Поради від Віталіка Бутеріна: як не стати жертвою дипфейків?
Потреба постійного захисту своїх коштів - це те з чим кожного дня стикається світ криптовалют. Хакери стають все більш вигадливими, тому завжди потрібно бути напоготові. Один із засновників блокчейну Ethereum, Віталік Бутерін завжди надає слушні поради криптокористувачам. Нещодавня його стаття “Ставте питання безпеки” не стала виключенням. У ній Бутерін розповідає про проблемку “діпфейків” та як з нею боротись.
Розгляньмо більш детально слова експерта.
Але для початку дізнаймося, що таке діпфейки?
Діпфейки - відео, зображення чи аудіозаписи, створенні за допомогою штучного інтелекту для більш реалістичного ефекту. Вони можуть відтворювати слова або дії людини, які вона насправді ніколи не робила. Попри те, що діпфейки початково створювались для розваги, і тільки з часом вони почали становити небезпеку.
У своїй статті, Бутерін пише про те, що з кожним роком розпізнавати діпфейки стає все важче і важче, оскільки вони стають все більш реалістичними на вигляд. Він розповідає, що нещодавно сам став мішенню, коли відео з ним було використано для просування шахрайства та сумнівних інвестицій. А також наголошує, що аудіо- та відеозаписи людини вже не є безпечним методом ідентифікації її автентичності, наводячи за приклад компанію, яка втратила $25 мільйонів через відеорозмову з діпфейком.
Криптографічні підписи - не єдине рішення
Бутерін критикує підхід криптографічних підписів, як метод перевірки. В його розумінні, цей підхід ігнорує ширший контекст безпеки - людський фактор. Бутерін стверджує, що практика численних підписів для затвердження транзакції, яка має на меті забезпечити багаторівневу перевірку, може завдати невдачі, оскільки зловмисник може видати себе за менеджера не лише для останнього запиту, але й для попередніх етапів процесу затвердження.
Саме тому він вважає, що якщо покладатися тільки на криптографічні підписи, то це може призвести процес автентифікації до однорівневої перевірки.
“Це перетворює весь контракт на мультипідпис 1 з 1, де комусь потрібно лише захопити контроль над вашим єдиним ключем, щоб вкрасти кошти!” - зазначає він.
Запитуйте про їхнє життя
“Припустімо, що хтось надіслав вам повідомлення, назвавши себе людиною, яка є вашим другом. Вони пишуть повідомлення з облікового запису, якого ви ніколи раніше не бачили, і стверджують, що втратили всі свої пристрої. Як визначити, чи вони ті, за кого себе видають?” - пише Бутерін.
Ймовірно, натхненний “Гаррі Поттером”, Бутерін запропонував простий, але потужний метод захисту в якості рішення: “Запитайте їх про те, що знають тільки вони про своє життя”.
Найкраще запитувати їх про ваш спільний досвід, наприклад:
- Коли востаннє ми бачились, у якому ресторані ми їли та що саме ти обрав/-ла?
- Як називається фільм, який ми нещодавно дивились і тобі не сподобався?
Чим унікальніше буде ваше питання, тим краще. Питання, які змушують людину задуматись і вона навіть може забути відповідь - це нормально, але якщо ваш співрозмовник стверджує, що він забув, задайте йому ще декілька питань. Завжди краще ставити питання, які стосуються якихось “мікро” деталей (що кому сподобалось/не сподобалось, персоналізовані жарти тощо), ніж з “макро” деталями. Оскільки перші зазвичай набагато важче випадково відкопати третім особам (наприклад, навіть якщо хтось виклав фото з вечері в Instagram, сучасні LLM можуть досить швидко відстежити його і вказати місце розташування в режимі реального часу).
Найкраще - поєднувати декілька стратегій
Немає ідеальної стратегії для захисту, саме тому краще поєднувати декілька методів водночас.
Ви можете попередньо домовитись з другом про кодові слова, які ви зможете використовувати для автентифікації один одного. Або ви можете домовитись про ключ “примусу” - слово, яке ви можете використати для того, щоб подати сигнал, що вас примушують або погрожують. Це слово має бути досить поширеним, щоб ви відчували себе невимушенно, коли його використовуєте, але водночас рідкісним, щоб ви випадково не використали його у повсякденній розмові.
У разі, якщо вам надсилають ETH адресу - попросіть людину надіслати вам її через декілька каналів комунікації (інші соцмережі або месенджери)
Захист від атак посередника: Атаки посередника (Man-in-the-middle) є поширеною небезпекою в цифрових комунікаціях. Він полягає в тому, що зловмисник таємно передає та потенційно змінює повідомлення між двома сторонами, які вважають, що спілкуються безпосередньо одна з одною.
Щоб розв'язати цю проблему, Бутерін припускає, що криптографічні протоколи, такі як Transport Layer Security (TLS) і Secure Sockets Layer (SSL), можна використовувати для шифрування даних під час передачі, що робить перехоплені розмови нерозбірливими для неавторизованих сторін. Крім того, впровадження наскрізного шифрування в месенджерах гарантує, що повідомлення можуть читати лише користувачі, які розмовляють, що фактично усуває загрозу, яку становлять ці атаки.
“Ситуація кожної людини унікальна, і тому види унікальної спільної інформації, яку ви маєте з людьми, з якими вам може знадобитися автентифікація, відрізняються для різних людей. Взагалі краще адаптувати техніку до людей, а не людей до техніки. Техніка не обов’язково має бути ідеальною, щоб працювати: ідеальний підхід полягає в тому, щоб об’єднати кілька технік одночасно та вибрати техніку, яка вам найкраще підходить.” - такими словами завершує статтю експерт.
SoulBound Token та де його використовують
Віталік Бутерін славиться своїми геніальними ідеями для проєктів. Одним з таких проєктів став SoulBound Token. Засновник Ethereum, разом із юристом Пуджою Охлхавером та економістом Еріком Гленом, вперше запропонували цю концепцію у травні 2022 року, для усунення деяких недоліків незамінних токенів (NFT) та їм подібних.
SoulBound Token або ж скорочено SBT - незамінний токен, дійсний тільки для однієї адреси, який не можна передати або продати. Ця функція робить їх ідеальними для представлення активів, які неможливо придбати шляхом покупки, наприклад сертифікатів компетентності, репутації, медичних записів тощо.
SBT можна використовувати для різних цілей, наприклад:
- Ведення медичної документації
- Зберігання цифрових посвідчень особи
- Ведення трудової книжки
- Перевірка відвідування заходу
- Дозволяє людям створювати перевірену цифрову репутацію на основі минулих дій
Деякі компанії та організації також використали SBT для створення децентралізованої та надійної системи цифрової ідентифікації, наприклад:
- Binance - випустили власний SBT під назвою Binance Account Bound (BAB) для покращення перевірки особи Web3 і запобігання шахрайству.
- WhiteBIT - їх Web-3 сервіс, WB Soul Ecosystem, призначений для з'єднання біржі з блокчейном Whitechain і забезпечення безпечного та персоналізованого досвіду для користувачів.
- Blockmate - обговорюють використання SBT для відображення історії платежів і боргів, уможливлюючи беззаставне кредитування та покращуючи кредитні оцінки.
Підсумок
Попри те, що експерт нещодавно висловився, що він уже “застарий” і скоро його місце посяде “новий Віталік Бутерін”, люди все ще вважають його ідеї та поради корисними. Вони неодноразово полегшували життя не тільки криптокористувачів, але й людей непов’язаних з криптою. А поки Бутерін ще не пішов на “крипто пенсію”, ми очікуватимемо від нього нових геніальних ідей.