокчейн существует всего лишь чуть больше десятилетия. DeFi, как мы ее знаем, еще моложе. Можно утверждать, что мы находимся только на начальной стадии принятия, и на этом пути, скорее всего, будет еще много ошибок.

Взломы — T единственный способ развития проектов или протоколов. Люди могут создавать простые вещи медленно, как в случае с Bitcoin, который падал всего дважды за 12 лет своего существования. Существуют внешние аудиты и потенциальная роль политиков или государственных регуляторов.

Но поиск недостатков в кодовой базе или обнаружение злоумышленников постфактум — это как «охота на волков», — написал в личном сообщении Зуко Уилкокс-О'Хирн, специалист по компьютерной безопасности и создатель Zcash, позаимствовав фразу у Виталика Бутерина.

Он должен знать. В 2015 году его аудиторская компания Least Authority была нанята группой разработчиков для проведения аудита безопасности сети Ethereum , которая должна была быть запущена в ближайшее время. Многие уязвимости, которые они найденный были исправлены, но не та , которая была связана с «повторным входом», что позволяло людям развертывать смарт-контракты, которые могли быть использованы злоумышленниками.

Всего несколько лет спустя эта же уязвимость была использована в «Взлом DAO», головная боль на 55 миллионов долларов, которая привела к спорному форку между Ethereum и Ethereum Classic. В то время, когда Least Authority подал свой отчет, он даже привел гипотетический пример смарт-контракта, который мог бы быть использован: смарт-контракт краудфандинга, как The DAO.

Читать дальше: Взлом на 55 миллионов долларов, который едва не обрушил Ethereum | Мэтью Лейзинг

По мере того, как все больше денег вливается в смарт-контракты, становится все сложнее «охотиться на волков» или отдельных эксплуататоров. С помощью хаков целые сообщества вместе Словарь тому, что следует и не следует повторять. Со временем это приводит к более «надежному» коду. Это ONE из способов «защитить овец».

«Если мы, люди, собираемся полагаться на компьютеры в выполнении важных для нас задач — а мы так и поступаем! — то нам действительно необходимо, чтобы эти программы были невзламываемыми. И, несмотря на цинизм и отчаяние моих коллег-экспертов по безопасности, это на самом деле достижимо!» — сказал Уилкокс.

«Для каждой программы вроде The DAO и POLY , которая была использована из-за уязвимости, вы можете указать на другую программу, которая делала то же самое, но не имела этой уязвимости. Так что прогресс возможен!»

ОБНОВЛЕНИЕ (12 августа 2021 г., 18:35 UTC):Исправляет имя Агорика. Приносим извинения за ошибку.