Chociaż sformułowanie „uczciwy haker” na pierwszy rzut oka wygląda jak oksymoron, to w cyfrowym świecie czasami zdarza się, że osoby zawodowo zajmujące się omijaniem zabezpieczeń firm i kradzieżą ich zasobów, postanawiają nie skorzystać z łatwej okazji na zarobek. Niedawno mogliśmy poznać kulisy takiej sytuacji, o czym informuje zespół Bitdefender. Pewien anonimowy haker wymyślił sposób na kradzież aktywów o wartości 1,6 miliona dolarów z pul protokołu przetargowego. Jednak zamiast zawłaszczyć tę gigantyczną sumę, sam zgłosił się do poszkodowanej firmy, oddał wszystkie fundusze i pomógł w naprawieniu błędu, który umożliwił kradzież środków.
Trudny czas dla platform kryptograficznych
Rok 2022 okazał się wyjątkowo trudny dla całej branży kryptograficznej z powodu wielu udanych cyberataków, których skutkiem były straty szacowane na miliony dolarów. Sądząc po tym, jak zaczął się obecny rok, możemy z całą pewnością stwierdzić, że ten trend nie ulegnie zmianie w najbliższym czasie.
Większość udanych cyberataków na firmy związane z branżą kryptograficzną kończy się utratą pieniędzy lub zablokowaniem transakcji. Ze względu na ideę anonimowości, która przyświeca obrotowi kryptowalutami, w razie kradzieży tylko w nielicznych przypadkach władzom udaje się wyśledzić fundusze i odzyskać część środków. Sprawcy zdecydowanej większości ataków pozostają bezkarni.
Dlatego gdy niedawno dotarła do nas wiadomość o zhakowaniu prawie 1,6 miliona dolarów z platformy DeFi, wizja ich odzyskania przez firmę była bardzo mało prawdopodobna. Na szczęście kryptohistoria związana z tym konkretnym incydentem zakończyła się wyjątkowo pozytywnie, ponieważ haker odpowiedzialny za cyberatak postanowił zwrócić całą kwotę. Jak jednak do tego doszło?
W jaki sposób haker pomógł platformie z kryptowalutami?
„Chociaż pożyczkobiorca zdeponował tylko 1 GMX zabezpieczenia, użytkownik mógł pożyczyć aktywa o wartości 1,59 miliona dolarów” – wyjaśnił zespół DeFi.
„Podczas badania incydentu odkryliśmy, że kod integrujący nowy oracle zawierał błąd i zwracał liczbę ze zbyt dużą liczbą zer” – dodał zespół. – „Ten typ błędu występuje powszechnie w umowach Solidity, które przechowują liczby jako liczby całkowite, tj. bez kropek dziesiętnych. Często miejsce dziesiętne jest ukryte, a programista musi podać dokładną liczbę miejsc dziesiętnych w innym miejscu”.
Natychmiast po zauważeniu rozbieżności zespół zdecydował o czasowym wstrzymaniu pracy platformy.
Na szczęście haker skontaktował się z nim i wysłał wiadomość o następującej treści: „Wygląda na to, że wasz Oracle został źle skonfigurowany. Skontaktujcie się ze mną, aby to rozwiązać”.
Haker zgodził się zwrócić wszystkie pożyczki, a za wskazanie błędu otrzymał nagrodę o wartości 62,16 ETH, czyli około 98 tysięcy dolarów. DeFi dzięki pomocy uczciwego hakera szybko naprawił błąd i już wznowił pracę swojej platformy kryptograficznej.
„Uczciwi hakerzy zdarzają się wyjątkowo rzadko. Co prawda niektóre kraje prowadzą resocjalizację cyberprzestępców, a następnie wykorzystują ich umiejętności do wzmacniania ochrony cybernetycznej swoich kluczowych sektorów gospodarki, musimy jednak pamiętać, że takie działania są zawsze obłożone bardzo dużym ryzykiem. Przykładem na to może być niedawna sytuacja, gdy niderlandzcy policjanci złapali tzw. uczciwego hakera na prowadzeniu grupy cyberprzestępców, która wyłudziła ponad 3 miliony dolarów. Nie można zapominać, że hakerzy kierują się przede wszystkim własnym zyskiem lub pobudkami ideologicznymi, czego przykładami mogą być chociażby haktywiści walczący z rządami totalitarnymi. Nie mniej jednak ich działalność powinna w nas wzbudzać ambiwalentne uczucia, nawet jeśli „są po naszej stronie”. Wojny w strefie cybernetycznej – pomimo tego, że trwają od kilkunastu lat – to nadal stosunkowo nowe zjawisko, a ich przebieg nie jest regulowany przez odpowiednie artykuły i konwencje, jak w przypadku konwencjonalnych konfliktów zbrojnych. Niestety nie jesteśmy w stanie do końca przewidzieć ich długoterminowych skutków. Dlatego podczas współpracy z hakerami, nawet tymi na pozór uczciwymi i zresocjalizowanymi, powinniśmy kierować się zasadą ograniczonego zaufania” – mówi Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.