Miért nélkülözhetetlenek a fehér kalapos hackerek a kriptoszektorban?

Az elmúlt hétvégén az ETHDenver eseményen színpadra lépett Jay Freeman is. Arról beszélt, hogyan fedezte fel a közel milliárd dolláros értékű hibát az Optimism, Boba és Metis alapkódjában, amelyet „Féktelen optimizmusnak” nevezett el.

Freemannak komoly múltja van a szoftverfejlesztésben és a hackelésben. Különösen fontos szerepet játszott az iOS operációs rendszer feltörésében, amihez egy jailbreak szoftvert is fejlesztett. Tapasztalata felbecsülhetetlen értékűnek bizonyult pár évvel ezelőtt a vadnyugati, nyílt forráskódokkal dolgozó kriptoiparban. Alig két héttel ezelőtt egy okosszerződéses sebezhetőség miatt a Wormhole DeFi platformról 350 millió dollár értékben loptak el tokeneket egy hackertámadás során.

És még csak nem is ez volt a közelmúlt történetének legnagyobb támadása. Freeman azonban megemlítette, hogy a DeFi cross-chain támadások okait sokszor gyorsan megtalálják. Ugyanis gyakran ugyanazokat a sebeshetőségeket használják ki az egyes platformokon a támadók. Ezeket a platformok karbantartásaiért felelős csapatok folyamatosan felügyelik.

Freeman

Február első hetében Freeman egy kritikus hibát fedezett fel az Optimism virtuális gépében. Olyat, amelyet a fejlesztők valószínűleg nem tudtak olyan gyorsan javítani. A hiba az Optimism önmegsemmisítő funkciójában gyökerezik. Ez lehetővé teszi a szerződések megsemmisítését, és a fennmaradó Ethereum egyenleget egy kijelölt címre küldeni.

Önmegsemmisítő funkció?

Veszélyesnek hangzik ez a funkció, de akkor miért tartalmazzák a blokkláncok ezt az önmegsemmisítő programot? Ez a funkció lehetővé teszi az elavult vagy veszélyes szerződések eltávolítását a láncból, miközben az Ethereum egyenleget visszaadja a jogos tulajdonosának.

Az Optimism önmegsemmisítő funkciója visszaküldte az ethert a kijelölt címre anélkül, hogy az egyenleget az okosszerződésen belül valaha is felégette volna. Freeman szerint „Ez azt jelenti, hogy amikor egy szerződés önmagát megsemmisíti, annak egyenlege a kedvezményezettnek kerül átadásra, de sajnos az okosszerződésből nem került törlésre.” Ha a támadók sikeresen meg tudják hívni a szerződést, akkor létrehozhatnának egy hurkot. Ez megduplázza az ETH-egyenlegüket, amíg azt valaki észre nem veszi vagy amíg ki nem javítják azt az Optimism fejlesztői.

Freeman megjegyezte, hogy nem ő volt az első, aki megtalálta a hibát. Miután átvizsgálta az Optimism korábbi önmegsemmisítő hibáit, talált egy tárca címet, amit visszavezetett az Etherscan egyik alkalmazottjához. Az alkalmazott megtalálta és tesztelte a hibát, de láthatóan nem értette a helyzet súlyosságát, és nem javította. A sebezhetőség az idő múlásával egyre súlyosabbá vált. Mivel egyre több tokent utaltak át az Optimism platformra, és más Layer 2 rendszerek is lemásolták az Optimism által bevezetett kódot. A Layer 2 rendszerek olyan kapcsolódó hálózatok, amelyek kapcsolódnak a fő blokklánchoz, de funkcionálisan elkülönülnek az alaprétegtől.

Következésképpen Freeman megjegyezte, ha nem találta volna meg a hibát, a sebezhetőség lehetővé tette volna a támadó számára, hogy minden alkalommal megduplázza a vagyonát, amikor az önmegsemmisítő funkciót a Bobánál és Metisnél is meghívta volna.

Fehér kalapos hackerek és a DeFi

Még ha az Optimism csapata észre is vette volna és ideiglenesen fel is függesztette volna a platformon a tranzakciókat, egy támadó akkor is pusztítást végezhetett volna a Layer 2-es DeFi megoldásokban. A hamisan alkalmazott OETH használatával bármely támadó képes lenne kiüríteni a decentralizált tőzsdéket és a hitelezési platformokat megfelelő fedezet nélkül is. Ez a támadás valószínűleg helyrehozhatatlan károkat okozott volna az Ethereum ökoszisztémán belül. Az Optimism, Boba és Metis platformokon együttesen körülbelül 750 millió dollár értékű token volt zárolva a sebezhetőség bejelentésének napján, amely szinte mindegyike veszélyben volt.

A decentralizált pénzügy továbbra is sebezhető szektor sok névtelen alapítóval, nyílt forráskóddal és dollármilliárdokkal lekötve a különféle rendszerekben. Ez a hatalmas mennyiségű tőke olyan ösztönző rendszert hozott létre, amely nagyon sok fejlesztőt, új megoldásokat vonz, amik gyorsan sokfajta új tokent bocsátanak ki.

Ezzel szemben az óvatosság és a professzionalizmus egyelőre kevésbé jellemzi ezeket az új projekteket, és a érdekelt kereskedőket és a befektetőket. A világgazdaság újra és újra megtapasztalta már a határtalan kockázatvállalás hatását. Még akkor is, ha a piac végül megbünteti a rövidzárlatokat. Nincs okunk azt hinni, hogy ugyanez ez a kimenetel a kriptoszektorban és a decentralizált pénzügyekben nem fog megtörténni.

A túlzott optimizmus visszaüthet

Freeman azon is elgondolkodott, hol van a középút a „a kód törvénye” és a harmadik felek felé kinyilvánított bizalom között. Felvetette, hogy a különféle ‘bug bounty’ programok elengedhetetlenek ahhoz, hogy ösztönözzék a fehér kalapos hackereket a sebezhetőségek felkutatására és megtalálására.

Ahogy Freedman fogalmazott, ez a fajta „baráti ellenségeskedés” arra ösztönözheti az ökoszisztéma résztvevőit, hogy nyitottabbak, őszintébbek, sőt pesszimistábbak legyenek az új ötletekkel kapcsolatban.

Ez a pesszimizmus a kulcs. Ma a szereplők talán túlságosan optimisták. A befektetők és a DeFi-felhasználók érdeklődnek az olyan protokollok iránt is, amelyek valójában soha nem működhetnének normál piaci körülmények között, vagy akár veszélyesek is lehetnek. A felügyelet hiánya és a nyílt forráskód természete tökéletes környezetet teremt a hackerek és csalók számára. Ezt egyelőre a kriptovaluta iparág nagy része nem hajlandó elismerni potenciális kockázatként és veszélyként.