Пограбування POLY на 600 мільйонів доларів показує, що DeFi потребує хакерів, щоб стати неможливим для злому

Ймовірний виконавець ONE з найбільших Крипто крадіжок зробив це для «забави». У вівторок анонімний хакер або група вкрали Крипто на суму близько 600 мільйонів доларів у POLY Network, мабуть, щоб навчити мультиланцюговій платформі урок (це те, що вони сказали в Q&A про свої мотиви та плани).

Вони виявили помилку, точніше, частину коду, яка дозволяла їм переказувати гроші собі, і вжили заходів. Розробники T мали наміру вставляти кнопку «вільні гроші», але вона була готова до використання. І хвала: це ще ONE помилка, яка (сподіваюся) T повториться.

Ця стаття є уривком із The Node, щоденного огляду найважливіших історій у сфері блокчейну та Крипто CoinDesk. Ви можете підписатися, щоб отримати повну версіюінформаційний бюлетень тут.

"Мене не дуже цікавлять гроші! Я знаю, що боляче, коли на людей нападають, але чи T варто їм чогось Навчання з цих нападів?" експлуататор опублікував у середу дані блокчейну Ethereum . На момент преси близько половини вкрадених коштів повернуто.

Це не моя справа говорити, чи є вони щиро хакер з «білим капелюхом» або «чорний капелюх», який зрозумів, що вивести гроші буде неможливо. Скільки це варте, Тор Екеланд, адвокат, який побудував кар’єру, захищаючи комп’ютерних зловмисників, сказав: «Хакінг часто пов’язаний із захопленням від злому, ніж будь-яким об’єктом, отриманим під час злому».

Зломи та експлойти – не рідкість у зростаючій багатомільярдній екосистемі децентралізованого Фінанси (DeFi), частиною якої є POLY Network. Атаки, які часто є результатом поспішно розроблених сценаріїв або глибших недоліків на рівні протоколу, також є важливою складовою безпеки будь-якої комп’ютерної мережі. Це подвійно вірно у світі блокчейну.

Фактично, дехто сказав би, що хаки призводять до коду, який неможливо зламати. Це суперечливий момент, особливо тому, що хакери T завжди повертають вкрадені кошти, і, безсумнівно, людям при цьому завдається шкоди.

Читайте також: Здирство пішло погано: всередині переговорів Binance з «витоком KYC»

«У світі блокчейну, коли хтось розгортає смарт-контракт — наприклад, на Ethereum — який має вразливість, сотні мільйонів доларів зникають миттєво, і немає жодного регресу», — легендарний колишній комп’ютерний науковець Google і засновник АгоричнийПро це Марк Міллер сказав на конференції Інституту Форсайту в м 2018 рік. "По суті, є величезні винагороди за помилки. І коли ONE з цих речей збирають, програмне забезпечення з цими вразливими місцями вмирає".

Іншими словами, системи на основі блокчейну стикаються з еволюційним тиском. Слабким проектам загрожує «рання смерть», тому вся система заповнюється безпечним кодом.

Технології блокчейн існує лише трохи більше десяти років. DeFi, як ми його знаємо, ще молодший. Є аргументи, що ми перебуваємо лише на початкових етапах впровадження, і на цьому шляху, ймовірно, буде ще багато помилок.

Зломи — T єдиний спосіб розвитку проектів або протоколів. Люди можуть будувати прості речі повільно, як у випадку з Bitcoin, які за 12 років життя падали лише двічі. Існують зовнішні аудити та потенційна роль для політиків або державних регуляторів.

Але шукати недоліки в кодовій базі чи знаходити експлуататорів постфактум — це як «полювання на вовків», — сказала у прямому зверненні Зооку Вілкокс-О’Герн, спеціаліст з комп’ютерної безпеки та ідеолог, що стоїть за Zcash, запозичуючи рядки Віталіка Бутеріна.

Він повинен знати. У 2015 році його аудиторську компанію, Least Authority, найняла група розробників для проведення аудиту безпеки мережі Ethereum , яка незабаром буде запущена. Багато вразливих місць вони знайдено були виправлені, але не ONE, що пов’язаний із «повторним входом», який дозволяв людям розгортати смарт-контракти, які можна використовувати.

Буквально через роки цю саму вразливість було використано в "Злом DAO, головний біль у розмірі 55 мільйонів доларів США, який призвів до спірного форку між Ethereum та Ethereum Classic. Під час подання звіту Least Authority навіть надав гіпотетичний приклад смарт-контракту, який можна використати: смарт-контракт для краудфандингу, як-от The DAO.

Читайте також: Хак за 55 мільйонів доларів, який ледь не обвалив Ethereum | Метью Лейзінг

Оскільки все більше грошей накопичується в розумних контрактах, «полювати на вовків» або окремих експлуататорів ставатиме все важче й важче. За допомогою хаків цілі спільноти разом Навчання , що слід і що не слід повторювати. З часом це призводить до більш «надійного» коду. Це ONE із способів «бронювати овець».

"Якщо ми, як люди, збираємося покладатися на комп’ютери для виконання важливих для нас речей — а ми! — тоді ми справді вимагаємо, щоб ці програми були незламними. І, незважаючи на цинізм і розпач серед моїх колег-експертів із безпеки, це насправді досяжно!" – сказав Вілкокс.

"Для кожної програми, як-от The DAO та POLY , яку використовували через уразливість, ви можете вказати на іншу програму, яка робила те саме, але не мала такої вразливості. Тож прогрес можливий!"

ОНОВЛЕННЯ (12 серпня 2021 р., 18:35 UTC): Виправляє ім'я Агоріка. Вибачте за помилку.