" Было много разговоров о недавних «взломах» в сфере децентрализованного финансирования, особенно в случаях Harvest FInance и Pickle Finance. Хакеры украли более 100 миллионов долларов из проектов DeFi в 2020 году, что составляет 50% всех взломов в этом году, согласно отчету CipherTrace.
Некоторые отмечают, что это были просто эксплойты, которые пролили свет на уязвимости соответствующих смарт-контрактов. Воры особо ни что не взламывали, они просто случайно прошли через незапертую заднюю дверь. Согласно этой логике, поскольку хакеры использовали недостатки, фактически не взламывая в традиционном смысле, действие эксплуатации является более оправданным с этической точки зрения. Но так ли это?
Отличия эксплойта от взлома
Уязвимости в системе безопасности - это корень эксплойтов. Уязвимость системы безопасности - это слабое место, которым злоумышленник может воспользоваться для нарушения конфиденциальности, доступности или целостности ресурса. Эксплойт - это специально созданный код, который злоумышленники используют для использования определенной уязвимости и компрометации ресурса.
Даже упоминание слова «взломать» применительно к блокчейну может сбить с толку аутсайдера отрасли, менее знакомого с этой технологией, поскольку безопасность - одна из центральных составляющих основной привлекательности технологии распределенного реестра. Это правда, блокчейн по своей сути является безопасным средством обмена информацией, но ничто не может быть полностью взломано. Существуют определенные ситуации, в которых хакеры могут получить несанкционированный доступ к блокчейнам. Эти сценарии включают:
- 51% атак : такие взломы происходят, когда один или несколько хакеров получают контроль над половиной вычислительной мощности. Это очень сложный подвиг для хакера, но он случается. Совсем недавно, в августе 2020 года, Ethereum Classic столкнулся с тремя успешными атаками 51% за месяц.
- Ошибки создания : они возникают, когда сбои в системе безопасности или ошибки игнорируются во время создания смарт-контракта. Эти сценарии представляют собой лазейки в самом сильном смысле этого слова.
- Недостаточная безопасность : когда взлом осуществляется путем получения неправомерного доступа к блокчейну со слабой практикой безопасности, действительно ли это так плохо, если дверь была оставлена настежь открытой?
Являются ли эксплойты более этически оправданными, чем взломы?
Многие возразят, что выполнение чего-либо без согласия не может считаться этичным, даже если могли быть совершены худшие действия. Эта логика также поднимает вопрос о том, является ли эксплойт на 100% незаконным. Например, регистрация американской компании на Виргинских островах также может рассматриваться как совершение законной налоговой «уловки», хотя внешне это не считается незаконным. Таким образом, в системе есть определенные серые зоны и лазейки, которые люди могут использовать для собственной выгоды, а эксплойт также можно рассматривать как лазейку в системе.
Затем есть такие случаи, как криптоджекинг, который является формой кибератаки, когда хакер захватывает вычислительную мощность цели для добычи криптовалюты от имени хакера. Криптоджекинг может быть злонамеренным или неумышленным. Возможно, будет безопаснее сказать, что действия далеки от этичности. Их также можно полностью избежать. На ранних этапах процесса создания смарт-контрактов важно следовать самым строгим стандартам и лучшим практикам разработки блокчейнов. Эти стандарты предназначены для предотвращения уязвимостей, и их игнорирование может привести к неожиданным последствиям.
Для команд также жизненно важно проводить интенсивное тестирование в тестовой сети. Аудит смарт-контрактов также может быть эффективным способом обнаружения уязвимостей, хотя есть много аудиторских компаний, которые проводят аудит за небольшие деньги. Лучшим подходом было бы, чтобы компании получали несколько аудитов от разных компаний.
