"En svært lønnsom handelsstrategi" var hvordan hackeren Avraham Eisenberg beskrev sitt engasjement i Mango Markets-utnyttelsen som fant sted 11. oktober.
Ved å manipulere prisen på den desentraliserte finansprotokollens underliggende sikkerhet tok MNGO, Eisenberg og teamet hans opp uendelige lån som tappet $117 millioner fra Mango Markets Treasury.
Desperat etter å få tilbake midler, stemte både utviklere og brukere for et forslag som ville tillate Eisenberg og co. å beholde 47 millioner dollar av de 117 millioner dollar som ble utnyttet i angrepet. Forbløffende nok var Eisenberg i stand til å stemme for sitt eget forslag med alle sine utnyttede tokens.
Dette er noe av en juridisk gråsone, siden kode er lov, og hvis du kan jobbe innenfor smartkontraktens regler, er det et argument som sier at det er helt lovlig. Selv om "hack" og "exploit" ofte brukes om hverandre, skjedde ingen faktisk hacking. Eisenberg tvitret at han opererte innenfor loven:
"Jeg tror at alle handlingene våre var lovlige handlinger i det åpne markedet, ved å bruke protokollen slik den er designet, selv om utviklingsteamet ikke fullt ut forutså alle konsekvensene av å sette parametere slik de er."
For å dekke deres baser, ba DAO-forliksforslaget imidlertid også om at ingen straffesak ble åpnet mot dem hvis begjæringen ble godkjent. (Som ironisk nok kan være ulovlig.)
Eisenberg og hans glade menn skulle angivelig fortsette å miste en betydelig del av midlene som ble hentet ut fra Mango en måned senere i et mislykket forsøk på å utnytte DeFi-utlånsplattformen Aave.
Hvor mye har blitt stjålet i DeFi-hacks?
Eisenberg er ikke den første som har engasjert seg i slik oppførsel. I store deler av dette året har praktiseringen av utnytter sårbare DeFi-protokoller, tappe dem for mynter og tokens, og bruke midlene som innflytelse for å bringe utviklere i kne, har vært en lukrativ bestrebelse. Det er mange velkjente eksempler på utnyttere som forhandler om å beholde en del av inntektene som en "dusør" i tillegg til å fraskrive seg ansvar. Faktisk finner en rapport fra Token Terminal at midler verdt 5 milliarder dollar har blitt brutt fra DeFi-protokollene siden september 2020.
Høyprofilerte hendelser inkluderer $190 millioner Nomad Bridge-utnyttelsen, $600 millioner Axie Infinity Ronin Bridge-hacket, $321 millioner Wormhole Bridge-hakket, $100 millioner BNB Cross-Chain Bridge-utnyttelsen og mange andre.
Gitt den tilsynelatende endeløse strømmen av dårlige aktører i økosystemet, bør utviklere og protokollteammedlemmer prøve å forhandle med hackere for å forsøke å gjenopprette de fleste av brukernes eiendeler?
Bør du forhandle med hackere? Ja.
En av de største tilhengerne av en slik strategi er ingen ringere enn ImmuneFi-sjef Mitchell Amador. I følge blockchain-sikkerhetslederen, "har utviklere en plikt til å forsøke kommunikasjon og forhandlinger med ondsinnede hackere, selv etter at de har ranet deg," uansett hvor usmakelig det måtte være.
«Det er som når noen har jaget deg inn i en bakgate, og de sier «Gi meg lommeboken din» og banker deg. Og du tenker: 'Wow, det er feil; det er ikke snilt!' Men realiteten er at du har et ansvar overfor brukerne dine, overfor investorer og, til syvende og sist, overfor deg selv, for å beskytte dine økonomiske interesser,” sier han.
"Og hvis det til og med er en lav prosentandel, for eksempel 1%, for at du kan få pengene tilbake ved å forhandle, er det alltid bedre enn å bare la dem stikke av og aldri få pengene tilbake."
Amador siterer eksemplet med Poly Network-hacket i fjor. «Etter forhandlinger i etterkant, returnerte hackere 610 millioner dollar i bytte mot mellom 500,000 1 og XNUMX million dollar i skuddpremie. Når en slik hendelse inntreffer, vil den beste og ideelle, overveldende mest effektive løsningen, være forhandling, sier han.
For CertiKs direktør for sikkerhetsoperasjoner, Hugh Brooks, er det bedre å være proaktiv enn reaktiv, og å inngå en avtale er bare noen ganger et ideelt alternativ. Men han legger til at det også kan være en farlig vei å gå ned.
"Noen av disse hackene er åpenbart utført av avanserte vedvarende trusselgrupper som den nordkoreanske Lazarus-gruppen og hva som helst. Og hvis du forhandler med nordkoreanske enheter, kan du få mye trøbbel.»
Han påpeker imidlertid at firmaet har sporet 16 hendelser som involverte 1 milliard dollar i stjålne eiendeler, hvorav rundt 800 millioner dollar til slutt ble returnert.
"Så, det er absolutt verdt det. Og noen av disse var frivillig retur av midler initiert av hackeren selv, men for det meste var det på grunn av forhandlinger."
Bør du forhandle med hackere? Nei.
Ikke alle sikkerhetseksperter er med på ideen om å belønne dårlige skuespillere. Chainalysis visepresident for undersøkelser Erin Plante er grunnleggende motstander av "betalende svindlere." Hun sier det er unødvendig å gi etter for utpressing når det finnes alternativer for å få tilbake midler.
Plante utdyper at de fleste DeFi-hackere ikke er ute etter $100,000 500,000 eller $50 XNUMX utbetalinger fra legitime bug-bounties, men spør ofte oppover XNUMX % eller mer av bruttobeløpet av stjålne midler som provisjon. «Det er i utgangspunktet utpressing; det er veldig mye penger det blir bedt om, sier hun.
Hun oppfordrer i stedet Web3-team til å kontakte kvalifiserte blokkjede-etterretningsselskaper og rettshåndhevelse hvis de befinner seg i en hendelse.
"Vi har sett flere og flere vellykkede gjenopprettinger som ikke er offentliggjort," sier hun. «Men det skjer, og det er ikke umulig å få tilbake midler. Så til syvende og sist er det kanskje ikke nødvendig å gå inn i å betale svindlere.»
Bør du ringe politiet om DeFi-bedrifter?
Det er en oppfatning blant mange i kryptosamfunnet at rettshåndhevelse er ganske håpløs når det gjelder å lykkes med å gjenopprette stjålet krypto.
I noen tilfeller, for eksempel årets 600 millioner dollar Ronin Bridge-utnyttelse, forhandlet ikke utviklere med nordkoreanske hackere. I stedet kontaktet de rettshåndhevelse, som raskt kunne få tilbake en del av brukernes midler ved hjelp av Chainalysis.
Men i andre tilfeller, for eksempel i Mt. Gox-børsen, mangler brukernes midler – som utgjør omtrent 650,000 XNUMX BTC – til tross for åtte år med omfattende politietterforskning.
Amador er ikke tilhenger av å tilkalle rettshåndhevelse og si at det «ikke er et levedyktig alternativ».
«Alternativet for rettshåndhevelse er ikke et reelt alternativ; det er en fiasko, sier Amador. «Under disse forholdene vil typisk staten beholde det den har tatt fra de aktuelle kriminelle. Som vi så med håndhevingshandlinger i Portugal, eier regjeringen fortsatt Bitcoinen de har beslaglagt fra forskjellige kriminelle.»
Han legger til at selv om noen protokoller kanskje ønsker å bruke involvering av rettshåndhevelse som en form for innflytelse mot hackerne, er det faktisk ikke effektivt "fordi når du først har sluppet løs kraften, kan du ikke ta den tilbake. Nå er det en forbrytelse mot staten. Og de kommer ikke bare til å stoppe fordi du forhandlet frem en avtale og fikk pengene tilbake. Men du har nå ødelagt din evne til å komme til en effektiv løsning.»
Les også
Brooks mener imidlertid at du er forpliktet til å involvere rettshåndhevelse på et tidspunkt, men advarer om at resultatene er blandede, og at prosessen tar lang tid.
"Lovhåndhevelse har en rekke unike verktøy tilgjengelig for dem, som stevningsmyndigheter for å få hackerens IP-adresser," forklarer han.
"Hvis du kan forhandle på forhånd og få pengene dine tilbake, bør du gjøre det. Men husk, det er fortsatt ulovlig å skaffe penger gjennom hacking. Så, med mindre det var en full retur, eller det var innenfor området for ansvarlig avsløringspremie, følg opp med rettshåndhevelse. Faktisk blir hackere ofte hvite hatter og returnerer i det minste noen penger etter at rettshåndhevelse er varslet.»
Plante har et annet syn og mener politiets effektivitet i å bekjempe nettkriminalitet ofte er dårlig forstått innenfor kryptosamfunnet.
"Ofrene selv jobber ofte konfidensielt eller under en eller annen konfidensiell avtale," forklarer hun. «For eksempel, i tilfelle Axie Infinitys kunngjøring om gjenvinning av midler, måtte de søke godkjenning fra rettshåndhevelsesbyråer for å kunngjøre denne gjenvinningen. Så bare fordi gjenopprettinger ikke er annonsert, betyr det ikke at gjenopprettinger ikke skjer. Det har vært en rekke vellykkede gjenopprettinger som fortsatt er konfidensielle.»
Hvordan fikse DeFi-sårbarheter
På spørsmål om grunnårsaken til DeFi-utnyttelser, mener Amador at hackere og utnyttere har fordelen på grunn av ubalanse mellom tidsbegrensninger. "Utviklere har muligheten til å lage spenstige kontrakter, men spenst er ikke nok," forklarer han, og påpeker at "hackere har råd til å bruke 100 ganger så mange timer som utvikleren gjorde bare for å finne ut hvordan man utnytter en bestemt gruppe med kode. ."
Bli medlem!
Den mest engasjerende lesingen i blockchain. Levert en gang a
uke.
Amador mener at revisjoner av smarte kontrakter, eller én punkt-i-tids sikkerhetstester, ikke lenger er tilstrekkelig for å forhindre protokollbrudd, gitt at de aller fleste hackene har målrettet reviderte prosjekter.
I stedet tar han til orde for bruken av bug-premier for å delvis delegere ansvaret for å forsvare protokoller til velvillige hackere med tid på hendene for å jevne ut kanten: "Da vi startet på ImmuneFi, hadde vi noen hundre hvite hatter. hackere. Nå har vi titusenvis. Og det er som et utrolig nytt verktøy fordi du kan få all den enorme arbeidskraften som beskytter koden din, sier han.
For DeFi-utviklere som ønsker å bygge det sikreste resultatet, anbefaler Amador en kombinasjon av defensive tiltak:
«Først, få de beste folkene til å revidere koden din. Deretter plasserer du en feilpremie, hvor du vil få de beste hackerne i verden, til hundretusenvis, til å sjekke koden din på forhånd. Og hvis alt annet mislykkes, bygg et sett med interne kontroller og balanser for å se om noen morsomme saker fortsetter. Som, det er et ganske fantastisk sett med forsvar.»
Brooks er enig og sier at en del av problemet er at det er mange utviklere med store Web3-ideer, men som mangler den nødvendige kunnskapen for å holde protokollene sine trygge. For eksempel er en smart kontraktrevisjon alene ikke nok - "du må se hvordan den kontrakten fungerer med orakler, smarte kontrakter, med andre prosjekter og protokoller, etc."
"Det kommer til å bli langt billigere enn å bli hacket og prøve lykken med å få pengene tilbake."
Stå på mot tyver
Plante sier kryptos åpen kildekode-natur gjør den mer sårbar for hacks enn Web2-systemer.
"Hvis du jobber i et ikke-DeFi-programvareselskap, kan ingen se koden du skriver, så du trenger ikke å bekymre deg for andre programmerere som leter etter sårbarheter." Plante legger til: "Atheten av det å være offentlig skaper disse sårbarhetene på en måte fordi du har dårlige skuespillere der ute som ser på kode, på jakt etter måter de kan utnytte den på."
Problemet forsterkes av den lille størrelsen på enkelte Web3-selskaper, som på grunn av innsamlingsbegrensninger eller behovet for å levere på veikart, kanskje bare ansetter en eller to sikkerhetseksperter for å sikre prosjektet. Dette står i kontrast til tusenvis av cybersikkerhetspersonell hos Web2-firmaer, som Google og Amazon. "Det er ofte et mye mindre team som har å gjøre med en stor trussel," bemerker hun
Men startups kan også dra nytte av noe av den sikkerhetskunnskapen, sier hun.
"Det er veldig viktig for fellesskapet å se til Big Tech-firmaer og store cybersikkerhetsfirmaer for å hjelpe med DeFi-fellesskapet og Web3-fellesskapet som helhet," sier Plante. "Hvis du har fulgt Google, har de lansert validatorer på Google Cloud og blitt en av Ronin Bridge, så å ha Big Tech involvert hjelper også mot hackere når du er et lite DeFi-prosjekt."
Til syvende og sist er det beste angrepet forsvar, sier hun - og det er en hel populasjon av hackere med hvite hatter som er klare og villige til å hjelpe.
"Det er et fellesskap av sertifiserte etiske hackere, som jeg er en del av," sier Erin. "Og etosen til den gruppen er å se etter sårbarheter, identitet og lukke dem for det større samfunnet. Med tanke på at mange av disse DeFi-utnyttelsene ikke er veldig sofistikerte, kan de løses før ekstreme tiltak, som å vente på et innbrudd, tyveri av midler og be om løsepenger.»
Les også
Kilde: https://cointelegraph.com/magazine/ethics-101-crypto-projects-negotiate-hackers/