Ось як їх виправити – журнал Cointelegraph

Використання блокчейну може бути надзвичайно дорогим; з погано розробленими смарт-контрактами децентралізовані програми та мости знову і знову піддаються атакам.

Наприклад, у березні 2022 року мережа Ronin зазнала злому на суму 625 мільйонів доларів, коли хакер зміг викрасти приватні ключі, щоб створити фальшиві зняття коштів і переказати сотні мільйонів. Пізніше того ж року в серпні Nomad Bridge зазнав злому на 190 мільйонів доларів, коли хакери скористалися помилкою в протоколі, яка дозволила їм вивести більше коштів, ніж вони внесли.

Ці вразливості в базовому коді смарт-контракту в поєднанні з людськими помилками та помилками створюють значні ризики для користувачів Web3. Але як криптопроекти можуть вживати активних заходів для виявлення проблем до того, як вони виникнуть?

Є кілька основних стратегій. Проекти Web3 зазвичай наймають компанії для перевірки коду смарт-контракту та перегляду проекту для отримання печатки схвалення.

Інший підхід, який часто використовується в поєднанні, полягає в створенні програми винагороди за помилки, яка заохочує добронадійних хакерів використовувати свої навички для виявлення вразливостей раніше, ніж це зроблять зловмисники.

Існують серйозні проблеми з обома підходами в їх поточному стані.

Аудит Web3 не працює

Аудити або зовнішні оцінки, як правило, виникають на ринках, де ризики можуть швидко зростати та завдавати системної шкоди. Будь то публічна компанія, державний борг чи смарт-контракт, одна вразливість може спричинити хаос.

Але, на жаль, багато аудитів – навіть якщо їх проводить зовнішня організація – не викликають довіри та не є ефективними, оскільки аудитори не є справді незалежними. Тобто їхні стимули можуть бути спрямовані на задоволення клієнта, а не на повідомлення поганих новин.

«Аудит безпеки займає багато часу, коштує дорого і в кращому випадку призводить до того, що все гаразд. У гіршому випадку вони можуть змусити проект переглянути весь дизайн, затримуючи запуск і успіх на ринку. Таким чином, у керівників проектів DeFi виникає спокуса знайти іншу, більш відповідальну аудиторську компанію, яка заховає будь-які проблеми та закріпить смарт-контракти», — пояснює Кейр Фінлоу-Бейтс, дослідник блокчейну та розробник Solidity.

«Я мав власний досвід із таким тиском з боку клієнтів: суперечки з розробниками та керівниками проектів про те, що їхній код чи архітектура невідповідні, викликають відсіч, навіть коли слабкі місця в системі очевидні».

Принципова поведінка окупається в довгостроковій перспективі, але в короткостроковій перспективі це може обійтися прибутковими клієнтами, які прагнуть вийти на ринок зі своїми новими токенами.

«Я не можу не помітити, що слабкі аудиторські компанії швидко нарощують більш значну присутність на аудиторському ринку завдяки своєму великому списку задоволених клієнтів… задоволених, тобто до тих пір, поки не станеться хак», — продовжує Фінлоу-Бейтс.

Одна з провідних компаній у сфері аудиту Web3, CertiK, надає «оцінки довіри» проектам, які вони оцінюють. Однак критики зазначають, що вони схвалили проекти, які провалилися. Наприклад, хоча CertiK поспішив повідомити 4 січня 2022 року, що в проекті BNB Smart Chain Arbix відбулося порушення, вони «пропустили, що провели аудит Arbix 46 днів тому». відповідно Елоїзі Марчесоні, спеціалісту з токеноміки, на Medium.

Але найпомітнішим інцидентом став повномасштабний аудит Terra, проведений CertiK, який згодом зазнав краху, що призвело до краху половини криптоіндустрії. З тих пір перевірку було припинено, оскільки вони застосували більш рефлексивний підхід, але фрагменти залишаються онлайн.

Террафійований

Чжун Шао, співзасновник CertiK, сказав у прес-релізі 2019 року:

«CertiK був дуже вражений розумним і дуже ефективним дизайном теорії економіки Terra, особливо належним розмежуванням засобів контролю для стабілізації валюти та передбачуваного економічного зростання».

Він додав: «CertiK також виявив, що технічна реалізація Terra є однією з найвищих якостей, яку він бачив, демонструючи надзвичайно принципову інженерну практику, майстерне володіння Cosmos SDK, а також повну та інформативну документацію».

Ця сертифікація відіграла важливу роль у зростанні міжнародного визнання Terra та отриманні інвестицій. Нещодавно заарештований До Квон, співзасновник Terra, сказав в той час:

«Ми раді отримати офіційний штамп схвалення від CertiK, який відомий у галузі встановленням дуже високої планки безпеки та надійності. Результати ретельного аудиту, якими ділиться команда досвідчених економістів та інженерів CertiK, додають нам більше впевненості в нашому протоколі, і ми раді швидко розгорнути наш перший платіжний dApp з партнерами з електронної комерції в найближчі тижні».

Зі свого боку, CertiK стверджує, що його перевірки були всебічними, і крах Terra стався не через критичний недолік безпеки, а через людську поведінку. Х’ю Брукс, директор з операцій безпеки CertiK, розповідає Magazine:

«Наш аудит Terra не зробив жодних висновків, які можна було б вважати критичними чи серйозними, оскільки не було виявлено критичних помилок безпеки, які могли б спонукати зловмисника до атаки на протокол. Цього не сталося і в сазі про інцидент на Террі».

«Аудити та перевірки коду або формальна перевірка не можуть запобігти діям осіб з контролем або скиданням жетонів Whale, що спричинило перше відключення та наступні панічні дії».

Схвалення чогось, що згодом виявилося хитрим, не обмежується індустрією блокчейнів і повторюється протягом всієї історії, починаючи з п’ятірки провідних публічних бухгалтерських фірм Arthur Anderson, які схвалювали книги Enron (пізніше знищивши частину доказів) ) рейтинговому агентству Moody’s, яке виплачує 864 мільйони доларів США за хитромудрі оптимістичні рейтинги облігацій, які розпалили бульбашку нерухомості у 2008–2009 роках і сприяли світовій фінансовій кризі.

Отже, аудиторські компанії Web3 стикаються з подібним тиском у набагато новішій, швидшому зростанні та менш регульованій галузі. (Минулого тижня CertiK опублікував свої нові «Оцінки безпеки» для 10 000 проектів — подробиці див. праворуч).

Справа тут не в тому, щоб кинути CertiK під автобус – він укомплектований кваліфікованими працівниками з благими намірами – а в тому, що аудити Web3 не розглядають усі ризики для проектів і користувачів і що ринку можуть знадобитися структурні реформи, щоб вирівняти стимули.

«Аудит перевіряє лише дійсність контракту, але більша частина ризику полягає в логіці дизайну протоколу. Багато експлойтів не є результатом порушених контрактів, але вимагають перегляду токеноміки, інтеграції та ред-теамингу», — каже Ерік Вайсанен, керівник токеноміки Phi Labs.

«Хоча аудити загалом дуже корисні, вони навряд чи вловлять 100% проблем», — каже Джей Джог, співзасновник Sei Networks. «Основна відповідальність все ще лежить на розробниках за використання передових практик розробки для забезпечення надійної безпеки».

Стіліанос Кампакіс, генеральний директор Tesseract Academy і експерт з токеноміки, каже, що проекти повинні наймати кількох аудиторів, щоб забезпечити найкращий огляд.

«Я вважаю, що загалом вони, мабуть, добре виконують свою роботу, але я чув багато жахливих історій про аудити, які пропустили значні помилки», — розповідає він Cointelegraph. «Отже, це залежить не лише від фірми, а й від фактичних людей, які беруть участь у аудиті. Ось чому особисто я б ніколи не довіряв безпеку протоколу одному аудитору».

zkSync погоджується з необхідністю кількох аудиторів і повідомляє Magazine, що перед тим, як 24 березня запустити свою EVM-сумісну еру з нульовими знаннями в основній мережі, її ретельно протестували в семи різних аудитах від Secure3, OpenZeppelin, Halburn і четвертого аудитора, який ще не буде оголосив.

Хакери в білому капелюсі та винагороди за помилки

Райнер Бьоме, професор безпеки та конфіденційності в Університеті Інсбрука, написав що базові аудити «навряд чи коли-небудь є корисними, і загалом ретельність аудитів безпеки має бути ретельно пристосована до ситуації».

Натомість програми винагород за помилки можуть забезпечити кращі стимули. «Винагороди за помилки пропонують усталений спосіб винагороди тих, хто знаходить помилки… вони були б природним підходом для криптовалют, оскільки вони мають вбудований механізм оплати», — Беме. продовження.

Хакери «білого капелюха» — це ті, хто використовує свої таланти для виявлення вразливості та працює з проектами, щоб виправити її, перш ніж зловмисний («чорний» хакер зможе її використати).

Програми винагород за помилки стали необхідними для виявлення загроз безпеці в Інтернеті, як правило, кураторами власників проектів, які хочуть, щоб талановиті програмісти перевіряли їхній код на наявність вразливостей. Проекти винагороджують хакерів за виявлення нових вразливостей і технічне обслуговування та підтримку цілісності мережі. Історично склалося так, що виправлення для мов розумних контрактів з відкритим вихідним кодом — наприклад, Solidity — були виявлені та виправлені завдяки хакерам, які нагороджуються за помилки.

«Ці кампанії почалися в 90-х роках: існувала активна спільнота навколо браузера Netscape, яка безкоштовно або за гроші виправляла помилки, які поступово з’являлися під час розробки», написав Марчезоні.

«Незабаром стало зрозуміло, що такою роботою не можна займатися в простір або як хобі. Компанії отримали подвійну вигоду від кампаній винагород за помилки: окрім очевидних проблем із безпекою, також з’явилося сприйняття їхньої відданості безпеці».

В екосистемі Web3 з’явилися програми винагород за помилки. Наприклад, у 2021 році Polygon запустив програму винагороди за помилки вартістю 2 мільйони доларів, щоб викорінити та усунути потенційні недоліки безпеки в перевіреній мережі. Avalanche Labs керує власною програмою винагород за помилки, яка була запущена в 2021 році через платформу баунті HackenProof.

Однак існує напруга між масштабом прогалин у безпеці, які вони, на їхню думку, виявили, і тим, наскільки суттєвою є ця проблема в проектах.

Хакери білого капелюха звинуватили різні блокчейн-проекти в обмані членів спільноти, а також утриманні компенсації за баг-баунті за послуги білого капелюха. Хоча це само собою зрозуміло, реальна виплата винагороди за законну службу є важливою для збереження стимулів.

Команда хакерів нещодавно заявлено що він не отримав компенсацію за свої послуги винагороди за помилки для прикладного рівня Tendermint і Avalanche.

З іншого боку паркану проекти виявили, що деякі хакери з білими капелюхами насправді є замаскованими чорними капелюхами.

Tendermint, Avalanche тощо

Tendermint — це інструмент, за допомогою якого розробники зосереджуються на розробці додатків вищого рівня без необхідності мати справу безпосередньо з базовим зв’язком і криптографією. Tendermint Core — це механізм, який сприяє роботі мережі P2P через консенсус proof-of-stake (PoS). Інтерфейс Application BlockChain (ABCI) — це інструмент, за допомогою якого загальнодоступні блокчейни зв’язуються з протоколом Tendermint Core.

У 2018 році а програма баунті для спільнот Tendermint і Cosmos було створено. Програма була розроблена, щоб винагороджувати членів спільноти за виявлення вразливостей винагородами на основі таких факторів, як «вплив, ризик, ймовірність використання та якість звіту».

Минулого місяця команда дослідників стверджувала, що виявила серйозний експлойт безпеки Tendermint, що призвело до збою служби через віддалений API – було виявлено вразливість Remote Procedure Call (RPC) Tendermint, що вплинуло на понад 70 блокчейнів. Експлойт матиме серйозний вплив і потенційно може містити понад 100 однорангових уразливостей і вразливостей API, оскільки блокчейни мають схожий код. Десять блокчейнів у топ-100 таблиці лідерів безпеки CertiK засновані на Tendermint.

Однак, пройшовши відповідні канали, щоб отримати винагороду, група хакерів заявила, що компенсації не отримала. Замість цього послідувала низка подій, які, як стверджують деякі, були спробою зупинити роботу Tendermint Core, у той час як вона швидко виправила експлойт, не заплативши мисливцеві за головами належного.

Це, серед іншого, що нібито задокументувала група, є…