Криптовалюта создала финансовую систему, которая работает на коде, перемещает огромные суммы со скоростью интернета и может быть атакована из любой точки.
Одна пропущенная проверка или случайная строка кода — это не мелкая ошибка, она может вывести из строя весь протокол. Награды за ошибки начались как неформальное соглашение между разработчиками и исследователями безопасности.
Но по мере того как DeFi вырос в многомиллиардную экосистему, ландшафт угроз изменился.
Сегодняшние противники включают государственные организации, организованные преступные группы и финансовых инженеров, которые могут за считанные секунды истощать протокол. Этот растущий ландшафт угроз требовал более структурированной и масштабируемой защиты — чего ранняя модель bug-bounty не была создана.
В этот пробел входит Immunefi — он-чейн-платформа безопасности, ориентированная на защиту криптопротоколов от взломов и уязвимостей, основанная Митчеллом Амадором.
Основанная в Лиссабоне в 2020 году — хотя сейчас у неё штаб-квартира в Сингапуре — Immunefi, по сообщениям, выплатила более 100 миллионов долларов вознаграждения хакерам-«белым шляпам». Она координирует одни из крупнейших в отрасли наград за насекомых, устанавливая отраслевые стандарты и помогая предотвратить возможные миллиардные потери.
Кроме того, компания разработала первый в интернете суд по вознаграждению за ошибки, чтобы принести юридическую определённость, применимость и чувство порядка в пространство, где один спор может определить будущее проекта.
Я поговорил с Амадором, чтобы узнать всё об этом.
Вступает стандарт наград за баг при масштабировании
Перед введением Bug Bounty Court Immunefi сначала решила исправить стимулы с новым стандартом того, как должны работать награды за насекомых.
Награда за ошибки — это награда, которую компания предлагает исследователям безопасности («этичным хакерам»), которые обнаруживают и ответственно сообщают о уязвимостях в её программном обеспечении или системах.
Однако традиционные низкие награды не стимулируют ведущих специалистов по безопасности ответственно раскрывать ошибки. В свою очередь, стандарт Scaling Bug Bounty Standard — это модель DeFi-безопасности, где выплаты за награды связаны с реальным экономическим воздействием уязвимости, а не с небольшой фиксированной наградой.
Вместо того чтобы предлагать, скажем, $10 тысяч за критический баг, протокол устанавливает вознаграждение как процент от рискованных средств (часто до ~10 процентов). DeFi-системы могут содержать миллионы — или миллиарды — долларов в одном контракте. Масштабируя вознаграждения с потенциальным ущербом, модель делает этическое раскрытие информации финансово конкурентоспособным с эксплойтами,
Награды за насекомых привлекают лучших специалистов по охране и значительно снижают стимул воровать. Но избегание эксплойтов также зависит от предотвращения появления новых багов с самого начала.
В рамках этого Immunefi разработала программу проверки pull request (PR), которая позволяет исследователям безопасности получать награды не за счёт поиска новых ошибок, а за проверку изменений кода (pull request) до их запуска. По словам Амадора:
«PR Reviews — это инструмент безопасности конвейера CI/CD. Он интегрирует наши системы ИИ и лучших человеческих хакеров в каждый этап проверки кода.»
Вместо того чтобы ждать взлома или искать всю кодовую базу, исследователи просматривают новый или изменённый код, который разработчики отправляют к выпуску.
«Мы создаём многоуровневый стек SecOps, который поможет нам туда попасть — несколько защитных уровней, работающих на LLM, чтобы настраивать каждый инструмент по протоколу.
Думайте об этом как о платформе SecOps с уровнем разведки. С помощью этого мы сможем масштабируемо обеспечивать безопасность отрасли. Если мы этого не сделаем, а триллионы будут течь по цепочке, мы будем субсидировать киберпреступность в течение 20 лет.»
Зачем нужен суд за награды за насекомые
Однако традиционные награды за насекомые во многом зависят от доброй воли и доверия, но в Web3 ставки гораздо выше: миллионы или миллиарды могут оказаться под угрозой, и исследователи обычно должны раскрывать уязвимость до получения оплаты.
Immunefi Arbitration — это юридически обязательная система разрешения споров, созданная специально для мира баговых наград, где исследователи безопасности и криптопроекты часто расходятся во мнениях о том, является ли баг действительным, насколько он серьёзен и какова должна быть вознаграждение.
Когда возникает конфликт, Иммунефи сначала пытается разрешить его посредством медиации. Если медиация не решит проблему — и программа вознаграждения включена для арбитража — любая из сторон может инициировать официальный арбитражный иск. На этом этапе дело передаётся Лондонской палате арбитража и медиации (LCAM) — независимому органу, арбитры которого оценивают отчёт о уязвимости, доказательства и правила программы.
Исследователь становится истцом, проект — ответчиком, и обе стороны представляют документацию и аргументы. Арбитр затем выносит решение, согласно которому яюридически обязательной и обязательной на международном уровне через установленные арбитражные рамки, такие как Нью-Йоркская конвенция. Она имеет юридическую силу и может быть исполнена в судах по всему миру при необходимости.
В конечном итоге процесс разработан так, чтобы быть быстрее, дешевле и практичнее, чем передача спора в традиционный суд, что было бы слишком медленным и дорогим для большинства исследователей. Для Амадора эти системы не были теоретическими — они выросли из многих лет личного наблюдения за худшими провалами криптовалюты.
Паранойя, создавшая платформу безопасности
Митчелл Амадор работал с командами по всей экосистеме — включая Ethereum, Lido, MakerDAO/Sky, Filecoin, Stacks, LayerZero, Chainlink, Arbitrum и Polygon — по вопросам реагирования на инциденты, раскрытия уязвимостей и стандартов безопасности. Амадор участвовал во множестве «военных комнат» с ончейн-инцидентами и участвовал в усилиях по восстановлению средств и координации ответственных раскрытий.
Амадор признаётся: «Я видел, как многие инциденты с безопасностью шли не так. Практически каждый проект, над которым я работал в середине 2010-х в крипте, имел крупные кибератаки или инциденты. Происходило всё на свете. Так что я стал очень параноиком.»
Однако это было до того, как DeFi взлетел в популярность; Настоящих финансовых рынков в сети не было, но он видел, как технология набирает обороты.
«Я знал, что это будет грандиозно — и мы получили огромную волну атак. Когда люди поймут, что могут украсть миллион долларов через интернет, все и их собака попробуют.»
Он провёл расчёт и пришёл к выводу, что весь DeFi — и потенциал финансирования в блокчейне — будут уничтожены ещё до его начала. «Это было полностью делегитимировано с точки зрения закона. Представьте себе мир, где 25–30 процентов активов крадутся в первый год», — сказал он. Современный ландшафт атаки
Современная поверхность атаки точно показывает, почему эта паранойя была оправдана.
По словам Амадора, по мере взросления рынка код стал более сложным. За последние четыре года появились реальные он-чейневые финансовые продукты, такие как кредитные рынки, такие как Aave, автоматизированные маркет-мейкеры вроде Uniswap, вечные фьючерсы и рынки прогнозов. Это вызвало волну сложности в области безопасности и взрыв новых уязвимостей.
Существует два основных типа:
Флеш-займы: когда хакер использует гигантский флэш-кредит для манипуляции рыночными или протокольными правилами и получения выгоды от этого искажения — и более широкая категория атак на финансовую инженерию, где средства получаются путем обмана финансового дизайна протокола.
Компрометации в стиле Web2 «off-chain», когда злоумышленники взламывают людей и традиционную IT-инфраструктуру вокруг криптосистемы, вместо того чтобы напрямую эксплуатировать код смарт-контрактов. Например, при взломе моста Ronin стоимостью 600 миллиардов долларов четыре северокорейских актора скомпрометировали провайдера услуг и внутренние системы, чтобы получить ключи валидатора, а затем опустошили мост.
«Преступные организации работают как стартапы, чья единственная задача — воровать ваши деньги.»
По словам Амадора:
«С первого дня буквально северокорейцы преследуют тебя. Как только вы объявляете о сборе средств, они устраивают спир-фишинг вашей команды разработчиков. Это буквально, а не переносно. На кону слишком много денег, а цена атаки продолжает падать.»
Он советует всем начинать с паранойи: «Нет ни одной DeFi или он-чейн-компании, которая выживала бы с реактивным подходом.»
«Вместо этого все должны быть проактивными перед запуском: аудиты, проверка кода и награды за баги. Венчурные капиталисты это требуют. Это день и ночь по сравнению с традиционными индустриями.»
Амадор утверждает, что когда речь идёт о угрозах безопасности, риск социальной инженерии огромен. Крипто — самое прибыльное место в истории социальной инженерии.
«Преступные организации работают как стартапы, чья единственная задача — украсть ваши деньги. И я пришёл к выводу, что единственный способ сделать это — создать масштабируемый способ стимулирования и координации сообщества безопасности для защиты этих проектов.»
Он считает, что ставки очевидны: хотя «волшебные интернет-деньги» работают удивительно хорошо, экосистема рискует субсидировать киберпреступность на десятилетия, если безопасность не будет идти в ногу. Текущие показатели взломов в 3,6–4 процента, предупреждает он, просто неустойчивы.
Тем не менее, Амадор настаивает, что основные технические проблемы можно решить. По его мнению, сообщество криптобезопасности уже умеет обеспечивать контракты, предотвращать распространение, выявлять мошенничества, контролировать цепочки и ужесточивать код до стандартов аэрокосмического уровня.
Инструменты существуют и эффективны. Он утверждает, что не хватает широкого внедрения — особенно со стороны традиционных финансовых игроков, входящих в эту сферу.
«Мы знаем, как заключать контракты, противостоять заражению, обнаруживать мошенничество, контролировать цепи и ужесточать код до аэрокосмического уровня.
Инструменты существуют и работают. Чего не хватает — это внедрение — особенно в традиционных финансах.»
Он рассматривает это как борьбу между превосходством сообщества крипто-безопасности и человеческим невежеством.
«Если люди примут эти инструменты, криптовалюта станет самой защищённой финансовой системой в истории. Если нет, мы усвоим урок на собственном опыте.»
ЛУЧШИЙ 
ЕВРОПЕЙСКОГО СОЮЗА 
Cтратегический карточный симулятор 