Lvalgė praeitą mėnesį, įsilaužėliai padarytas su kas tada buvo verta daugiau nei 500 mln iš kriptovaliutų tinklo „Ronin“ sistemų – manoma, kad tai antra pagal dydį kriptovaliutų vagystė.
Roninas buvo sultingas įsilaužėlio taikinys. „Blockchain“ projektas palaiko nepaprastai populiarų vaizdo žaidimą „Axie Infinity“, kuris apytiksliai 8 milijonai žaidėjų palygino su veiksmu paremtais kolekcionavimo žaidimais, tokiais kaip „Pokémon Go“.
„Axie Infinity“ yra karšta ir reikalauja didelių pinigų sumų. Žaidėjai perka būtybes, vadinamas ašimis, pavidalu NFT, unikalūs skaitmeniniai ištekliai, žinomi kaip nepakeičiami žetonai. Sutvėrimai gali veistis, kovoti ir netgi būti iškeisti į šaltus, kietus pinigus.
Žaidimo populiarumas išaugo, nes žaidėjai mato galimybę užsidirbti tikrų pinigų. Pranešama, kad 2020 metais vienas 22 metų žaidėjas iš Filipinų nusipirko du butus Maniloje su savo pajamomis iš žaidimo. Praėjusiais metais apie tai pasakė kitas žaidėjas daugiau uždirbo per „Axie Infinity“. ir kitus internetinius žaidimus nei dirbdamas visą darbo dieną „Goldman Sachs“.
Tačiau žaidimo pagrindas susiduria su dideliais saugumo iššūkiais. Norėdami žaisti, žaidėjai turi perkelti savo pinigus iš „Ethereum“ į „Ronin“, naudodami „blockchain“ „tilto“ sistemą. „Ronin“ yra „Ethereum“ „šoninė grandinė“ – mastelio keitimo sprendimas, leidžiantis operacijoms įvykti greičiau nei naudojant „Ethereum“, kuri yra perpildyta dėl jame vykdomos veiklos. Žaidimo talpinimas šioje šoninėje grandinėje užtikrina, kad jis gali augti neprarandant funkcionalumo. Tiltai vienu metu gali turėti daug pinigų, todėl nusitaikę į Ronino tiltą, kuris žaidėjų turtą perkėlė tarp blokų grandinių, įsilaužėliai perėmė turto kontrolę ir paėmė pinigus.
JAV vyriausybė sakė šią savaitę ji mano, kad už vagystės slypi Šiaurės Korėjos įsilaužėliai. Bet tai tik naujausias įžūlių didelio atgarsio kriptovaliutų vagysčių virtėje. 2018 metais iš kriptovaliutų biržos Coincheck buvo pavogta daugiau nei 530 mln. Vasario mėn. įsilaužėliai uždirbo 320 mln. USD iš decentralizuotos finansų platformos „Wormhole“ (nors galiausiai tas grobis buvo grįžo). Tą patį mėnesį, per bene labiausiai viešą metų kibernetinį vagystę, prokurorai apkaltino keistą porą Ilją „olandą“ Lichtenšteiną ir jo žmoną Heather Morgan, taip pat žinomą dėl savo siaubingų repo „TikTok“ vardu Razzlekhan, dėl sąmokslo. skalbti milijardų dolerių vertės bitkoinų pavogtas iš kriptovaliutų biržos Bitfinex 2016 m.
Tai tendencija. 2021 m. iš asmenų ir paslaugų buvo pavogta 3,2 mlrd. USD vertės kriptovaliuta, teigiama „Chainalysis“, bendrovės, teikiančios blokų grandinės duomenis ir analizę bankams, vyriausybėms ir kitoms įmonėms, kriptovaliutų ataskaitoje. (Roninas taip pat darbas su grandinine analize atsekti per įsilaužimą pavogtas lėšas, praneša Reuters.) Šis skaičius yra beveik šešis kartus didesnis už 2020 m. pavogtą sumą. Pasak Chainalysis ir kitų saugos įmonių ekspertų, šiais metais jau pavogta daugiau nei 1 mlrd..
Išmaniųjų sutarčių pažeidžiamumas
Didelio atgarsio sulaukę įsilaužimai ir didelės pinigų sumos iškėlė klausimų, kiek blokų grandinė, ilgai laikyta saugia turto saugojimo vieta, yra pažeidžiama tokiems pažeidimams.
Kai kurie ekspertai teigia, kad pranešimų apie kriptovaliutą daugėja, nes kriptovaliuta yra plačiai naudojama ir geriau suprantama nei bet kada anksčiau.
„Iš esmės jūs turite daug pinigų ant stalo ir ant labai viešo stalo“, – sakė Nicholas Christin, Carnegie Mellon universiteto docentas, tyrinėjantis internetinius nusikaltimus ir kompiuterių bei tinklų saugumą. Kai šiose skaidriose sistemose viešai juda didelės pinigų sumos, įsilaužėlis gali būti patrauklus.
Ekspertai teigia, kad norint suprasti, kaip šios vagystės galimos, svarbu atskirti „blockchain“ ir kitas programas, kurios veikia jos viršuje. Pati „blockchain“ yra decentralizuota viešoji knyga, leidžianti atlikti tarpusavio sandorius. Tai pagrindinis sluoksnis, ant kurio yra pastatytas bitkoinas, Ethereum ar Solana.
Antrasis sluoksnis – tas, kuris dažnai naudojamas – yra išmaniosios sutartys, veikiančios blokų grandinėse. Išmaniosios sutartys yra kodo susitarimai, kurie automatiškai vykdomi, kai įvykdomos sutarties sąlygos. Įprasta analogija yra su skaitmeniniu automatu – išsirinkite prekę, įveskite reikiamą pinigų sumą ir jūsų prekė bus automatiškai išduodama. Šios sutartys yra neatšaukiamos.
Christin paaiškino, kad įsilaužėliai pasiekia pinigų per šias antrojo lygmens sistemas, pasinaudodami kodo klaidomis arba gaudami privačius raktus, kurie leis jiems patekti į sistemas. Kai kurie įsilaužėliai netgi sugriauna išmaniąsias sutartis, kad nukreiptų lėšas į savo rankas.
„Axie Infinity“ įsilaužimo metu, kuris buvo nukreiptas į Ronino tiltą, įsilaužėlis gavo pakankamai privačių raktų, kad galėtų valdyti tiltą ir išleisti lėšas. Kadangi tiek daug vartotojų turėjo savo turtą tilte, išmokos buvo didžiulės.
„Pagrindinis blokų grandinės protokolas yra saugus“, – sakė blokų grandinės saugos įmonės „Certik“ įkūrėjas ir generalinis direktorius Ronghui Gu. „Tačiau ant jų veikiančios programos – išmaniosios sutartys – vis dar yra kaip kitos įprastos programos, kuriose gali būti programinės įrangos klaidų ir pažeidžiamumų.
Įprasta, kad įsilaužėliai bando išnaudoti vieno iš savo taikinių kodą. Ir tai padeda tai, kad didžioji dalis blokų grandinės programų kodo yra atvirojo kodo, todėl jis lengvai pasiekiamas įsilaužėliams, norintiems peržvelgti kodą ir rasti galimas klaidas.
„Šiame pasaulyje žmonės sako: „Kodu, kuriuo pasitikime“, tačiau pats kodas iš tiesų nėra toks patikimas“, – sakė Gu. Kai 2018 m. įkūrė blokų grandinės saugos įmonę, Gu paaiškino, kad tik kelios įmonės naudojosi tokiomis trečiųjų šalių saugos paslaugomis kaip jis, kad patikrintų ir įvertintų savo kodą – esminį saugumo garantą, tačiau jis pastebėjo, kad šis skaičius palaipsniui didėjo.
Kripto mainai taip pat yra pagrindiniai įsilaužimų taikiniai. Biržai yra kaip bankai, jie yra centriniai subjektai, kuriuose laikomos didžiulės vartotojų pinigų sumos, o operacijos yra negrįžtamos. Kaip ir tiltai, jie yra tarpininko programa, kuri paprastai yra tikslinga. „Tie dideli mainai turi didžiulį tikslą ant nugaros“, – sakė Christin.
Aukos liko su didelė saugumo našta
Pavogus kriptovaliutų turtą, vagims gali būti sunku išsigryninti pinigus, ypač jei vagystė yra devynių skaitmenų diapazonas. Tai reiškia, kad lėšos dažnai lieka nežinioje metams ar net neribotam laikui. Per tą laiką pavogtų lėšų vertė gali svyruoti dėl nepastovaus kriptovaliutų rinkos pobūdžio.
„Chainalysis“ kriptovaliutų ataskaitoje apskaičiuota, kad nusikaltėliai šiuo metu turi mažiausiai 10 mlrd. Dėl „blockchain“ skaidrumo galima atsekti šias operacijas ir turtus, tačiau sunku nustatyti nusikaltėlio tapatybę, kol lėšos nebus išgrynintos.
Galima žiūrėti į Bitfinex skandalas kaip mėginimo plauti atvejo analizė. „Itin ilgai lėšos nejudėjo. Ir tada, kai jie bandė inicijuoti plovimo procesą, tai buvo galimybė teisėsaugai vėl įsitraukti, nes žmonės seka šiuos įsilaužimus“, – sakė Kimas Graueris, „Chainalysis“ tyrimų direktorius.
Schemų aukoms yra keletas būdų susigrąžinti turtą. „Jei sugenda banko saugumas, tai nėra taip blogai bankui“, – sakė Ethanas Heilmanas, kibernetinio saugumo ekspertas ir debesijos paslaugos „BastionZero“ įkūrėjas. „Bet jei esate kriptovaliutų keitykla ir kas nors ištuština visą jūsų kriptovaliutą, tai jums tikrai blogai. Bankai taiko priemones savo klientams apsaugoti, kurių trūksta blokų grandinėje. Jei kreditinė kortelė yra pavogta, draudimo polisai užtikrina, kad paprastai tie pinigai bus grąžinti. Tačiau blokų grandinėje operacijos yra negrįžtamos – anuliavimo mygtuko nėra.
Tai reiškia, kad pavieniams naudotojams tenka didžiulė saugumo našta, kad jie būtų saugūs. „Galutiniai vartotojai nebūtinai žino apie jiems kylančią saugumo riziką“, – sakė Christin. „Atvirai kalbant, net šios srities žmonės neturi laiko būtinai eiti ir peržiūrėti išmaniojo sutarties šaltinio kodą.
Jei kas nors patikės savo raktus netinkamam antrojo lygmens tarpininkui, gali būti, kad jie taps vagystės auka. Apskritai dauguma nėra pripratę prie šios atsakomybės.
Kriptografijos įmonės pradeda rimčiau žiūrėti į saugumą, sakė Heilmanas, tačiau pasaulis be įsilaužimų nėra realus, pridūrė jis. „Jūs niekada netapsite saugūs, jūs tiesiog tampate saugesni“, – sakė jis. „Taigi, atsižvelgiant į tai, kaip lengva užsidirbti pinigų iš vienos iš šių sistemų pažeidžiamumo, manau, kad tikėtina, kad ir toliau pamatysime, kad į dalykus bus įsilaužta, o klausimas nebus toks: „ar šį mėnesį yra naujas įsilaužimas? Tai bus: „kaip dažnai įsilaužimai vyksta šį mėnesį?“
„Yra svarbių dalykų, kuriuos pramonė turi įveikti, kad iš tikrųjų augtų ir padidėtų“, – sakė Graueris, „nes negalite turėti sveikai augančios pramonės, jei visi bijo būti nulaužti“.