Dużo mówi się o ostatnich „włamaniach” w zdecentralizowanej sferze finansów, szczególnie w przypadku Harvest FInance i Pickle Finance. Ta rozmowa jest więcej niż konieczna, biorąc pod uwagę, że hakerzy ukradli ponad 100 milionów dolarów z projektów DeFi w 2020 roku, co stanowi 50% wszystkich hacków w tym roku, według raportu CipherTrace.
Związane z:Zebranie hacków, exploitów i napadów na kryptowaluty w 2020 roku
Nasze najlepsze roboty biznesowe
Niektórzy zwracają uwagę, że zdarzenia były jedynie exploitami, które rzuciły światło na luki w odpowiednich inteligentnych kontraktach. Złodzieje tak naprawdę do niczego nie włamali się, po prostu przypadkowo przechodzili przez niezamknięte tylne drzwi. Zgodnie z tą logiką, ponieważ hakerzy wykorzystali wady bez faktycznego włamywania się w tradycyjnym sensie, akt wykorzystywania jest etycznie bardziej uzasadniony.
Ale czy tak jest?
Różnice między exploitem a włamaniem
Luki w zabezpieczeniach są źródłem exploitów. Luka w zabezpieczeniach to słabość, którą przeciwnik może wykorzystać, aby naruszyć poufność, dostępność lub integralność zasobu.
Exploit to specjalnie spreparowany kod, którego przeciwnicy używają do wykorzystania pewnej luki w zabezpieczeniach i złamania zabezpieczeń zasobów.
Nawet wspomnienie słowa „hack” w odniesieniu do blockchain może zmylić branżowego nieznajomego mniej zaznajomionego z tą technologią, ponieważ bezpieczeństwo jest jednym z głównych elementów głównego nurtu technologii rozproszonych rejestrów. To prawda, że blockchain jest z natury bezpiecznym środkiem wymiany informacji, ale nic nie jest całkowicie nie do zhakowania. Istnieją sytuacje, w których hakerzy mogą uzyskać nieautoryzowany dostęp do łańcuchów bloków. Te scenariusze obejmują:
- 51% ataków: Takie włamania mają miejsce, gdy jeden lub więcej hakerów przejmuje kontrolę nad ponad połową mocy obliczeniowej. Hakerowi jest to bardzo trudny wyczyn, ale się zdarza. Ostatnio, w sierpniu 2020 r., Ethereum Classic (ETC) stanęło w obliczu trzech udanych ataków 51% w ciągu miesiąca.
- Błędy tworzenia: Występują, gdy podczas tworzenia inteligentnego kontraktu zostaną przeoczone usterki lub błędy bezpieczeństwa. Scenariusze te przedstawiają luki w najpotężniejszym znaczeniu tego terminu.
- Niewystarczające zabezpieczenia: Kiedy włamania są wykonywane poprzez uzyskanie nieuzasadnionego dostępu do łańcucha bloków ze słabymi praktykami bezpieczeństwa, czy naprawdę jest tak źle, jeśli drzwi były szeroko otwarte?
Czy exploity są bardziej uzasadnione etycznie niż hacki?
Wielu argumentowałoby, że robienie czegokolwiek bez zgody nie może być uważane za etyczne, nawet gdyby popełniono gorsze czyny. Ta logika rodzi również pytanie, czy exploit jest w 100% nielegalny. Na przykład zarejestrowanie firmy amerykańskiej na Wyspach Dziewiczych może być postrzegane jako legalna „eksploatacja” podatkowa, chociaż nie jest to uważane za pozornie nielegalne. W związku z tym istnieją pewne szare obszary i luki w systemie, z których ludzie mogą korzystać dla własnych korzyści, a exploit można również postrzegać jako lukę w systemie.
Istnieją również przypadki, takie jak cryptojacking, który jest formą cyberataku, w którym haker przejmuje moc obliczeniową celu, aby wydobywać kryptowalutę w imieniu hakera. Cryptojacking może być złośliwy lub nieszkodliwy.
Najbezpieczniej jest powiedzieć, że exploity nie są etyczne. Można ich również całkowicie uniknąć. Na wczesnych etapach procesu tworzenia inteligentnych kontraktów ważne jest przestrzeganie najsurowszych standardów i najlepszych praktyk w zakresie tworzenia łańcucha bloków. Te standardy mają na celu zapobieganie lukom, a ignorowanie ich może prowadzić do nieoczekiwanych skutków.
Niezwykle ważne jest również, aby zespoły przeprowadzały intensywne testy w sieci testowej. Audyty inteligentnych kontraktów mogą być również skutecznym sposobem wykrywania luk w zabezpieczeniach, chociaż istnieje wiele firm audytorskich, które wydają audyty za niewielkie pieniądze. Najlepszym podejściem byłoby uzyskanie przez firmy kilku audytów z różnych firm.
Poglądy, przemyślenia i opinie wyrażone tutaj są wyłączną własnością autora i niekoniecznie odzwierciedlają lub reprezentują poglądy i opinie Cointelegraph.