Auch wenn die anhaltende Binance-FTX-Saga weiterhin die Krypto-Luftwellen dominiert, gab es einen wachsenden Trend – einen unbehaglichen noch dazu – der in den letzten Monaten die Aufmerksamkeit vieler Enthusiasten digitaler Währungen auf sich gezogen hat, dh Hacker, die Teilbeträge zurückgeben Entdecken von Exploits innerhalb eines Protokolls.
In diesem Zusammenhang haben die schlechten Schauspieler hinter dem 14,5-Millionen-Dollar-Angriff auf Team Finance erst kürzlich enthüllt, dass sie im Besitz von 10 % der gestohlenen Gelder als Kopfgeld bleiben dürfen. In ähnlicher Weise gab Mango Markets, ein in Solana ansässiges dezentralisiertes Finanznetzwerk (DeFi), das kürzlich mit über 110 Millionen US-Dollar ausgebeutet wurde, bekannt, dass seine Unterstützergemeinschaft darauf hinarbeitet, einen Konsens zu erzielen, der es dem Hacker ermöglichen würde, 47 US-Dollar zu erhalten Millionen als Belohnung für die Aufdeckung des Exploits.
Da dieser Trend immer mehr an Bedeutung gewinnt, wandte sich Cointelegraph an mehrere Branchenbeobachter, um zu prüfen, ob eine solche Praxis für das anhaltende Wachstum des Marktes für digitale Vermögenswerte, insbesondere langfristig, gesund ist.
Eine gute Praxis, für jetzt
Rachel Lin, Mitbegründerin und CEO von SynFutures – einer dezentralisierten Börse für Krypto-Derivate – sagte gegenüber Cointelegraph, dass die Gewohnheit, „schwarze Hutmacher“ dazu zu ermutigen, „weiße Hüte“ zu werden, die Branche einerseits ermutigt, ihre Standards für bewährte Verfahren zu erhöhen, aber Es ist immer noch nicht ungewöhnlich, dass beliebte Protokolle abgezweigt oder einfach kopiert und eingefügt werden, wodurch sie voller versteckter Fehler sind. Sie hat hinzugefügt:
„Wir würden nachlässig sagen, dass dies gesund ist, wo es in einer idealen Welt nur White-Hat-Hacker geben würde. Aber der Übergang, den wir sehen, bei dem Hacker einen Teil der Gelder zurückgeben, was vorher nicht der Fall war, ist ein starker Schritt nach vorne, insbesondere in sensiblen Zeiten wie diesen, in denen immer deutlicher wird, dass viele Projekte und Börsen miteinander verbunden sind und könnten Auswirkungen auf das Ökosystem als Ganzes.“
In ähnlicher Weise sagte Brian Pasfield, Chief Technical Officer für den dezentralisierten Geldmarkt Fringe Finance, gegenüber Cointelegraph, dass die Idee, Hackern einen Bruchteil des Geldes zu geben, das sie für die Entdeckung von Schlupflöchern wegschleppen, zwar als ungesund und fast nicht nachhaltig angesehen werden kann, die Tatsache jedoch Festzuhalten bleibt, dass den gehackten Projekten letztlich nichts anderes übrig bleibt, als diesen Ansatz zu nutzen. „Dies ist eine bessere Alternative, als auf den Ansatz der Strafverfolgungsbehörden zurückzugreifen, um die Täter zu schnappen und die Gelder wiederzuerlangen, was sehr lange dauert, wenn es überhaupt erfolgreich ist“, fügte er hinzu.
Aktuell: Was kann Blockchain für die Verlängerung der menschlichen Lebensdauer tun?
Technisch gesprochen sagte Slava Demchuk, Mitbegründer der Krypto-Compliance-Firma AMLBot, gegenüber Cointelegraph, dass alle Aktionen eines Hackers nachvollziehbar sind, da alles on-chain ist, so dass der Hacker eine Chance von fast 0 % hat, das illegal zu nutzen erhaltene digitale Assets. Er fügte hinzu:
„Wenn die Hacker zustimmen, einen Teil dieser gestohlenen Gelder zurückzugeben, verfolgt das Projekt den Hacker normalerweise nicht nur nicht, sondern ermöglicht ihnen sogar, die verbleibenden Gelder legal zu verwenden.“
Schließlich sagte Jasper Lee, Audit Tech Lead bei SOOHO.IO, einer Krypto-Auditfirma für mehrere Fortune-500-Unternehmen, dass diese Art von White-Hat-Verhalten langfristig gesund für die Blockchain-Industrie sein könnte, da sie die Möglichkeit bietet, Schwachstellen zu identifizieren innerhalb von DeFi-Protokollen, bevor sie zu groß werden.
Er sagte gegenüber Cointelegraph weiter, dass es in Nicht-Blockchain-Branchen für Hacker schwierig ist, diese Informationen an die Öffentlichkeit zu bringen, selbst wenn ein Hacker eine Schwachstelle in einem bestimmten Code findet, da dies schwerwiegende rechtliche Probleme verursachen könnte. „Beim traditionellen Hacken ist es sehr selten, dass ein Hacker das Geld zurückgibt, das er genommen hat, da dies wahrscheinlich seine Identität preisgeben würde“, sagte Lee.
Nicht alle sind einverstanden
David Carvalho, CEO von Naoris Protocol, einem verteilten Cybersicherheits-Ökosystem, erklärte unmissverständlich, dass die Erlaubnis für Hacker, Gelder auf diese Weise zu behalten, nicht nur das gesamte Ethos eines dezentralisierten Finanzsystems untergräbt, sondern auch ein Verhalten fördert, das Misstrauen fördert.
„Es kann auf keiner Ebene weiterhin als etwas angesehen werden, das toleriert werden muss. Die Grundlagen eines sicheren und gerechten Finanzsystems ändern sich nicht“, sagte er gegenüber Cointelegraph und fügte hinzu: „Die Prämisse, dass der einzige Weg zur Lösung des Hacking-Problems darin besteht, das Problem zu einem Teil der Lösung zu machen, ist fatal fehlerhaft. Es kann einen kleinen Riss für kurze Zeit beheben, aber der Riss wird unter dem Gewicht der fadenscheinigen Reparaturen weiter wachsen und zu einem destabilisierten Markt führen.“
Eine ähnliche Meinung wird von Tim Bos, Mitbegründer und Vorsitzender von ShareRing – einem Blockchain-basierten Ökosystem, das digitale Identitätslösungen bereitstellt – geteilt, der glaubt, dass dies eine schreckliche Praxis ist. „Es ist vergleichbar mit der Bezahlung von Kriminellen, die Menschen als Geiseln halten. All dies lässt die Hacker erkennen, dass sie ein riesiges Verbrechen begehen können, dafür belohnt werden und dann keine Konsequenzen haben“, sagte er gegenüber Cointelegraph.
Carvalho bemerkte, dass nur weil ein Hacker nett genug ist, einen Teil der Gelder zurückzugeben, dies keine gute Praxis ist, da diese Episoden immer noch dazu führen, dass Menschen und DeFi-Plattformen viel Geld verlieren.
„Wir können es uns nicht leisten, dezentrale Finanzen mit schändlichen Sicherheitslösungen in Verbindung zu bringen. Für eine Massenakzeptanz durch Unternehmen und Einzelpersonen müssen die Sicherheitssysteme in den Web2- und Web3-Ökosystemen vertrauenswürdig und hacksicher sein. Eine Kohorte von Hackern zu haben, die angeblich das Sagen im Bereich der Cybersicherheit haben, ist, gelinde gesagt, verrückt und trägt nichts zur Förderung der Branche bei“, sagte er.
Einen schlechten Präzedenzfall für die Branche schaffen?
Lin wies darauf hin, dass selbst bei traditionellen Web2-Unternehmen – wie den FAANGs dieser Welt – Hacker im Austausch gegen bestimmte Anreize Anreize erhalten, Fehler und Zero-Day-Exploits zu entdecken. Dies ist jedoch oft mit strengen Anforderungen verbunden, und es wird als gesund für das Ökosystem angesehen, wenn White-Hat-Hacker diese Schlupflöcher entdecken. Sie bemerkte:
„Große Exploits oder Entdeckungen versetzen in der Regel die Branche als Ganzes und interne Sicherheitsteams in Alarmbereitschaft. Aber es ist ein rutschiger Abhang. Ich würde argumentieren, dass wir definieren müssten, was ein „White Hat“-Hacker ist. Könnten Sie zum Beispiel einen Hacker, der in die Enge getrieben wird und widerwillig nur 10 % der Gelder zurückgibt, als White-Hat-Hacker betrachten?“
Lee glaubt, dass diese fetten Gehaltsschecks ein wichtiger Ansporn für White Hats sein können, mehr solcher Tricks durchzuführen. Er wies jedoch darauf hin, dass es für die Benutzer des Protokolls immer besser ist, wenn ein Teil der angeeigneten Gelder zurückgefordert wird, anstatt zu sehen, dass 100 % der Gelder eines Protokolls gehackt werden oder endgültig verschwinden.
Optimistischer stellte Demchuk fest, dass der DeFi-Markt von der Community angetrieben wird und daher solche Aktionen positiv gesehen werden könnten, da Hacker selbst oft gebeten werden, für die von ihnen ausgenutzten Projekte zu arbeiten, wodurch ihre Aktivitäten zu realen Penetrationstests werden.
Was ist die Lösung?
Es ist kein Geheimnis, dass ein großer Teil des Web3-Ökosystems (und der damit verbundenen Cybersicherheitslösungen) immer noch auf der Web2-Architektur von gestern läuft, wodurch sie stark zentralisiert sind. Dies ist nach Ansicht von Carvalho der Elefant im Raum, über den die meisten Web3-Plattformen nicht sprechen wollen. Er glaubt, dass, wenn diese drängenden Probleme nicht mit dezentralisierten Lösungen gelöst werden, die Standards für die Ausführung und Veröffentlichung von Smart Contracts nicht grundlegend geändert oder verbessert werden, und fügt hinzu:
„Diese Arten von Verstößen werden weiterhin vorkommen, da es keine Rechenschaftspflicht oder Kriminalisierung von Hacking-Aktivitäten gibt. Ich glaube, dass ein „Just pay the hacker“-Ansatz das Risiko für DeFi und andere zentralisierte/dezentralisierte Plattformen erhöhen wird, da die grundlegenden Schwächen nicht behoben werden.“
Bos bemerkte, dass das Kernproblem hier nicht das Hacken oder die gefälschten Prämien sind, die die Hacker belohnen, sondern ein offensichtlicher Mangel an Audits, qualitativ hochwertigen Sicherheitsprozessen und Risikoüberprüfungen, insbesondere bei den Projekten, die Krypto im Wert von Millionen von Dollar in ihren Kassen haben Vermögenswerte.
Kürzlich: FTX-Zusammenbruch: Der Lehman Brothers-Moment der Kryptoindustrie
„Es ist praktisch unmöglich, sich in etablierte Banken zu hacken, weil sie viel Geld für Sicherheitsüberprüfungen, Risikoprüfungen usw. ausgeben. Wir müssen das gleiche Maß an technischer Aufsicht in der Kryptoindustrie sehen“, schloss er.
Auf dem Weg in eine Zukunft, die zunehmend von dezentralen Technologien angetrieben wird, kann man daher sagen, dass die Hacker einfach demonstrieren, wie viel mehr Arbeit der Kryptosektor als Ganzes in seine Sicherheitspraktiken stecken muss.