«Найденная уязвимость позволила бы моему коллеге украсть более $1 млрд» — интервью с основателями компании Dedaub Невиллом Гречем и Яннисом Смарагдакисом
Ущерб от киберпреступности на криптовалютном рынке увеличивается. По данным аналитической компании Chainalysis, за 2022 год хакеры украли около $3,8 млрд. Но индустрия предпринимает усилия для снижения случаев киберпреступности. И одна из компаний, которая занимается безопасностью блокчейн-протоколов, — Dedaub. Ее основатели — Невилл Греч и Яннис Смарагдакис. В ходе интервью они рассказали, как расследуются хакерские атаки и можно ли найти взломщиков.
— Можете рассказать о наиболее интересных делах, которые вы рассматривали?
— Примерно полтора года назад в рамках «белого хакинга» мы работали над проектом Multichain. У нас была задача проанализировать смарт-контракты на предмет наличия потенциальных уязвимостей. В результате мой коллега Яннис придумал, как взломать проект Multichain. Найденная уязвимость позволила бы ему украсть более $1 млрд.
Затем мы подготовили подробный отчет о проблеме и отдали его основателю проекта. Сначала он отрицал, что уязвимость может привести к большим потерям в будущем. Но в нашей профессии подобная реакция нормальна. В конечном счете разработчики Multichain решили найденную проблему.
— Какая скрытая работа ведется в начале расследования любого взлома?
— Первым делом необходимо быстро освоить атакованный хакерами протокол. Этим занимаются лучшие инженеры в области компьютерной безопасности. Они отличаются выдающимися навыками в контексте соревновательных ситуаций. Такие специалисты способны находить использованные «черными» хакерами уязвимости быстрее других.
Первостепенная цель наших инженеров — предотвратить вероятность второй атаки. Для этого делается все возможное. Мы используем обширную сеть контактов и разные инструменты, которые созданы специально для подобных ситуаций. Затем необходимо проинформировать сообщество об инциденте и исследовать причины взлома. А далее от нас мало что зависит.
— Насколько реально найти взломщиков?
— Если атакой занимался неопытный хакер, то иногда мы можем отследить операции до централизованной биржи. Ответ на вопрос зависит от компетентности взломщика. Если, например, он использовал сервис Tornado Cash для анонимизации транзакций, то отследить становится тяжело. Единственное, что нам остается, — проверка RPC-поставщиков и запрос информации у полиции. Но правоохранительные органы редко делятся своими данными. В остальном наши возможности ограниченны.
Также можно установить связи между транзакциями, если хакеры воспользовались Tornado Cash в быстром режиме. Это выглядит как детективная работа, но требует много времени.
Небольшие и средние по ущербу взломы, которые проведены опытными хакерами, вряд ли получится отследить. Вероятно, вы сможете их найти спустя 5 лет из-за допущенных ошибок или технологического прогресса, но не сейчас. При краже менее $1 млн достаточно легко анонимизировать средства.
Однако, когда идет речь о десятках миллионов долларов, сделать это становится куда тяжелее. Незаметно вывести много криптовалюты из блокчейна — сложная задача. В таких случаях гораздо эффективнее подключать к расследованию полицию.
— Вы сталкивались с северокорейской хакерской организацией Lazarus?
— Напрямую нет. Однако у нас был случай, когда эта организация пыталась взломать человека, который атаковал протокол Euler Finance. Lazarus Group отправила хакеру ссылку на уязвимый проект для установления связи.
Есть большая разница между взломом смарт-контрактов и обычных устройств вроде компьютеров и смартфонов. В первом случае важную роль играет компетенция хакера. Часто глубоких знаний достаточно для взлома блокчейн-протоколов.
Большинство криптоплатформ разрешает вносить депозит только в цифровых активах. Это не всегда...
Торговля монетами — популярный способ заработка на крипторынке. Трейдеры могут быстро увеличить...
Добыча криптовалюты — бизнес с высоким порогом входа. Мощная ферма из 6 видеокарт стоит от $10...
Но для успешной атаки на простые устройства требуются ресурсы и организованность. Подобные взломы выгодны национальным группировкам — например, от Израиля, США и России. Они действуют почти как полноценные военные подразделения и имеют внушительное финансирование.
В навыках Lazarus Group в сфере безопасности децентрализованных протоколов нет ничего особенного. Вероятно, у них есть компетентные специалисты в этой области. Но они работают во многих организациях и даже небольших компаниях.
— Можете дать советы по защите цифровых активов?
— Простым пользователям лучше обзавестись аппаратными кошельками и проверять каждую подписываемую транзакцию. Дополнительно нужно защитить используемые смартфоны, компьютеры, ноутбуки и планшеты. Это сведет к минимуму вероятность локального взлома.
Аппаратный кошелек — отдельное и менее уязвимое устройство. Оно обеспечивает определенный уровень защиты. Однако есть риск: кошелек может показывать одну сделку на экране ноутбука, но фактически подписывать другую. В результате активы отправляются не туда, куда пользователю нужно. Поэтому важна защита локальных устройств.
Еще безопаснее использовать отдельный ноутбук для транзакций с криптовалютами. Это лучше, несмотря на неудобства в повседневной жизни.
Вообще, вопрос анонимности — палка о двух концах. С одной стороны, пользователи получают полный контроль над приватными ключами, но становятся уязвимыми для хакеров. А с другой, соответственно, наоборот. В 2023 году многие предпринимают усилия для решения этой проблемы.
Например, некоторые компании предлагают использовать сегментированные ключи. Идея следующая: одну часть хранить на централизованном сервере, а другую — на стороне пользователя. Подобная система авторизации в криптокошельке исключает возможность кражи активов из-за ошибок клиента. Но за это пользователи платят неполным контролем над средствами. Если правительство захочет заморозить активы человека, оно сможет это сделать.
— В интернете была новость, что ChatGPT обнаружил уязвимость в коде токена BANANA. Получается, что нейросети — ценный инструмент в вашем ремесле?
— По состоянию на осень 2023 года не особо. На любую найденную уязвимость может приходиться до 500 пропущенных. Поэтому нейросети еще не способны конкурировать с человеком.
В этом году мы видели, как быстро растут возможности искусственного интеллекта. Кто знает, может, в 2024-м нейросети поразят нас умением находить уязвимости в программном коде.