Crypto.news se je pogovarjal s soustanovitelji Dedauba, varnostnega podjetja za verigo blokov, in razpravljal o njihovih izkušnjah in novih ukrepih za zaščito sredstev.
Nedavna poročila kažejo, da se je v tretjem četrtletju leta 2023 število vdorov v kriptovalute in prevar povečalo, kar je povzročilo izgubo približno 700 milijonov dolarjev digitalnih sredstev. Ta številka presega izgube v prejšnjih dveh četrtletjih, kar kaže na naraščajočo grožnjo varnosti in zaščiti kripto naložb.
Da bi raziskali te izzive, se je crypto.news srečal z Nevillom Grechom in Yannisom Smaragdakisom, soustanoviteljema podjetja Dedaub, varnostnega podjetja za verigo blokov, na konferenci SmartCon, ki jo je organiziral Chainlink v Barceloni. Poglobili smo se v področje kripto varnosti, razpravljali o najbolj opaznih vdorih, nastajajočih strategijah za zaščito vaših sredstev in o tem, kaj pomeni biti sodoben Sherlock Holmes iz kripto dobe.
Crypto.news: Me lahko spomnite na najbolj zanimive nedavne primere, ki ste jih raziskovali?
Neville Grech: Najbolj zanimiv primer, v katerega smo bili vključeni, je bil MultiChain izpred približno leta in pol. Imeli so potencialno ranljivost. Takrat smo izvajali belo hekanje in preučevali pogodbe glede ranljivosti.
Moj soustanovitelj Yannis se je domislil precej nekonvencionalnega pristopa za izkoriščanje te ranljivosti. Če na kratko povem, lahko bi Multichainu ukradli milijardo dolarjev.
Pogovarjali smo se z ustanoviteljem podjetja in mu posredovali poročilo. Obstaja šest stopenj sprejemanja: najprej je zanikanje in na neki točki sprejemanje. Tako so se končno lotili tega vprašanja.
Crypto.news: Kaj se zgodi v zakulisju, ko začnete preiskavo ali opravite z vdorom?
Neville Grech: Številne preiskave se izvedejo po vdoru. Prvi korak je hitro razumevanje protokola, kar zahteva visoko usposobljene inženirje, pogosto najbolj konkurenčne, kar jih imamo. Ti ljudje blestijo pri nalogah, kot so izzivi Capture the Flag (CTF) in tekmovalno hekanje.
Na začetku delate s čistim adrenalinom, zato je takojšnji cilj ugotoviti, kako preprečiti morebiten drugi vdor. Ne varčujemo s trudom in uporabljamo našo široko mrežo stikov in različnih orodij, od katerih smo nekatera razvili posebej za te situacije. Delamo vsestransko in si prizadevamo obvestiti skupnost o incidentu, se poglobimo v analizo temeljnih vzrokov in podobne vidike. Na žalost po vdoru ni mogoče storiti veliko.
Crypto.news: V kolikšni meri je trenutno mogoče izslediti hekerje?
Neville Grech: Včasih, če je heker nesposoben, lahko izsledimo njihov izvor nazaj do centralizirane izmenjave.
Lahko se izvedejo pomembni koraki, ki pa so pogosto odvisni od stopnje usposobljenosti hekerja. Če na primer uporabljajo storitev, kot je Tornado Cash, ki anonimizira transakcije, postane težko izslediti njihove dejavnosti. Čeprav lahko preverite pri ponudnikih RPC ali raziščete skupno rabo podatkov z organi kazenskega pregona, jih morda ne bodo delili z nami. Razen tega so možnosti omejene.
Prav tako lahko povežete čas, saj Tornado Cash ne zagotavlja 100-odstotne anonimnosti, če se uporablja hitro. Če sredstva vstopijo in takoj pridejo ven, obstajajo načini za vzpostavitev povezav, vendar to vključuje precej ugibanja. Takrat je to podobno detektivskemu delu.
Yannis Smaragdakis: Na splošno menim, da majhnemu do srednje velikemu vdoru, ki ga izvede izkušen heker, verjetno ne bo mogoče izslediti. Morda jih boste lahko našli čez pet let, morda zato, ker so naredili napako ali zaradi tehnološkega napredka, ki bi lahko razkril tisto, kar je trenutno zasebno. Vendar zaenkrat, ko govorimo o vdorih pod milijon dolarjev, morda pol milijona, je to pomemben znesek, vendar ne dovolj velik, da bi se dosledno razkril, ko se poskuša anonimizirati sredstva.
Anonimizirati sredstva, ko imamo opravka z zneski v desetinah milijonov, postaja vedno večji izziv. Črpanje tako znatnih zneskov iz blockchaina je izjemno težka naloga. Tu nastopi tradicionalni kazenski pregon in ne tehnologija pametnih pogodb.
Neville Grech: V realnem gospodarstvu so organi kazenskega pregona pogosto bolj učinkoviti, ko gre za pranje denarja.
Crypto.news: Ste že kdaj poskusili preiskovati severnokorejske hekerje?
Yannis Smaragdakis: Nismo neposredno doživeli nobenih vdorov, ki bi jih pripisali Lazarus Group, severnokorejski hekerski organizaciji.
Neville Grech: Vendar se spomnim incidenta, ko je skupina Lazarus poskušala vdreti v osebo, ki je pred tem vdrla v Euler Finance. V bistvu je heker poskušal vdreti drugega hekerja. Skupina Lazarus mu je poslala povezavo do ranljivega projekta za vzpostavitev komunikacije.
Yannis Smaragdakis: Za razliko od vdiranja v prenosne računalnike ali mobilne naprave, vdiranje v pametne pogodbe nima trga, kjer bi morali porabiti denar, da bi bili konkurenčni. Vdiranje v prenosne računalnike ali mobilne telefone ima koristi od nacionalnih organizacij, kot so Izrael, ZDA ali Rusija, zaradi svojih izdatnih virov in možnosti nakupa vdorov. Te organizacije so visoko organizirane, skoraj kot vojaške operacije.
Na področju hekanja pametnih pogodb potrebujete le ljudi s strokovnim znanjem. Strokovnost skupine Lazarus na področju varnosti pametnih pogodb ni nič posebnega; verjetno imajo posameznike z zadostnim strokovnim znanjem. Številne organizacije po vsem svetu, vključno z majhnimi podjetji, imajo podobno raven znanja.
Če pa vdor vključuje tradicionalne elemente, kot so mobilni telefoni ali izvršljivi programi, imajo morda prednost. Domneva se, da je skupina Lazarus dobro financirana in dobro organizirana, zaradi česar lahko postane močna sila. Vendar je možno, da se jim preveč pripisuje vdorov. Ne moremo z gotovostjo trditi, ali so tako strašljive v prostoru pametnih pogodb.
Za primerjavo, ko gre za moj mobilni telefon, sem morda nekoliko bolj zaskrbljen. Kibernetsko okolje je polno posameznikov z ustreznim strokovnim znanjem, zlasti v tem anonimnem kraljestvu, kjer se lahko ukvarjajo s hekanjem.
Neville Grech: Nekatere od njih boste morda celo srečali na konferencah.
Crypto.news: Kaj lahko priporočite za zaščito svojih sredstev?
Yannis Smaragdakis: Obstajajo standardne najboljše prakse, ki jih je treba upoštevati, zlasti za uporabnike pametnih pogodb. Uporaba strojne denarnice je dobra ideja. Ključnega pomena je skrbno spremljanje transakcij, ki jih podpisujete. Uporaba močnih varnostnih ukrepov na vaših napravah, kot so mobilni telefoni ali prenosni računalniki, je bistvenega pomena za preprečevanje lokalnih vdorov, ki lahko povzročijo krajo podpisov ali pritiskov tipk.
Strojna denarnica nudi nekaj zaščite pred lokalnimi vdori, saj je ločena, manj ranljiva naprava. Vendar pa lahko na vašem prenosnem računalniku prikaže transakcijo, ki se razlikuje od tistega, kar podpisujete. Morda uporabljate svojo strojno denarnico in mislite, da odobravate nekaj, kar bi morali, vendar gre denar drugam. Tako grožnja ostaja, če v vašo lokalno napravo vdrejo.
Za večjo varnost razmislite o praksah, kot je uporaba namenskega in dobro nadzorovanega prenosnika za finančne transakcije. Uporaba ločenih naprav za različne vloge je odličen varnostni ukrep, čeprav je v vsakdanjem življenju lahko nekoliko neprijeten.
Neville Grech: Simulacija transakcij je napredna praksa.
Yannis Smaragdakis: Verjamem, da bodo v bližnji prihodnosti pred izvedbo katere koli transakcije simulirane. V naši programski opremi že ponujamo simulacijo transakcij in številne denarnice, kot je Metamask, zdaj ponujajo tudi to funkcijo. Uporabnikom omogoča predogled rezultatov svojih transakcij, preden jih pošljejo, kar je lahko izjemno koristno. V prihodnjem letu lahko pričakujemo pomembne izboljšave na tem področju.
Končno odgovornost pogosto nosi človeški uporabnik, saj več moči, ko uporabnikom podelite za popolno upravljanje svojih zasebnih ključev in denarnic, lahko vsak napačen korak s strani uporabnika povzroči potencialno kršitev varnosti. Ko imajo uporabniki nadzor nad svojimi računi, postanejo ranljivi za vdore. Zagotavljanje zasebnosti uporabnikov je dvorezen meč; lahko jih zaščiti, hkrati pa omogoči hekerjem, da delujejo neodkrito.
Obstajajo prizadevanja za obravnavo tega vprašanja; nekatere predlagane tehnologije na primer vključujejo segmentirane ključe, kjer del ključa ostane pri uporabniku, drugi del pa ima osrednji subjekt, kot je banka ali finančna organizacija. Uporabniki lahko po potrebi ločeno preverjajo pristnost in dostopajo do obeh ključnih delov. Ta pristop lahko uporabnikom prepreči, da bi izgubili vse zaradi ene same napake. Več glavnih akterjev na tem področju raziskuje takšne denarnice za večstransko računanje (MPC).
Vendar pa je bistveno razumeti, da ima vsaka tehnologija svoje kompromise. Na primer, v tem primeru kompromis vključuje pomanjkanje popolnega nadzora nad vašimi sredstvi. Če velika vlada zahteva zamrznitev računa, to lahko stori. Če uporabniku daste popoln nadzor, ga lahko vdrejo, če naredi napako.
Uravnoteženje uporabniškega nadzora in varnosti je zapleten izziv in podjetja aktivno iščejo pravo ravnovesje, kjer imajo uporabniki znaten nadzor nad svojimi sredstvi, razen ko se zgodi nekaj res resnega, kot je vladna zahteva za zamrznitev računa.
Crypto.news: Videti je, da resnično uživate v tem, kar počnete. Se med svojimi preiskavami kdaj počutite kot Sherlock Holmes?
Yannis Smaragdakis: Včasih se res zdi tako. Določene preiskave so zaradi te podobnosti zelo fascinantne.
Neville Grech: Naše vsakodnevno delo vključuje pregledovanje kode drugih ljudi glede ranljivosti, bodisi z revizijami bodisi z razvojem programske opreme in orodij.
Yannis Smaragdakis: Pogosto smo se znašli v vojnih prostorih in načrtovali, kako se zoperstaviti odkritemu vdoru. Ali pa najdemo večje ranljivosti v kodi in moramo komunicirati s skupinami izdelkov, da jih opozorimo na potrebo po popravkih.
Crypto.news: Nekaj ur po lansiranju žetona BANANA je ChatGPT odkril napako v pametni pogodbi. Ali je dragoceno orodje za odkrivanje takšnih težav?
Yannis Smaragdakis: Na tej stopnji ni posebej konkurenčen. Za vsako veljavno napako, ki jo zazna, jih je lahko 500 zgrešenih. Trenutno ni v skladu s človeškimi zmožnostmi. Morda nima izkušenj ali se bori z nekonvencionalnimi vektorji napadov, ki ne sledijo ustaljenim vzorcem.
V sedanjem stanju se mi ne zdi konkurenčen človeškim hekerjem, še ne. Vendar smo bili letos priča presenetljivim razvojem, zlasti z GPT-4 in njegovimi zmogljivostmi na drugih področjih. Kdo ve, naslednje leto bomo morda presenečeni nad njegovimi zmožnostmi iskanja ranljivosti.
Vir: https://crypto.news/how-blockchain-security-experts-investigate-hacks-interview/