"En mycket lönsam handelsstrategi" var hur hackaren Avraham Eisenberg beskrev sitt engagemang i Mango Markets exploateringen som inträffade den 11 oktober.
Genom att manipulera priset på det decentraliserade finansprotokollets underliggande säkerhet tog MNGO, Eisenberg och hans team oändliga lån som tömde 117 miljoner dollar från Mango Markets Treasury.
Desperat efter att få tillbaka pengar röstade både utvecklare och användare för ett förslag som skulle tillåta Eisenberg och co. att behålla 47 miljoner dollar av de 117 miljoner dollar som utnyttjades i attacken. Förvånansvärt nog kunde Eisenberg rösta för sitt eget förslag med alla sina utnyttjade tokens.
Detta är något av en juridisk gråzon, eftersom kod är lag, och om du kan arbeta inom det smarta kontraktets regler, finns det ett argument som säger att det är helt lagligt. Även om "hack" och "exploatering" ofta används omväxlande, inträffade ingen faktisk hackning. Eisenberg twittrade att han handlade inom lagen:
"Jag tror att alla våra åtgärder var lagliga åtgärder på den öppna marknaden, med användning av protokollet som utformat, även om utvecklingsteamet inte helt förutsåg alla konsekvenser av att ställa in parametrar som de är."
Men för att täcka deras grunder begärde DAO-förslaget också att inga straffrättsliga förfaranden skulle inledas mot dem om framställningen godkändes. (Vilket ironiskt nog kan vara olagligt.)
Eisenberg och hans glada män skulle enligt uppgift fortsätta att förlora en betydande del av de medel som utvunnits från Mango en månad senare i ett misslyckat försök att utnyttja DeFi-utlåningsplattformen Aave.
Hur mycket har stulits i DeFi-hack?
Eisenberg är inte den första som har ägnat sig åt ett sådant beteende. Under en stor del av detta år, praxis av utnyttjar sårbara DeFi-protokoll, att tömma dem på mynt och polletter och använda medlen som hävstång för att få utvecklare på knä har varit en lukrativ strävan. Det finns många välkända exempel på exploatörer som förhandlar om att behålla en del av intäkterna som en "belöning" samt avstår från ansvar. Faktum är att en rapport från Token Terminal finner att medel till ett värde av över 5 miljarder USD har brutits från DeFi-protokollen sedan september 2020.
Högprofilerade incidenter inkluderar $190 miljoner Nomad Bridge-exploatet, $600 miljoner Axie Infinity Ronin Bridge hack, $321 miljoner Wormhole Bridge hack, $100 miljoner BNB Cross-Chain Bridge exploatering och många andra.
Med tanke på den till synes oändliga strömmen av dåliga aktörer i ekosystemet, borde utvecklare och protokollteammedlemmar försöka förhandla med hackare för att försöka återställa de flesta av användarnas tillgångar?
Ska du förhandla med hackare? Ja.
En av de största anhängarna av en sådan strategi är ingen mindre än ImmuneFis vd Mitchell Amador. Enligt blockchain-säkerhetschefen har "utvecklare en plikt att försöka kommunicera och förhandla med illvilliga hackare, även efter att de har rånat dig", oavsett hur osmakligt det än kan vara.
"Det är som när någon har jagat dig in i en gränd och de säger 'Ge mig din plånbok' och misshandlar dig. Och du tänker: 'Wow, det är fel; det är inte snällt!' Men verkligheten är att du har ett ansvar gentemot dina användare, investerare och, i slutändan, mot dig själv, att skydda dina ekonomiska intressen”, säger han.
"Och om det ens är en låg procentuell chans, säg 1%, att du kan få tillbaka pengarna genom att förhandla, är det alltid bättre än att bara låta dem springa iväg och aldrig få tillbaka pengarna."
Amador nämner exemplet med Poly Network-hacket förra året. "Efter förhandlingar i efterhand gav hackare tillbaka 610 miljoner dollar i utbyte mot mellan 500,000 1 och XNUMX miljon dollar i buggpremie. När en sådan händelse inträffar kommer den bästa och ideala, den mest effektiva lösningen överväldigande, att vara förhandling, säger han.
För CertiKs chef för säkerhetsoperationer Hugh Brooks är det bättre att vara proaktiv än reaktiv, och att göra en affär är bara ibland ett idealiskt alternativ. Men han tillägger att det också kan vara en farlig väg att gå.
"En del av dessa hack är uppenbarligen utförda av avancerade ihållande hotgrupper som den nordkoreanska Lazarusgruppen och vad som helst. Och om du förhandlar med nordkoreanska enheter kan du hamna i mycket problem.”
Han påpekar dock att företaget har spårat 16 incidenter som involverade 1 miljard dollar i stulna tillgångar, varav cirka 800 miljoner dollar så småningom återlämnades.
"Så, det är verkligen värt det. Och några av dessa var frivilliga återbetalningar av medel som initierats av hackern själva, men för det mesta berodde det på förhandlingar."
Ska du förhandla med hackare? Nej.
Inte alla säkerhetsexperter är med på idén att belöna dåliga skådespelare. Chainalysis vice VD för utredningar Erin Plante är i grunden emot att "betala bedragare." Hon säger att det är onödigt att ge efter för utpressning när det finns alternativ för att få tillbaka pengar.
Plante utvecklar att de flesta DeFi-hackare inte är ute efter $100,000 500,000 eller $50 XNUMX utbetalningar från legitima bugg-pengar, utan begär ofta upp till XNUMX % eller mer av bruttobeloppet av stulna medel som provision. ”Det är i grunden utpressning; det är väldigt mycket pengar som efterfrågas”, konstaterar hon.
Hon uppmuntrar istället Web3-team att kontakta kvalificerade blockchain-underrättelseföretag och brottsbekämpande myndigheter om de råkar ut för en incident.
"Vi har sett fler och fler framgångsrika återhämtningar som inte är offentliga," säger hon. "Men det händer, och det är inte omöjligt att få tillbaka pengar. Så i slutändan kanske det inte är nödvändigt att hoppa in i att betala av bedragare.”
Ska du ringa polisen om DeFi-operationer?
Det finns en uppfattning bland många i kryptogemenskapen att brottsbekämpning är ganska hopplös när det gäller att framgångsrikt återställa stulen krypto.
I vissa fall, som årets 600 miljoner dollar utnyttjande av Ronin Bridge, förhandlade inte utvecklarna med nordkoreanska hackare. Istället kontaktade de brottsbekämpning, som snabbt kunde få tillbaka en del av användarnas medel med hjälp av Chainalysis.
Men i andra fall, som i Mt. Gox-börshacket, saknas fortfarande användarnas medel – som uppgår till cirka 650,000 XNUMX BTC – trots åtta års omfattande polisutredningar.
Amador är inte ett fan av att ringa in brottsbekämpning och säger att det "inte är ett genomförbart alternativ."
"Möjligheten till brottsbekämpning är inte ett verkligt alternativ; det är ett misslyckande”, konstaterar Amador. "Under dessa förutsättningar kommer staten vanligtvis att behålla vad den har tagit från de relevanta brottslingarna. Som vi såg med verkställighetsåtgärder i Portugal, äger regeringen fortfarande Bitcoin de har beslagtagit från olika brottslingar.”
Han tillägger att även om vissa protokoll kanske vill använda inblandning av brottsbekämpning som en form av hävstång mot hackare, är det faktiskt inte effektivt "eftersom du väl har släppt lös den kraften kan du inte ta tillbaka den. Nu är det ett brott mot staten. Och de kommer inte bara att sluta för att du förhandlade fram en affär och fick tillbaka pengarna. Men du har nu förstört din förmåga att komma fram till en effektiv lösning.”
Läs också
Brooks anser dock att du är skyldig att involvera brottsbekämpning någon gång, men varnar för att resultaten är blandade och att processen tar lång tid.
"Bordsbekämpning har en mängd unika verktyg tillgängliga för dem, som stämningsbefogenheter för att få hackarens IP-adresser," förklarar han.
"Om du kan förhandla i förväg och få tillbaka dina pengar bör du göra det. Men kom ihåg att det fortfarande är olagligt att skaffa pengar genom hackning. Så om det inte fanns en fullständig avkastning, eller det var inom området för ansvarsfull avslöjande, följ upp med brottsbekämpning. Faktum är att hackare ofta blir vita hattar och returnerar åtminstone lite pengar efter att brottsbekämpande myndigheter har larmats."
Plante har en annan åsikt och tror att polisens effektivitet i att bekämpa it-brottslighet ofta är dåligt förstådd inom kryptogemenskapen.
"Offren själva arbetar ofta konfidentiellt eller under något konfidentiellt avtal", förklarar hon. "Till exempel, i fallet med Axie Infinitys tillkännagivande om återvinning av medel, var de tvungna att söka godkännande från brottsbekämpande myndigheter för att tillkännage återhämtningen. Så bara för att återhämtningar inte tillkännages betyder det inte att återhämtningar inte sker. Det har skett ett antal framgångsrika återhämtningar som fortfarande är konfidentiella."
Hur man åtgärdar DeFi-sårbarheter
På frågan om grundorsaken till DeFi-utnyttjningar, tror Amador att hackare och exploatörer har fördelen på grund av en obalans mellan tidsbegränsningar. "Utvecklare har förmågan att skapa motståndskraftiga kontrakt, men motståndskraft räcker inte", förklarar han och påpekar att "hackers har råd att spendera 100 gånger så många timmar som utvecklaren gjorde bara för att ta reda på hur man kan utnyttja en viss kodsats. .”
Prenumerera
De mest engagerande läsningarna i blockchain. Levereras en gång a
vecka.
Amador anser att granskningar av smarta kontrakt, eller en punkt-i-tid säkerhetstester, inte längre är tillräckliga för att förhindra protokollbrott, eftersom de allra flesta hack har riktade granskade projekt.
Istället förespråkar han användningen av buggpremier för att delvis delegera ansvaret att försvara protokoll till välvilliga hackare med tid på sina händer för att jämna ut kanten: "När vi började med ImmuneFi hade vi några hundra vita hattar. hackare. Nu har vi tiotusentals. Och det är som ett otroligt nytt verktyg eftersom du kan få all den enorma arbetskraft som skyddar din kod, säger han.
För DeFi-utvecklare som vill bygga det säkraste resultatet rekommenderar Amador en kombination av defensiva åtgärder:
"För det första, få de bästa människorna att granska din kod. Placera sedan en buggpremie, där du får de bästa hackarna i världen, upp till hundratusentals, för att kontrollera din kod i förväg. Och om allt annat misslyckas, bygg en uppsättning interna kontroller och balanser för att se om någon rolig affär pågår. Som, det är en ganska fantastisk uppsättning försvar.”
Brooks håller med och säger att en del av problemet är att det finns många utvecklare med stora Web3-idéer men som saknar den kunskap som krävs för att hålla sina protokoll säkra. Till exempel räcker det inte med enbart en smart kontraktsrevision - "du måste se hur det kontraktet fungerar med orakel, smarta kontrakt, med andra projekt och protokoll, etc."
"Det kommer att bli mycket billigare än att bli hackad och pröva lyckan med att få pengar tillbaka."
Stå på dig mot tjuvar
Plante säger att kryptons natur med öppen källkod gör den mer sårbar för hackningar än Web2-system.
"Om du arbetar i ett icke-DeFi-programvaruföretag kan ingen se koden du skriver, så du behöver inte oroa dig för andra programmerare som letar efter sårbarheter." Plante tillägger, "Kartan av att det är offentligt skapar dessa sårbarheter på ett sätt eftersom du har dåliga aktörer där ute som tittar på kod, letar efter sätt att utnyttja den."
Problemet förvärras av den lilla storleken på vissa Web3-företag, som, på grund av insamlingsbegränsningar eller behovet av att leverera på färdplaner, bara kan anlita en eller två säkerhetsexperter för att skydda projektet. Detta står i kontrast till de tusentals cybersäkerhetspersonal på Web2-företag, som Google och Amazon. "Det är ofta ett mycket mindre team som har att göra med ett stort hot", konstaterar hon
Men startups kan också dra nytta av en del av det säkerhetskunnandet, säger hon.
"Det är verkligen viktigt för samhället att se till Big Tech-företag och stora cybersäkerhetsföretag för att hjälpa till med DeFi-communityt och Web3-communityt som helhet", säger Plante. "Om du har följt Google har de lanserat validerare på Google Cloud och blivit en av Ronin Bridge, så att ha Big Tech inblandad hjälper också mot hackare när du är ett litet DeFi-projekt."
I slutändan är det bästa anfallen försvaret, säger hon - och det finns en hel population av hackare med vita hattar som är redo och villiga att hjälpa till.
"Det finns en gemenskap av Certified Ethical Hackers, som jag är en del av", säger Erin. "Och den gruppens etos är att leta efter sårbarheter, identitet och stänga dem för det större samhället. Med tanke på att många av dessa DeFi-operationer inte är särskilt sofistikerade, kan de lösas före extrema åtgärder, som att vänta på ett inbrott, stöld av pengar och begära en lösensumma.”
Läs också
Källa: https://cointelegraph.com/magazine/ethics-101-crypto-projects-negotiate-hackers/