" За последние два года крипто-потери из-за злоумышленников значительно увеличились, но эксперты по кибербезопасности считают, что нет причин для беспокойства, так как большинство новых технологий активно эксплуатируются мошенниками в первые дни их использования.
Согласно отчету о безопасности Web3 компании CertiK, занимающейся безопасностью блокчейнов, в прошлом году злоумышленники украли более 3,7 миллиарда долларов из протоколов Web3, что на 189% больше, чем 1,8 миллиарда долларов, потерянных в 2021 году.
Отчет CertiK также показал, что за первые три месяца текущего года хакеры получили доступ к более чем 320 миллионам долларов.
Рисунок 1. Компания CertiK, занимающаяся безопасностью блокчейна, отследила более 150 инцидентов безопасности, приведших к убыткам в первом квартале 2023 года. Источник: CertiK.
Кан Ли, главный специалист по безопасности CertiK, заявил, что новые технологии часто становятся целью для эксплуатации, и сейчас пришла очередь криптоиндустрии страдать от собственного успеха.
«По мере появления новых технологий они часто становятся мишенями для злонамеренных действий просто потому, что представляют новые уязвимости и возможности для эксплуатации, - сказал Ли. - Это наблюдалось на протяжении всей истории, с первых дней существования Интернета до появления электронной почты и, совсем недавно, с появлением блокчейна и криптовалюты».
По словам Ли, поскольку отрасль по-прежнему относительно нова и быстро развивается, некоторые игроки больше сосредоточены на росте и инновациях, чем на безопасности, что делает их уязвимыми для атак и потенциально способствует большому количеству зарегистрированных убытков.
Платформа сбора данных Statista прогнозирует, что криптоиндустрия, в которой с 2017 года наблюдается значительный рост, будет продолжать расширяться, при этом прогнозируется, что выручка достигнет 64,87 миллиарда долларов, а к 2027 году общее количество пользователей по всему миру составит 994 миллионов.
Рисунок 2. Источник: Statista Market Insights.
Ли утверждает, что этот быстрый рост числа пользователей и доходов в сочетании с некоторыми инновациями в отрасли также может способствовать эксплуатации протоколов.
«Технология блокчейна и смарт-контракты, лежащие в основе многих криптовалют, очень сложны. Эта сложность может создать уязвимости в системе безопасности, которыми могут воспользоваться опытные хакеры, - сказал он, добавив: - Криптовалюты также имеют реальную ценность и могут быть обменены на традиционную валюту во многих местах по всему миру; это делает их привлекательной мишенью для хакеров, которые могут быстро передавать и потенциально ликвидировать украденные криптовалюты».
В долгосрочной перспективе, по словам Ли, по мере улучшения безопасности в криптопространстве и развития Web3 мы увидим снижение количества успешных взломов, эксплойтов и мошенничества.
Тем не менее, он считает, что это всегда будет непрерывная битва между злоумышленниками и экспертами по безопасности блокчейна, поскольку и те, и другие борются за достижение своих целей в постоянно меняющейся отрасли.
«Важно отметить, что, хотя взломы и эксплойты представляют серьезные риски, они не должны мешать нам оценить огромный потенциал и инновационные возможности технологии блокчейна и криптовалюты, - сказал Ли.- Вместо того, чтобы служить поводом для отступления, они должны служить для нас громким призывом удвоить наши усилия, чтобы обеспечить безопасное и ответственное использование этих преобразующих технологий».
Каким может быть искусственный интеллект?
Искусственный интеллект (ИИ) в 2022 году стал горячей темой: некоторые указывают на его потенциальные последствия для рабочей силы, в то время как другие, в том числе Илон Маск, советуют проявлять осторожность при его разработке.
Ли считает, что вполне вероятно, что по мере того, как ИИ станет более широко использоваться, у него возникнут собственные проблемы с безопасностью, точно так же, как у Web3 и других форм преобразующих технологий.
По словам Ли, по мере того, как ИИ все больше проникает в нашу повседневную жизнь, особенно в области, чувствительные к безопасности, такие как автономные транспортные средства или финансовые системы, возрастает вероятность взлома, эксплойтов и мошенничества.
«Системы искусственного интеллекта можно использовать несколькими способами: от манипулирования алгоритмами машинного обучения до отравления данных и атак злоумышленников», - сказал Ли. - Также ведутся дискуссии об утечке конфиденциальных данных из больших языковых моделей, так как люди взаимодействуют и обмениваются информацией с платформами чата с искусственным интеллектом, такими как ChatGPT».
Омер Грейсман, глава службы безопасности компании OpenZeppelin, занимающейся кибербезопасностью блокчейна, заявил, что в настоящее время рано судить о том, смогут ли злоумышленники использовать ИИ.
Он говорит, что на данном этапе у мошенников нет к тому финансовых стимулов, поскольку большая часть злонамеренных действий сосредоточена на прямой финансовой выгоде, а пока нет четкой выгоды от использования ИИ.
«Однако некоторые возможности ИИ могут способствовать более сложному набору векторов атак, - сказал Грейсман.- Верно и то, что исследователи в области безопасности могут использовать машинное обучение для сканирования смарт-контрактов с целью более эффективного поиска уязвимостей».
Проблемы роста неизбежны для криптовалюты
Грейсман считает, что криптоиндустрию все еще можно считать зарождающейся, поэтому некоторые «болезни роста» неизбежны.
Он говорит, что быстро развивающийся характер криптоиндустрии означает, что меры безопасности и лучшие практики все еще разрабатываются и внедряются, а пользователи все еще учатся безопасному использованию технологии, что делает их легкой мишенью для эксплуатации.
«Характер смарт-контрактов, заключающийся в том, что они открыты и видны любому, с кем можно взаимодействовать, также означает, что блокчейн может быть привлекательной целью для злоумышленников, - сказал Грейсман.- В то время как традиционные финансовые системы могут полагаться на дополнительные уровни безопасности через централизованные серверы, конфиденциальные функции смарт-контракта потенциально видны любому пользователю. Если в развернутом контракте есть ошибка, она может быть вызвана кем угодно в любое время».
Грейсман говорит, что со временем и опытом, а также по мере того, как меры безопасности в криптопространстве продолжают улучшаться, количество взломов и эксплойтов, вероятно, будет уменьшаться, особенно если сознательный подход, ориентированный на безопасность, станет новым стандартом.
Грейсман отмечает, что децентрализованные финансы (DeFi), в частности, стали более осторожными и строгими в своих подходах к безопасности, а некоторые платформы теперь внедряют кошельки с мультиподписью и временные блокировки для обновлений контрактов, что снижает риск несанкционированного доступа и злонамеренных модификаций.
«Отрасль уже стала свидетелем значительных достижений в области безопасности, таких как широкое внедрение аудита безопасности для смарт-контрактов, - сказал Грейсман.- Кроме того, программы вознаграждения за обнаружение ошибок поощряют этичных хакеров находить и сообщать об уязвимостях, а не эксплуатировать их».
В дополнение к этим техническим достижениям, Грейсман считает, что в будущем жизненно важную роль в сокращении числа случаев мошенничества, эксплойтов и взломов будут играть обучение пользователей и усиленный контроль со стороны регулирующих органов.
«Нормативно-правовые меры помогают установить стандарты и рекомендации по методам обеспечения безопасности, а информирование пользователей о потенциальных рисках и передовых методах обеспечения безопасности помогает повысить их способность защитить себя», - сказал он.
Криптовалюта привлекает мошенников не больше, чем фиат
Ник Перкоко, директор по безопасности криптовалютной биржи Kraken, сказал, что, по его опыту, преступники нацелены на все ценное, чтобы получить быструю прибыль, а криптовалюта - это лишь один из многих ценных активов в современном мире.
Он считает, что криптовалюта получает чрезмерное внимание из-за своих потерь, поскольку система фиатных валют по-прежнему ежегодно устанавливает рекорды по потерям из-за злонамеренных действий.
«Криптовалюта часто упоминается в новостях в связи с кражей и мошенничеством, но на самом деле общие потери составляют лишь часть от общей суммы потерь платежных карт, ACH [Automated Clearing House] и мошенничества с использованием электронных средств во всем мире», - сказал он.
По данным Global Anti Scam Alliance - некоммерческой организации, занимающейся защитой потребителей от финансовых преступлений и мошенничества, потери фиатных денег в результате мошенничества увеличились: в 2020 году было потеряно 47,8 млрд долларов, а в 2021 году - 55,3 млрд долларов.
По оценкам Организации Объединенных Наций, сумма денег, незаконно отмываемых во всем мире за один год, составляет от 2% до 5% мирового валового внутреннего продукта - от 800 миллиардов до 2 триллионов долларов.
Рисунок 3. Ежегодно увеличивается количество потерянных денег и мошенничеств, о которых сообщается во всем мире. Источник: Глобальный альянс по борьбе с мошенничеством.
Перкоко говорит, что, в отличие от других методов краж и мошенничества, криптовалютные транзакции происходят внутри сети и на виду у всех в мире, что, по его мнению, является сильной стороной отрасли, поскольку можно отследить украденные средства.
Это также может повлиять на повышенное внимание к потерям в криптопространстве.
«Когда происходит крупная компрометация, весь мир может помочь отследить средства, чтобы точно увидеть, куда они уходят, - сказал Перкоко. - Это невозможно в традиционных финансовых системах, где движение средств происходит за закрытыми дверями и по частным сетям».
«После анализа сеть BNB идентифицировала злоумышленника Allbridge. Мы активно поддерживаем команду Allbridge в восстановлении фонда. Команда Allbridge предложила хакеру вознаграждение. Мы хотели бы отметить усилия AvengerDAO по восстановлению», - пишет @BNBCHAIN 2 апреля 2023 года.
В целом, Перкоко ожидает, что по мере расширения глобального распространения криптовалют общие потери, вероятно, будут пропорционально расти.
«Тем не менее, улучшенное образование и понимание класса активов гарантируют, что этот рост не будет непропорциональным по сравнению с другими платежными каналами», - сказал он.
