2022. 11. 11.
Minden korábbinál több értéket tulajdonítottak el hackerek októberben a kriptovalutapiacon, ami komoly kérdéseket vet fel a szektor biztonságával, fennmaradásával kapcsolatban. De vannak hatékony módszerek, amelyekkel a járvány visszaszorítható.
A kriptovaluták világát gyakran hasonlítják a vadnyugathoz szabályozatlansága és veszélyessége miatt, joggal. Ha nem is colttal, hanem leginkább programkóddal, és nem postakocsira vagy bankokra, hanem okosszerződésekre és pénzügyi protokollokra, de valóban gyakran lőnek. Annyira, hogy ez már az ágazat létét látszik veszélyeztetni.
Ebben az évben ugyanis csak október végéig már 2,98 milliárd dollárnyi értéket tulajdonítottak el különböző hackertámadások, rendszerbetörések (exploit) során a kriptodeviza-szektorban a Peckshield biztonsági cég statisztikája szerint.
Hacktóberben rekord született
Ez közel kétszer annyi, mint a 2021-es egész évi 1,55 milliárd, és sokszorosa a 2020-as 250 millió dollárnak is. Ráadásul az idén az árfolyamok is jobbára alacsonyabbak, mint tavaly voltak, így bitcoinban vagy éterben számolva a duplázásnál is rosszabb lenne a helyzet.
Egy másik számítás szerint míg tavaly év végén 3000 milliárd (három billió) dollár körül tetőzött a kriptodevizapiac teljes kapitalizációja, addig az utóbbi hónapokban jobbára 1000 milliárd körül mozgott. Vagyis tavalyról idénre a teljes piac mintegy fél ezrelékéről annak több mint három ezrelékére emelkedett a kár úgy, hogy még nincs is vége ennek az évnek.
Kiugróan nagy, mintegy 760 millió dollár értékben követtek el hasonló betöréseket októberben, ezzel ez lehetett a kriptotörténelem legrosszabb hónapja. El is nevezték a mémgyárak a jelenséget „hacktóbernek”. Igaz, az összeg nagy része egyetlen esethez, a Binance BNB blokklánc feltöréséhez kapcsolódik, 566 millió dollár értékben.
Az okosszerződéseket támadják a nagyokosok
Évekkel ezelőtt gyakran kriptotőzsdékre törtek be, ezek biztonságát azonban mára, úgy tűnik, sikerült komolyabban megerősíteni. Idén, illetve az utóbbi pár évben már inkább az volt a jellemző, hogy DeFi- (decentralizált pénzügyi) protokollokat, azon belül is a legnagyobb értékben bridge-eket károsítottak meg. Ezek a hidak különböző blokkláncok között hivatottak átjárást biztosítani úgy, hogy az egyiken letétbe helyezett kriptoérmékre a másik láncon új, „becsomagolt” (wrapped) érméket adnak ki. (Távolról ahhoz hasonlóan, mint amikor egy európai részvényre kibocsátott letéti igazolásokat vezetnek be az USA-ban az ottani értékpapírpiacra.)
Mitől ez a pandémia-szerű hackeléshullám? Alighanem benne van, hogy minél bonyolultabb valami, annál több hibalehetőséget tartalmaz. Ahogy a DeFi-szektor egyre elterjedtebbé válik, azzal a támadási felület is egyre nő, és egyre több hibát, támadási felületet ismernek fel a hackerek is.
Hogyan kerülhető el a vég?
Egy mondás szerint a kriptodeviza-szektorban „az első számú szabály: túlélni”. Amit felettébb megnehezít, ha önhibádon kívül is bármikor ellophatják az értékeidet. Az ágazat számára tehát létfontosságú lenne ennek a trendszerű jelenségnek a megszüntetése, vagy drasztikus visszaszorítása.
Fog-e javulni ez a tendencia, megmenthető-e a szektor reputációja? Sok jel szerint igen. A támadásokról naplót vezető Rekt.news oldal statisztikája szerint például a harminc legnagyobb értékű káresetből 19-nél nem készült audit, azaz külső szakértők által készített, biztonsági fókuszú szoftverátvilágítás. (Valójában vélhetően még többnél, mert néhányról nincs adat.)
Másrészt viszont olyan hatalmas értékeket forgalmazó rendszereknél, mint például az Uniswap decentralizált kriptovaluta-váltó, nem volt egyetlen eset sem. Megfelelő odafigyeléssel, ráfordítással tehát jelentősen mérsékelhető lenne a kár. Fel kéne hagyni azzal a gyakorlattal is, hogy a DeFi-alkalmazásokat csak későn, lényegében már élesben futtatva tesztelik.
„Ugyanúgy kellene tekinteni az okosszerződésekre, mint a repülőgépeken, autókon és űrsiklókon futó programkódokra” – mondta egy blokkláncbiztonsági szakértő, Stephen Tong.
Kövesd a pénz útját
Az is sokat segíthet, ha a DeFi-fejlesztők több jutalmat („bug bounties”) ajánlanak fel az etikus hackerek számára, akik így feltárják a hibákat. Rendszerint jóval olcsóbban, mintha azok egy rosszindulatú támadás kapcsán buknának ki. Ezt támogatta például „SBF”, azaz Sam-Bankman Fried, az egyik legnagyobb kriptotőzsde, az FTX vezére is, azzal, hogy a hackereknek kifizetendő jutalmakat azért limitálni kellene.
Egy másik út, ha a hackerek által megszerzett kriptopénzek értékesítését, tisztára mosását akadályozzák meg, például az érintett címek (kriptovaluta-számlaszámok) feketelistázásával. Bár ez rengeteg vitát kavar, mert ezzel megint az állami beavatkozás, cenzúra erősödhet, a decentralizáció elve sérülhet.
Sokan gondolják úgy, hogy ha az iparág maga, azaz a szoftverfejlesztők, vállalkozók nem tudják megállítani a hackereket, akkor ezzel az államok beleszólási, szabályozási törekvéseit erősítik. Így aztán eljött a 24-ik óra, feltétlenül lépni kell.
Szerző: DeFizz