“一個高利潤的交易策略”是黑客 Avraham Eisenberg 描述他參與 11 月 XNUMX 日發生的 Mango Markets 漏洞的描述。
通過操縱去中心化金融協議的基礎抵押品的價格,MNGO、Eisenberg 和他的團隊從 Mango Markets Treasury 中獲得了 117 億美元的無限貸款。
由於急需資金返還,開發人員和用戶都投票贊成一項允許 Eisenberg and co. 的提案。 保留在攻擊中被利用的 47 億美元中的 117 萬美元。 令人驚訝的是,艾森伯格能夠用他所有被利用的代幣投票支持他自己的提案。
這是一個法律的灰色地帶,因為代碼就是法律,如果您可以在智能合約的規則範圍內工作,那麼有一種說法認為它是完全合法的。 儘管“黑客攻擊”和“利用”經常互換使用,但實際上並沒有發生黑客攻擊。 艾森伯格在推特上說他是在依法行事:
“我相信我們所有的行為都是合法的公開市場行為,按照設計使用協議,即使開發團隊沒有完全預料到按原樣設置參數的所有後果。”
然而,為了掩蓋他們的基礎,DAO 和解提案還要求,如果請願書獲得批准,不得對他們提起刑事訴訟。 (具有諷刺意味的是,這可能是非法的。)
據報導,一個月後,艾森伯格和他的手下因試圖利用 DeFi 借貸平台 Aave 失敗而繼續損失從 Mango 提取的大部分資金。
DeFi 黑客竊取了多少資金?
艾森伯格並不是第一個從事此類行為的人。 在今年的大部分時間裡, 利用易受攻擊的 DeFi 協議,耗盡他們的硬幣和代幣,並利用這些資金作為槓桿讓開發商屈服,這是一項有利可圖的努力。 有許多著名的剝削者談判保留一部分收益作為“賞金”並免除責任的例子。 事實上,Token Terminal 的一份報告發現,自 5 年 2020 月以來,價值超過 XNUMX 億美元的資金已被 DeFi 協議洩露。
備受矚目的事件包括價值 190 億美元的 Nomad Bridge 漏洞利用、價值 600 億美元的 Axie Infinity Ronin Bridge 黑客攻擊、價值 321 億美元的 Wormhole Bridge 黑客攻擊、價值 100 億美元的 BNB Cross-Chain Bridge 漏洞利用等等。
鑑於生態系統中顯然有無窮無盡的不良行為者,開發人員和協議團隊成員是否應該嘗試與黑客談判以試圖恢復大部分用戶的資產?
你應該和黑客談判嗎? 是的。
這種策略的最大支持者之一就是 ImmuneFi 首席執行官 Mitchell Amador。 根據區塊鏈安全主管的說法,“開發人員有責任嘗試與惡意黑客進行溝通和談判,即使他們已經搶劫了你,”無論它多麼令人反感。
“這就像有人把你追到巷子裡,他們說,‘把你的錢包給我’,然後打了你一頓。 你就像,'哇,那是錯誤的; 那不好! 但現實情況是,你有責任保護你的用戶、投資者,最終也是你自己,以保護你的經濟利益,”他說。
“即使有很小的可能性,比如 1%,你可以通過談判收回這筆錢,這總比讓他們逃跑而永遠拿不回錢要好。”
Amador 引用了去年 Poly Network 黑客攻擊的例子。 “經過事後談判,黑客返還了 610 億美元,以換取 500,000 萬至 1 萬美元的漏洞賞金。 當這樣的事件發生時,最好、最理想、最有效的解決方案無疑是談判,”他說。
對於 CertiK 安全運營總監休·布魯克斯 (Hugh Brooks) 而言,主動勝於被動,達成交易有時只是一個理想的選擇。 但他補充說,走下去也可能是一條危險的道路。
“其中一些黑客攻擊顯然是由朝鮮拉撒路集團等高級持續威脅組織實施的。 如果你正在與朝鮮實體談判,你可能會遇到很多麻煩。”
不過,他指出,該公司已追踪到 16 起事件,涉及價值 1 億美元的被盜資產,其中約 800 億美元最終被歸還。
“所以,這當然是值得的。 其中一些是黑客自己發起的自願返還資金,但大部分是由於談判。”
你應該和黑客談判嗎? 不。
並非每個安全專家都支持獎勵不良行為者的想法。 Chainalysis 調查副總裁 Erin Plante 從根本上反對“支付詐騙者”。 她說,當存在追回資金的替代方案時,就沒有必要屈服於敲詐勒索。
Plante 詳細說明,大多數 DeFi 黑客並不希望從合法的漏洞賞金中獲得 100,000 美元或 500,000 美元的支出,而是經常要求高達被盜資金總額的 50% 或更多作為佣金。 “這基本上是勒索; 這是一筆非常大的錢,”她說。
相反,她鼓勵 Web3 團隊在發現自己遇到事件時聯繫合格的區塊鏈情報公司和執法部門。
“我們已經看到越來越多未公開披露的成功回收,”她說。 “但它正在發生,收回資金並非不可能。 因此,最終可能沒有必要跳入還清詐騙者的行列。”
你應該就 DeFi 漏洞報警嗎?
加密社區中的許多人都認為,在成功恢復被盜的加密方面,執法部門是毫無希望的。
在某些情況下,例如今年價值 600 億美元的 Ronin Bridge 漏洞,開發人員沒有與朝鮮黑客談判。 相反,他們聯繫了執法部門,他們能夠在 Chainalysis 的幫助下迅速收回部分用戶資金。
但在其他情況下,例如在 Mt. Gox 交易所黑客攻擊中,儘管警方進行了八年的廣泛調查,用戶的資金——總計約 650,000 BTC——仍然下落不明。
阿馬多爾不喜歡召集執法部門,稱這“不是一個可行的選擇”。
“執法的選擇不是真正的選擇; 這是一個失敗,”Amador 說。 “在這種情況下,通常情況下,國家會保留從相關罪犯那裡拿走的東西。 就像我們在葡萄牙的執法行動中看到的那樣,政府仍然擁有他們從各種罪犯手中沒收的比特幣。”
他補充說,雖然一些協議可能希望利用執法部門的參與作為對付黑客的一種手段,但它實際上並不有效,“因為一旦你釋放了這種力量,就無法收回。 現在這是對國家的犯罪。 而且他們不會僅僅因為你達成了協議並收回了錢就停止了。 但你現在已經摧毀了你找到有效解決方案的能力。”
然而,布魯克斯認為你有義務在某個時候讓執法部門介入,但警告說結果好壞參半,而且這個過程需要很長時間。
“執法部門可以使用各種獨特的工具,例如獲取黑客 IP 地址的傳票權,”他解釋道。
“如果你可以提前協商並取回你的資金,你應該這樣做。 但請記住,通過黑客獲取資金仍然是非法的。 因此,除非有全額返還,或者在負責任的披露賞金範圍內,否則請跟進執法部門。 事實上,黑客通常會變成白帽子,並在執法部門收到警報後至少退還一些錢。”
Plante 持不同觀點,認為警方在打擊網絡犯罪方面的有效性往往知之甚少 在加密社區內.
“受害者自己通常是在秘密工作或根據某些保密協議工作,”她解釋道。 “例如,在 Axie Infinity 宣布收回資金的情況下,他們必須尋求執法機構的批准才能宣布收回資金。 因此,僅僅因為沒有宣布復甦並不意味著復甦沒有發生。 有一些成功的恢復仍然保密。”
如何修復 DeFi 漏洞
當被問及 DeFi 漏洞利用的根本原因時,Amador 認為,由於時間限制的不平衡,黑客和利用者佔據了優勢。 “開發人員有能力創建彈性合約,但彈性還不夠,”他解釋說,並指出“黑客花費的時間可能是開發人員花費的 100 倍,只是為了弄清楚如何利用某批代碼”
訂閱
區塊鏈中最引人入勝的讀物。 交付一次
一周。
Amador 認為,鑑於絕大多數黑客攻擊的目標是經過審計的項目,智能合約的審計或一次時間點安全測試已不足以防止協議被破壞。
相反,他提倡使用漏洞賞金,在一定程度上將保護協議的責任委託給仁慈的黑客,他們有時間來平衡優勢:“當我們開始使用 ImmuneFi 時,我們有幾百名白帽黑客黑客。 現在我們有成千上萬。 這就像一個令人難以置信的新工具,因為你可以獲得大量的人力來保護你的代碼,”他說。
對於想要構建最安全結果的 DeFi 開發人員,Amador 推薦了一系列防禦措施:
“首先,讓最好的人來審核你的代碼。 然後,放置一個漏洞賞金,在那裡你將獲得世界上最好的黑客,多達數十萬,提前檢查你的代碼。 如果一切都失敗了,建立一套內部製衡機制,看看是否有任何有趣的事情繼續進行。 就像,這是一套非常驚人的防禦措施。”
Brooks 對此表示同意,並表示部分問題在於有很多開發人員擁有 Web3 的偉大想法,但他們缺乏必要的知識來確保他們的協議安全。 例如,僅僅進行智能合約審計是不夠的——“你需要了解該合約如何與預言機、智能合約、其他項目和協議等一起運作。”
“這比遭到黑客攻擊和碰碰運氣收回資金要便宜得多。”
抵禦小偷
Plante 表示,加密的開源特性使其比 Web2 系統更容易受到黑客攻擊。
“如果你在一家非 DeFi 軟件公司工作,沒有人能看到你寫的代碼,所以你不必擔心其他程序員會尋找漏洞。” Plante 補充道,“它公開的性質在某種程度上造成了這些漏洞,因為你有壞人在那裡查看代碼,尋找他們可以利用它的方法。”
某些 Web3 公司規模較小,使問題更加複雜,由於資金限製或需要交付路線圖,這些公司可能只聘請一兩個安全專家來保護項目。 這與穀歌和亞馬遜等 Web2 公司的數千名網絡安全人員形成鮮明對比。 “通常是一個小得多的團隊在應對巨大的威脅,”她指出
但她說,初創公司也可以利用其中的一些安全知識。
“對於社區來說,尋求大型科技公司和大型網絡安全公司來幫助 DeFi 社區和整個 Web3 社區是非常重要的,”Plante 說。 “如果你一直在關注谷歌,他們已經在谷歌云上推出了驗證器,並成為 Ronin Bridge 之一,所以當你是一個小型 DeFi 項目時,讓大型科技公司參與進來也有助於抵禦黑客攻擊。”
最後,最好的進攻就是防禦,她說——而且有一大群白帽黑客準備好並願意提供幫助。
“有一個認證道德黑客社區,我是其中的一員,”艾琳說。 “該小組的精神是尋找漏洞、身份,並為更大的社區關閉它們。 考慮到這些 DeFi 漏洞中的許多都不是很複雜,可以在採取極端措施之前解決它們,例如等待闖入、盜竊資金和索要贖金。”
來源:https://cointelegraph.com/magazine/ethics-101-crypto-projects-negotiate-hackers/