Alcuni hacker white hat hanno analizzato il significato della vicenda che ha visto protagonista Avraham Eisenberg e il suo arresto per i danni causati a Mango Markets (MNGO).
Per quanto riguarda il ruolo degli hacker white hat e degli schemi di taglie per bug nella sicurezza dell’ecosistema DeFI, l’arresto di Avraham Eisenberg ha acceso una discussione interessante.
Ciò è dovuto al fatto che Eisenberg ha finalmente restituito la maggior parte del bottino e il suo exploit ha anche rivelato difetti nel protocollo dei mercati di mango. Tutte queste caratteristiche identificano un hacker white hat.
Il 26 dicembre, Avraham Eisenberg, il trader di criptovaluta incaricato della truffa dei ango markets da 110 milioni di dollari, è stato detenuto a Puerto Rico. Dopo che il Dipartimento di Giustizia degli Stati Uniti ha accusato Eisenberg di manipolare e frodare il mercato delle materie prime. Se ritenuto colpevole, potrebbe affrontare penalità sostanziali e potenzialmente tempo in prigione.
Per quanto riguarda l’importanza degli hacker white hat e degli schemi di taglie per bug nella sicurezza dell’ecosistema DEFI, l’arresto ha spinto una discussione interessante. Ciò è dovuto al fatto che Eisenberg ha finalmente restituito la maggior parte del bottino e il suo exploit ha anche rivelato difetti nel protocollo dei mercati di mango. Tutte queste caratteristiche identificano un hacker white hat.
Indice dei contenuti
Cos’è un Hacker White Hat
Gli hacker white hati, comunemente indicati come hacker etici, sono professionisti della sicurezza informatica che utilizzano le loro conoscenze per trovare e chiudere buchi in reti e sistemi informatici. Per valutare la sicurezza dei loro sistemi e aiutare nella prevenzione di attacchi informatici, scambi di criptovaluta, fornitori di portafogli e altre aziende del settore possono assumere hacker white hat nel contesto delle criptovalute.
Al fine di rafforzare la sicurezza nel settore, potrebbero anche essere visti come dei ricercatori di sicurezza indipendenti che trovano e segnalano difetti nei sistemi relativi alle criptovalute. Tra hacker “White Hat” e “Black Hat”, il primo usa la loro esperienza per attività immorali come rubare dati sensibili o diffondere malware.
Gli hacker white hat effettuano spesso un exploit e poi restituiscono la maggior parte del denaro. Trattengono cioè solo una piccola parte del denaro come pagamento per trovare una vulnerabilità. Ciò è di gran lunga preferibile per perdere tutti i soldi per le organizzazioni criminali o i gruppi di hacking come il gruppo Lazzaro della Corea del Nord al soldo del regime sanguinario di Kim Jong hun. Che invece utilizzano il denaro rubato per sostenere lo sviluppo delle loro armi e finanziare azioni terroristiche.
Inoltre, occasionalmente è necessario utilizzare lo exploit per confermare che una vulnerabilità è legittima. Per questo motivo, gli hacker white hat sono spesso costretti a eseguire un hack prima di restituire i soldi. Tuttavia, rischiano di violare la legge e diventare un obiettivo di azione legale. Proprio come Avraham Eisenberg.
Perché gli hacker white hat sono necessari per i protocolli blockchain e la DEFI
Rispetto al software convenzionale, il codice crittografico è piuttosto unico. Per cominciare, i contratti intelligenti vengono utilizzati per la maggior parte delle transazioni sulla blockchain. Una volta soddisfatte le condizioni specificate negli accordi codificati, entrano automaticamente in vigore.
I distributori automatici e gli smart contract hanno determinate somiglianze. Paghi e puoi scegliere lo spuntino che desideri in cambio. Il distributore automatico verifica che l’importo inserito corrisponda alla cosa che desideri e, se lo fa, ti dà l’articolo. Ciò garantisce che non è necessario alcun coinvolgimento umano in qualsiasi momento durante la procedura.
L’ecosistema DeFi nel suo insieme è progettato per funzionare autonomamente. Dipende del tutto da contratti intelligenti, che sono scritti e destinati a funzionare senza ulteriori input.
Un altro problema è che le blockchain sono progettate per essere sistemi di archiviazione dei dati a lungo termine. Nulla può essere facilmente rimosso o modificato dopo che è stato registrato sulla blockchain. Questo vale anche per contratti intelligenti. Il codice dei protocolli DeFi è in genere open-source. Il che implica che chiunque può accedervi, anche hacker con cattive intenzioni. Questi possono, ad esempio, esaminare il codice e cercare di debolezza di cui trarre vantaggio.
Tutto questo messo insieme dimostra quanto siano gravi una preoccupazione di eventuali punti deboli in uno smart contract. Gli hacker black hat hanno tutto il tempo nel mondo per cercare vulnerabilità e backdoor da sfruttare. Vulnerabilità non possono essere rapidamente tappate.
L’intero settore della DeFi ha un grande bisogno di hacker white hat per questo. Spendono tempo e sforzi in cerca di criticità nei protocolli. E dopo essere stati pagati per i loro servizi, restituiscono la maggior parte del denaro. Gli hacker black hat, d’altra parte, possono fuggire con la criptovaluta rubata e usarla per finanziare operazioni illegali come terrorismo, traffico di droga, ecc.
Il caso Eisenberg e le sue implicazioni per i futuri hacker White Hat
Eisenberg sarà senza dubbio condannato quando il caso che riguarda Mango Markets e andrà davanti a un giudice e una giuria. Dopotutto ha ammesso di aver eseguito l’exploit su Twitter. In un tweet del 15 ottobre, ha affermato: “Facevo parte di una squadra che ha usato un metodo di trading altamente redditizio la scorsa settimana. Sfortunatamente, a seguito di ciò, lo scambio che si è verificato sui mercati di Mango, è fallito e il denaro delle assicurazioni non era sufficiente per pagare tutte le liquidazioni. Altri utenti non sono stati quindi in grado di accedere ai loro fondi”. Ha continuato Eisenberg.
Eisenberg, tuttavia, non è il primo hacker etico a usare un exploit simile. Prima di lui, molti altri hacker white hat hanno pianificato vulnerabilità simili, mantenendo un po’ della ricchezza trafugata e restituendo il resto.
Alcuni precedenti noti
Ad esempio, un hacker white hat ha rubato un’incredibile cifra di 610 milioni di dollari dalla Poly Network nell’agosto 2022. L’hacker ha dichiarato di aver usato l’exploit per “divertimento” e per “evidenziare la debolezza della piattaforma. Ma in una strana serie di eventi , ha restituito ogni singolo token.
La Poly Network ha assegnato all’Hacker un premio di 500.000 dollari e una posizione come direttore di sicurezza del protocollo in cambio dell’esposizione dei difetti e della restituzione dei soldi.
Ci sono numerosi casi di questo tipo, ma poiché Eisenberg è attualmente perseguito per un comportamento comparabile, gli hacker white hat possono essere titubanti a usare tali exploit in futuro.
Servono infrastrutture più resistenti
La necessità di migliori quadri di sicurezza è evidenziata dal caso Eisenberg. Naturalmente, la prevenzione è preferibile rispetto a dover correre dopo ai ripari. È quindi buon senso controllare in modo attento gli smart contract per individuare in anticipo eventuali difetti prima di metterli in uso sulla blockchain. Gli audit di smart contract entrano in scena in proprio a tal proposito.
Una delle migliori società di sicurezza blockchain, Certik è responsabile di oltre il 70% di tutti gli audit di smart contract passati. Anche dopo che sono stati eseguiti audit di contratti intelligenti, le vulnerabilità potrebbero ancora diventare evidenti. I premi per gli hacker white hat diventano assolutamente di primo rilievo in questo contesto.
Dal 2020, una piattaforma chiamata Immunefi ha ospitato programmi di bounty per conto di ben note reti di criptovaluta. Gli hacker di white hat sono premiati da immunefi per tutti i bug che trovano. Dal lancio della piattaforma, ImmuneFi ha assegnato oltre 65 milioni di dollari in pagamenti di bounty per le vulnerabilità emerse. Ciò che riguarda il solo 2022, gli hacker white hat hanno ricevuto circa 52 milioni i dollari in premi. Tra tutti i premi distribuiti dal 2020.
Tuttavia, alternative più sicure agli exploit di mercato aperto sono fornite da piattaforme come Immunefi. Queste consentono agli hacker white hat di trovare difetti senza preoccuparsi delle ripercussioni dalla legge. Tuttavia, la ricompensa è in genere molto più bassa della messa in scena di un hack e delle condizioni di negoziazione con la piattaforma compromessa. Indipendentemente da ciò, se Eisenberg viene dichiarato colpevole, tali siti possono diventare più popolari dopo il caso.
Conclusioni
Eisenberg e altri hacker white hat continueranno ad essere una componente cruciale ma dolorosa del business blockchain fino a quando non verrà scoperto un modello migliore per pressioni sui protocolli decentralizzati.
Tuttavia, questi tristi eventi potrebbero essere scoraggiati dal condurre hack e rivelare difetti se temono di affrontare accuse penali. Inoltre tutto questo potrebbe comportare incongruenze inosservate nelle le debolezze degli smart contract, dando agli attori senza scrupoli più possibilità di rubare risorse dai protocolli DeFi che presentano falle o vulnerabilità nella sicurezza.
