«Безопасных блокчейнов не существует»: интервью с Дмитрием Мишуниным, CEO HashEx
Редакция Crypto.ru продолжает брать интервью у лидеров индустрии. В этот раз мы пообщались с генеральным директором HashEx Дмитрием Мишуниным. Эксперт рассказал об аудите смарт-контрактов, безопасности блокчейнов и стандартнов в криптовалютной индустрии.
— Зачем нужен аудит смарт-контрактов блокчейн-компаниям?
— Аудит смарт-контракта — это процесс проверки кода смарт-контракта на наличие ошибок и уязвимостей. Это важно для блокчейн-компаний, поскольку смарт-контракты часто используются для управления активами и автоматизации транзакций. Если смарт-контракт содержит ошибки или уязвимости, это может иметь серьезные последствия, включая потерю активов и риск хакерских атак. В результате аудит смарт-контрактов является важным шагом в обеспечении безопасности блокчейн-проектов.
— Проверка кода становится золотым стандартом для DeFi-проектов. Разработчики начали публиковать аудиторские отчеты в сообществах. Какие выводы может сделать инвестор из таких документов?
— Сам факт прохождения аудита у одной или нескольких аудиторских компаний никакого знака для инвестора не несет. Сейчас на рынке более сотни аудиторов. Иногда отчет можно купить за $100 и он будет говорить, что все в ажуре.
Стоит очень серьезно разобраться в рейтинге аудиторов перед тем, как им доверять. Или хотя бы почитать отзывы о них.
В дополнение к вышесказанному в отчетах об аудитах смарт-контрактов инвестор может найти информацию о количестве ошибок и их весе. Однако проблема заключается в том, что иногда недобросовестные владельцы проектов после прохождения аудита не исправляют ошибки и деплоят код с ними, а инвестор, который не разбирается в коде, не может проверить, исправлены ли уязвимости.
— В 2022 году хакеры похитили около $2 млрд через кроссчейн-мосты (64% общего ущерба в криптосфере). В чем слабые места этих проектов?
— Мосты между сетями часто становятся мишенью хакеров, потому что они позволяют перемещать активы между различными сетями блокчейнов. Для этого им надо иметь много активных (не холодных) денег. Это может сделать их привлекательными целями для киберпреступников, которые хотят украсть активы или нарушить работу моста.
Есть несколько причин, по которым межсетевые мосты уязвимы для взлома:
- Сложность. Межсетевые мосты часто включают в себя несколько уровней технологий, включая смарт-контракты и другие компоненты на основе блокчейна. Эта сложность может затруднить защиту и сделать их уязвимыми.
- Отсутствие стандартов безопасности. Не существует установленных стандартов безопасности для перекрестных мостов, поэтому каждый мост строится и эксплуатируется по-своему. Отсутствие стандартизации может затруднить прогнозирование и предотвращение уязвимостей. Некоторые мосты полагаются на третью сторону для облегчения передачи активов между различными сетями блокчейнов, которые как раз и могут стать потенциальным вектором атаки.
- Ограниченные ресурсы безопасности. Многие межсетевые мостовые проекты выполняются небольшими командами с ограниченными ресурсами, что может затруднить выделение достаточного времени и ресурсов для обеспечения безопасности.
В целом для мостов важно уделять приоритетное внимание безопасности и регулярно проверять и тестировать свои системы для выявления и устранения потенциальных уязвимостей.
— Еще одним «слабым звеном» эксперты назвали централизованные биржи. По оценкам аудиторской компании SlowMist, за 10 лет хакеры вывели с них более $10 млрд из 28, похищенных на крипторынке. Последняя громкая история связана с FTX. Крупные компании уделяют недостаточно внимания безопасности или есть какие-то технические сложности с защитой криптобирж?
— По информации крупных американских рекрутинговых агентств, специализирующихся на подборе айти персонала для стартапов, на 1000 сотрудников криптобиржи приходится 1 специалист по безопасности. О каком внимании тут может идти речь? Им вообще не до этого. На той же FTX приватные ключи от основных кошельков хранились в текстовом файле, который был легко доступен руководству. Когда IT-компания зарабатывает деньги, она хайрит только лопаты (сейлзов, прогеров), а об охране не думает совершенно. К сожалению, в ближайшие годы мы будем наблюдать еще больше подобных хаков. И не только в крипте.
Кстати, для решения подобных проблем у нас есть услуга Security Subscription. Ее суть в том что компания может нанять себе целиком наш полностью укомплектованный отдел безопасности по модели подписки.
— За 5 лет компания HashEx проверила более 1 тыс. смарт-контрактов. Можете назвать самые безопасные блокчейны?
— Безопасных на 100% блокчейнов не существует. Уязвимости свойственны каждой децентрализованной сети.
— Как проходит аудит смарт-контракта?
Первый этап: Чтобы понять и выяснить предполагаемое поведение смарт-контракта, мы сначала просматриваем техническую документацию, предоставленную клиентом.
Второй этап: Мы проводим автоматическое тестирование кода по разным сценариям. Эти тесты подготавливают контракт к следующему шагу.
Третий этап: Команда аудиторов, вне зависимости друг от друга, проверяют код вручную, выявляют баги и ошибки разной степени серьезности, далее дают необходимые рекомендации. Потом происходит коллегиальное обсуждение. Затем проводится финальная проверка ведущим аудитором.
Четвертый этап: Подготовка первоначального отчета. Мы собираем все ошибки в единый документ, в котором освещаются существующие проблемы и детализируются рекомендации аудиторов. Клиент вносит изменения и исправляет обнаруженные проблемы.
Пятый этап: После того как клиент исправил ошибки в коде, формируется заключительный аудиторский отчет.
— Аудит кода смарт-контрактов — основное направление HashEx. Но вы также выпускаете собственные блокчейн-проекты. Расскажите о флагманских продуктах компании для трейдеров и инвесторов.
— Помимо аудитов, HashEx занимается разработкой собственных проектов. Год назад HashEx запустил CryptEx Locker — сейф для ликвидности, позволяющий заблокировать ее на определенное время. Пока ликвидность проекта заблокирована на смарт-контракте CryptEx, вероятность мошеннических действий со стороны команды сведена к минимуму. Этой услугой часто пользуются проекты для того, чтобы продемонстрировать инвесторам серьезные намерения в отношении безопасности средств, защитить их от так называемых «раг пуллов» (мошенническая схема по выводу средств инвесторов из пула ликвидности).
Еще одна разработка команды — AnalytEx, который в реальном времени анализирует ставки доходности DeFi-рынка по разным криптовалютам, что позволяет более эффективно и с минимальным риском разместить свои активы. Например, у вас есть USDT в Binance Smart Chain, который сейчас приносит вам 2% годовых. Неплохо, но можно же лучше? Алгоритм AnalytEx исследует разные блокчейны, включая текущий, на предмет того, что, например, в другой сети вы можете разместить подобный депозит уже под ставку 7% годовых. Алгоритм также оценивает стоимость комиссий на перевод активов и предупреждает о низком utilization rate.AnalytEx — единственная в своем роде система, которая собирает и обрабатывает в реальном времени данные со всех блокчейнов.
— Чем отличается бумажный кошелек HashEx от других подобных хранилищ?
— Бумажный кошелек от HashEx имеет под собой глубокий концепт избыточного хранения. Любой бекап сид фразы сейчас — это бумажка, табличка, что угодно в единственном экземпляре. Потерял — все, пиши пропало. А если скопировал ее 3 раза, то в три раза увеличил шанс, что ее сопрут. И так и так плохо. Бумажный кошелек от HashEx позволяет восстановить сид по Х из Н частей. Например, по 2 из 3. Вы кладете в три разных сейфа части. Если вор украдет один лист из одного сейфа, он не получит доступ к сиду. Однако если один сейф сгорит, то вы легко восстановите сид по двум другим листам. В текущих реалиях, когда люди разбросаны по миру, это вообще мега крутой способ хранения сида. Сделал 4 из 7, например, и разложил по ячейкам в разных странах и если что собрал.
— Компания HashEx подала заявку на участие в тендере Еврокомиссии для создания автоматизированного мониторинга блокчейна Ethereum. У вас есть готовое решение?
— Да. Это AnalytEx.
— Нужно ли регулировать криптовалюты? Не противоречит ли это главному принципу — децентрализации?
— На эту тему существует очень много споров. Некоторые утверждают, что регулирование необходимо для защиты потребителей, предотвращения мошенничества и «отмывания» денег, а также для обеспечения стабильности и целостности финансовой системы. Другие утверждают, что чрезмерное регулирование может задушить инновации и подорвать децентрализованный характер криптовалют.
Важно отметить, что сейчас некоторые криптовалюты, такие как Биткоин, сильно децентрализованы, и ни одна организация не имеет контроля над сетью. Другие, такие как BNB, полностью централизованы, и одна организация контролирует всю сеть.
В целом степень регулирования, подходящая для криптовалют, может зависеть от конкретных характеристик криптовалюты и ее предполагаемого использования.
Регуляторам и политикам важно тщательно учитывать эти факторы при разработке подходов к регулированию криптовалют.
— Одним из самых значимых событий для крипторынка в 2022 году стал переход Ethereum на алгоритм Proof-of-Stake. СМИ много писали о преимуществах обновления Merge. Однако сейчас все чаще эксперты предупреждают о грядущих проблемах — с курсом, с выводом заблокированных средств. Как вы оцениваете Ethereum PoS?
— Я считаю, что это одна из самых крупных пирамид современности. И писал об этом в своем блоге на хакернун. До обновления шанхай эфириум очень неустойчив к экономическим движениям.
С другой стороны, Эфир из более-менее децентрализованной сети стал абсолютно централизованным и находящимся на территории США. В общем, ждем громких скандалов с SEC.