Хакерские атаки на криптовалюты: приведет ли вознаграждение мошенников к большему количеству взломов?
0 Количество хакерских атак на платформы, относящиеся к криптовалютам, значительно растет. Они выражаются в потерях миллионов долларов США. По отчетам компании ImmuneFi, за первое полугодие 2022 года было совершено 75 взломов с убытками на общую сумму более $1 870 000.
На рынке появилась новая тенденция предлагать мошенникам часть украденных средств взамен на возврат остальной суммы. Однако это спорное решение. Существует мнение, что подобная практика только увеличит количество мошеннических действий.
Давайте попробуем разобраться, есть ли положительная корреляция между оплаченными хакерскими атаками и новыми кражами.
Почему платформы платят мошенникам
Многие платформы прибегают к помощи хакеров для выявления слабых мест в системе, которые могут привести к огромным потерям от мошеннических действий. Данная практика встречается не только на рынке криптовалют.
Однако совсем недавно возникла новая тенденция, когда компании оплачивают не услуги хакера, а ведут с ним переговоры о возврате средств с вознаграждением в виде части украденной суммы. Так, например, в июне 2022 криптопроект DeFi Harmony предложил в своем Твиттере (запрещен в РФ) «награду» в миллион долларов хакеру в обмен на остаток средств от общей украденной суммы размером около 100 миллионов долларов. В июле 2022 с торговой платформы DeFi Crema Finance была украдена криптовалюта на сумму около $8,8 млн. Компании удалось договориться с хакером о возврате около $7,1 млн, остаток он получил в качестве «награды».
Данную схему возврата средств стали называть баунти, подобно вознаграждениям за нахождение багов в рамках кампаний в период ICO (первичное размещение монет). Баг-баунти (bug-bounty) активно используется компаниями для выявления недостатков в системе, которые могут привести к ее некорректной работе и потере финансов компании и пользователей. В рамках подобных программ разработчики ищут баги за вознаграждение, но делают это по соглашению с компанией. Общее название для возврата украденных средств и оплаты услуг по поиску багов вызвало недовольство со стороны «белых» разработчиков, которые действуют открыто.
Многие аналитики считают, что подобные переговоры будут только вредить индустрии и приведут к легализации действий мошенников, а также уменьшат заинтересованность «белых»разработчиков в баг-баунти кампаниях.
Возможно ли вернуть похищенные средства без торга?
Основной проблемой в решении данного вопроса является отсутствие альтернативных способов возврата средств. В случае переговоров мошенники возвращают хотя бы часть (иногда). Если не идти на переговоры, то вернуть средства будет практически невозможно.
На сегодняшний день не существует мировой правовой базы и отработанных методов отслеживания и возврата украденных средств. Более того, в случае анонимных транзакций с помощью таких монет как ZCash или Dash отследить активы в принципе невозможно. Даже при краже отслеживаемой криптовалюты хакер, скорее всего, переведет ее в анонимный актив или прогонит через миксер, чтобы замести следы.
Криптомиксер — «смешивающий сервис», где криптовалюты обрабатываются, «дробятся» и рекомбинируются. В итоге пользователь получает монеты, происхождение которых невозможно отследить.
Еще одним важным фактором является время и затраты на поиск мошенника и доказательство кражи. Чтобы обеспечить возврат средств, необходимо знать мошенника, что практически невозможно в случае профессиональных хакеров.
Вариантов совсем нет?
Специалисты рекомендуют использовать сервисы типа Chainalysis, Solidus Labs, Merkle Science или Ciphertrace, которые помогают отслеживать движение средств.
Также компании могут попробовать нанять другого хакера, который сможет отследить, кто и как совершил кражу. Однако есть риск, что нанятый специалист окажется менее квалифицированным, чем мошенник.
Успех расследования с помощью правоохранительных органов зависит от уровня развития правовой базы в стране. Так, если в юрисдикции не разработаны законы, определяющие наказания за криптокражи, то местные органы вряд ли возьмутся за дело.
Еще одной альтернативой является увеличение вознаграждения для «белых» хакеров, которые участвуют в баг-баунти. Известно, что некоторые мошенники идут на переговоры, при этом теряя большие суммы. В большинстве случаев средства возвращают те, кто хочет, чтобы их заметили. По данным на июнь 2022 платформа ImmuneFi поспособствовала тому, чтобы независимые исследователи заработали более $40 млн за поиск пробелов в блокчейн-безопасности проектов.
Что делать компаниям?
По мнению экспертов, компании должны вкладывать больше ресурсов в кибербезопасность. Однако нестабильность на рынке и затянувшееся падение стоимости криптовалют сильно отсрочат введение новых систем безопасности, так как многие платформы сокращают персонал или объявляют о банкротстве.
Более того, мнение специалистов по поводу правильности одаривания мошенников расходятся. Одни считают, что данный подход является единственным, так как новые способы взаимодействия с хакерами пока не разработаны. Кроме этого, взлом систем будет сразу показывать пользователям, какая площадка — скам, а какая способна уберечь их средства. Другие уверены, что подобные послабления со стороны компаний развязывают руки мошенникам и приводят к еще большему количеству атак.
Невозможно не согласиться, что, на данный момент, возврат средств с помощью переговоров является наиболее приемлемым решением. Данный способ хоть и не гарантирует возврат, но дает шанс.
