Etikusabb lehet-e az egyik hackertámadás a másiknál?
A hackertámadások senkit sem kímélnek. Ezalól a DeFi projektek sem képeznek kivételt, hiszen 2020-ban csaknem 100 millió dollárt loptak el a szektorból a hackerek. Néhányan azonban most is úgy gondolják, van különbség egy hackertámadás és egy biztonsági kiskapu kihasználása között. Igazuk lenne?
Mindegy, hogy hackertámadás vagy sebezhetőség, a fontos, hogy tanuljunk belőle
Ha valaki nyitva hagyja az ajtaját, és te besétálsz rajta, az betörésnek számít-e? Ezt a kérdést vetették fel többen a DeFi hackek esetében, amikor az okosszerződések hibáit kihasználva a hackerek több projektnek is több millió dolláros kárt okoztak. Semmit nem kellett feltörniük ehhez, ami a hackertámadások alapvető „feltétele”. Szóval valahol jogos a kérdésük: egy sebezhetőség „legális” kihasználása nem etikusabb-e, mint egy rosszindulatú hackertámadás?
Egy biztonsági sebezhetőség itt egy olyan gyengeséget jelent, amelyet kihasználva az adatvédelem, elérhetőség vagy a rendszer integritását kompromittálják a „hackerek” vagy elkövetők. Ezeket a sebezhetőségeket egy direkt erre a célra megalkotott kóddal fordítják saját előnyükre. Hozzáférésük azonban sok esetben teljesen legálisan történik meg a nem megfelelő biztonsági előírások miatt.
Persze logikusan merül fel a kérdés, hogy a blokkláncok esetében egyáltalán milyen hackertámadásokról lehet beszélni. A blokkláncok egyik legnagyobb erősségének a biztonságot tartják. Az elosztott főkönyvi technológia egyik fő célja, hogy a támadások minimalizálását tegye lehetővé. Ennek ellenére az 51%-os támadás – ahol egy hacker vagy hackercsoport veszi át az irányítást a számítási kapacitás több, mint fele fölött – jól ismert hacker technika, azonban ezen kívül is találhatunk egyéb biztonsági problémákat. A DeFi projektek esetében például egészen gyakori, hogy okosszerződések megalkotásánál a fejlesztők hagynak véletlenül sebezhetőségeket a rendszerben, melyet aztán ki tudnak használni mások.
Szélesebb körben a hackek esetében gondolhatunk a cryptojacking esetére is, ami egy olyan kibertámadás, ahol egy nem megfelelően védett számítógép kapacitását kompromittálják, hogy azzal kriptopénzeket bányásszanak. A blokkláncon kívül a kriptováltók nem megfelelő biztonsági standardjai is rengeteg támadáshoz vezettek már.
Tesztelni, tesztelni, tesztelni
A sebezhetőségek „legális” kihasználása és a rosszindulatú hackertámadások között tehát lehet valamilyen különbséget tenni. S bár az egyik lehet, hogy kevésbé „rossz”, de a végén egyiket sem mondanánk igazán etikus tevékenységnek. A legfontosabb azonban talán nem is az, hogy az etikai következményeket tekintsük végig a legcizelláltabb formában, hanem hogy miket tudunk ezekből tanulni. Amíg ugyanis meg van az esély a hackertámadásra, addig mindig lesz valaki, aki ezt ki akarja majd használni. Ahogy Pawel Stopczynski is kiemeli Cointelegraphos cikkében, az okosszerződések esetében például különösen fontos, hogy a legszigorúbb standardokat kövessék a fejlesztők. De ugyanolyan fontos lehet az is, hogy rengeteg tesztelésnek vessék alá az okosszerződéseket, illetve, hogy több forrásból is kapjanak visszajelzéseket (pl. lehetőleg több audit formájában).
Ha ugyanis a véletlenre bízzuk a biztonságunkat, akkor senki ne lepődjön meg, amikor a véletlen nem bánik kedvesen és etikusan az adatainkkal.