" Рост числа эксплойтов повлиял на востребованность услуг тестирования на проникновение, программ поиска уязвимостей (bug bounty) и киберполигонов, которые позволяют проверить защищенность инфраструктуры или отдельных ее элементов в условиях, максимально приближенных к реальности, когда хакеры ведут атаку на компанию.
В этой ситуации незаменимыми становятся "белые хакеры" - специалисты по кибербезопасности, которые тестируют защищенность компаний, по согласованию с заказчиком атакуя значимые сегменты инфраструктуры так, как это бы делали реальные киберпреступники. После этого компания получает отчет о слабых местах в защите и возможность закрыть все бреши и уязвимости.
Белый хакерский взлом, или этический взлом, является важнейшим компонентом кибербезопасности. Именно хакерство позволяет «хорошим парням» анализировать приложения, сообщать поставщикам об уязвимостях безопасности и использовать эту информацию для улучшения состояния безопасности экосистемы.
Это не уникальная концепция в блокчейне. Она существует и в таких местах, как облако, искусственный интеллект, безопасность операционной системы и многое другое. Однако во всех случаях поставщики и исследователи безопасности создают деликатные, но прочные отношения, основанные на балансе доверия.
В сфере блокчейнов такие аудиторы, как Trail of Bits, Halborn и Open Zeppelin, уже много лет анализируют и исправляют различные смарт-контракты и работают с максимальным профессионализмом, создавая сильное чувство доверия.
Спор CertiK и Kraken
17 мая исследователи из CertiK обнаружили уязвимость в механизме расчета баланса и депозита биржи цифровых активов Kraken. Команда безопасности Kraken справедливо определила эту проблему как критическую и сообщила, что она была решена в течение 47 минут.
Хотя на первый взгляд уязвимость такого типа кажется невинной, она позволяет злоумышленникам «удвоить расходы», то есть у них есть возможность подделать депозит на бирже. Как только их баланс на бирже по ошибке обновляется, они разворачиваются и снимают ту же сумму. Этот акт удаляет деньги из основного казначейского кошелька биржи (который большинство централизованных бирж используют для управления кастодиальными фондами, подобно банкам).
CertiK также опубликовала список фальшивых депозитных транзакций, воспользовавшись уязвимостью не менее 20 раз за пять дней, утверждая при этом, что они лишь тестировали механизмы обнаружения Kraken.
“CertiK недавно выявила на бирже @krakenfx ряд критических уязвимостей, которые потенциально могут привести к убыткам в сотни миллионов долларов. Одна из таких уязвимостей найдена в депозитной системе @krakenfx”, – написал CertiK (@CertiK) 19 июня 2024 г.
Получив рабочее доказательство концепции, исследователи CertiK должны были немедленно сообщить о проблеме Kraken и прекратить дальнейшее использование уязвимости, но сделали это не сразу. Тем не менее, после инцидента все средства, полученные во время этого так называемого «тестирования», были возвращены Kraken, за исключением небольшой суммы, которая была потеряна в виде комиссий.
Основа этического взлома
Взлом «белой шляпы» — дело деликатное.
Целью является повышение безопасности приложений, обеспечение доверия и прозрачности без ущерба для бизнеса поставщика.
Однако основная истина заключается в том, что хакеры в белых шляпах часто руководствуются пиаром и, исходя из неправильных мотивов, стремятся попасть в громкие заголовки. Например, «CertiK удалось незаметно отобрать у Kraken 3 миллиона долларов» — гораздо более интригующий заголовок, чем «Исследователи обнаружили критическую ошибку в Kraken и сэкономили миллионы долларов».
Здесь напряжение становится высоким. Ожидается, что исследователи по вопросам этики сообщат о своих выводах как можно скорее и получат максимально полное подтверждение концепции, чтобы не помешать бизнесу поставщика. Единственным исключением является случай, когда поставщик приглашает исследователей провести тестирование на проникновение, и в этом случае они согласуют объем тестирования и кодекс поведения.
К сожалению, в данном случае это было не так, поскольку «незапрошенное» тестирование на проникновение продолжалось в течение четырех дней после того, как CertiK провела успешную проверку концепции. Компания CertiK должна была вернуть средства до или во время первоначального отчета. Столь большая сумма средств ни в коем случае не должна была быть взята из казны Кракена или какой-либо другой биржи.
Нужно доверять друг другу
Как отрасль, мы должны держаться вместе и заботиться друг о друге, независимо от того, какое внимание может привлечь к конкурирующему бизнесу громкий заголовок.
Наша отрасль сталкивается с большим количеством плохих хакеров, с которыми приходится бороться. К счастью, даже после подобных разочаровывающих событий мы продолжаем совершенствовать продукты и методы обеспечения безопасности, в то время как инновации неуклонно продвигаются вперед. Сотрудничество в отрасли, при котором конкуренты обмениваются конфиденциальной и ценной информацией, имеет решающее значение, поскольку, в конечном итоге, безопасность — это командный вид спорта.
Мы сможем двигаться вперед как отрасль только в том случае, если между всеми «хорошими парнями» будет доверие. На самом деле, не должно быть «мы» против «них» — мы все работаем ради общего блага, и мы должны помнить об этом в первую очередь.
Об авторе:
Шахар Мадар — вице-президент по продуктам безопасности и доверия в Fireblocks. Он специализируется на создании решений в области безопасности, идентификации, соответствия требованиям и управления для нужд крупных предприятий и известных брендов. Он также является вице-председателем Crypto ISAC, некоммерческой ассоциации организаций, занимающихся продвижением инициатив в области безопасности в криптоэкосистеме.
Эта статья предназначена для общих информационных целей и не должна рассматриваться как юридическая или инвестиционная консультация. Взгляды, мысли и мнения, выраженные здесь, принадлежат только автору.
