Рассмотрим некоторые шаги, которые нужно предпринять в криптоотрасли, чтобы исправить эту ситуацию.

Серьезные нарушения безопасности

В начале января 2019 года криптовалютный проект Ethereum Classic (ETC), входящий в топ-20, стал жертвой «атаки большинства». Злоумышленник смог получить доступ к большей части хэшрейта в сети ETC и провести двойные обмены через несколько криптобирж. Это привело к потерям в размере более 1 миллиона долларов.

Атака для многих оказалась неожиданной, потому что, хотя риск атаки 51% считался реальным, предполагалось, что он касается только небольших сетей альткойнов. Ethereum Classic – одна из лидирующих криптовалют с рыночной капитализацией почти 500 миллионов долларов. Таким образом, успешная атака на этот актив стала катализатором переосмысления фундаментальных основ безопасности даже для самых крупных криптосетей.

Также в январе торговая платформа Cryptopia со штаб-квартирой в Новой Зеландии сообщила о серьезном нарушении безопасности. Биржа не уточнила суммы, потерянные во время произошедшего в середине месяца инцидента. Хотя было много спекуляций относительно правдивости заявлений о взломе, а также намеков на мошенничество в рядах сотрудников биржи, по-прежнему необходимо учитывать неадекватную инфраструктуру кода, которая позволила этим потерям случиться. Сейчас Криптопия остается закрытой для торгов.

Оба эти события произошли в первые несколько недель этого года. В результате, инвесторы и более широкое криптосообщество хорошо поломали свои коллективные головы над тем, как такие серьезные нарушения могут все еще происходить в 2019 году - через пять лет после печально известного взлома Mt Gox.

Почему это происходит?

Эти недавно произошедшие события вызывают много вопросов. Первыми приходят в голову ошибки в архитектуре системы. Очевидно, что в кодовой архитектуре многих криптосистем и проектов, а также других смежных систем, поддерживающих экосистему, существуют серьезные уязвимости.

Учитывая огромный размер кодов, над которыми должны работать разработчики, понятно, что могут быть ошибки. Кроме того, большая часть работ выполняется под огромным давлением времени, что также может способствовать игнорированию важных факторов, связанных с безопасностью.

Наконец, когда разработчики тратят много времени на изучение кода, они, скорее всего, упускают некоторые ошибки, которые совершают. Работая над задачами высокого уровня, люди склонны делать простые ошибки. Это называется эффектом обобщения. В простых документах требуется корректор, чтобы исправить орфографические ошибки. Тем не менее, при написании кода эти, казалось бы, простые ошибки могут означать разницу между неудачей и успехом, а первая влечет за собой серьезные финансовые последствия.

Роль белых хакеров в создании блокчейна

Учитывая эти факторы, кажется очевидным, что криптосектор может получить выгоду от своего рода системы анализа. Вполне вероятно, что некоторые из лазеек в области безопасности, которые всколыхнули индустрию в последнее время, можно было бы предотвратить, добавив новый взгляд на создание блокчейна.

В технологическом секторе в целом эта концепция приобрела форму анализа ошибок. Вряд ли она нова, поскольку существует еще с конца девяностых. И она проста. Корпорации приглашают разработчиков (их часто называют охотниками за головами) просмотреть их код, чтобы найти любые уязвимости. В обмен на свое время и труд, если «охотники за головами» находят ошибки в коде, они получают финансовое вознаграждение. Платежи обычно делятся на уровни в соответствии с уровнем угрозы.

Многие крупные компании в технологическом секторе приняли такую идею как важнейший способ защиты своих технологий. Например, Google выплатил почти 3 миллиона долларов в 2017 году охотникам за головами, которые помогли избавить  код крупнейшего поисковика от основных уязвимостей. Если такой подход настолько эффективен в более широком технологическом секторе, то, скорее всего, он также может быть полезным в криптоиндустрии.

Баунти за баги в блокчейне

Ряд участников криптоиндустрии позаимствовали эту идею из более широкого технологического пространства. Эфириум, например, регулярно предлагает награды за найденные ошибки. Третья по величине блокчейн-сеть продолжает оставаться защищенной благодаря своей приверженности поиску и устранению любых уязвимостей. Например, разработчики отложили запланированное обновление Constantinople из-за недавно обнаруженных ошибок.

Другой участник криптовалютного рынка, предлагающий награды за нахождение ошибок в коде, - это Dash. Белые хакеры смогли выявить серьезные уязвимости безопасности в версии кошелька Copay, которая могла поддерживать монеты Dash. Kraken и Coinexchange также имеют похожие программы.

Decred также недавно объявил о своей программе баунти для белых хакеров. Компания приглашает всех, кто имеет соответствующие знания, подписаться на программу по поиску ошибок в коде. Расчет вознаграждений основан на методологии оценки рисков OWASP - с выплатами от 300 долларов США за находки с низким уровнем воздействия - до 25 000 долларов за критические ошибки.

Чтобы экстраполировать успех, достигнутый программами вознаграждений в более широком технологическом секторе, на криптоотрасль, нужно дать этой концепции набрать обороты. Только тогда криптоиндустрия сможет серьезно уменьшить свои проблемы безопасности.