Як фішинг підриває безпеку блокчейну: інтерв’ю з розробником Джеймсом Бачіні
Перший квартал 2024 року здавався досить "типовим" з огляду на хакерські атаки, однак співзасновник CertiK зазначає, що фішингові атаки досягли "тривожного рівня". У своєму щоквартальному звіті про безпеку "Hack3d" CertiK підкреслює, що збитки від цієї атаки досягли 239 мільйонів доларів, хоча сталося лише 26 інцидентів.
Щоб пролити світло на боротьбу з фішингом, а також на розвиток блокчейну та нові тенденції, ми попросили блокчейн-розробника Джеймса Бачіні поділитися своєю експертною думкою.
Чи не могли б ви розповісти нам трохи про свій бекграунд і про те, що спочатку залучило вас до блокчейн-розробки? Що надихнуло вас на кар'єру в цій галузі?
Я зацікавився криптовалютою через Біткоїн у 2017 році. Я думав, що зможу майнити його через браузер, однак це не спрацювало, але привело мене до гарного розуміння технологічних переваг. Пізніше я відкрив для себе смартконтракти на Ethereum, мене привабила можливість створювати відкритий код у децентралізованій мережі. Я почав писати та знімати відео про розробку блокчейну, нові технології DeFi та криптопростір. Сьогодні я сам керую власним портфоліо і займаюся консалтингом та розробкою Solidity, щоб бути в курсі подій у цій галузі.
Яким зі своїх проєктів ви найбільше пишаєтесь, і який став найбільш успішним?
На початку своєї кар'єри я створив проєкт під назвою JSEcoin, який був автономним блокчейном, побудованим на NodeJS. Зрештою, він зазнав невдачі, тому що ми так і не змогли зібрати достатньо коштів або привернути значну увагу під час ведмежого ринку, який настав після краху у 2018 році. Я все ще вважаю, що платформа смартконтрактів на JavaScript була б привабливою для web2-розробників, які хочуть спробувати себе в web3.
Які тенденції щодо розробки блокчейну ви бачите в найближчі роки?
Я часто думаю і пишу про те, яким, на мою думку, буде майбутнє блокчейн-сектору. Біткойн, на мою думку, вже перетворився на поважний клас активів, але я думаю, що в майбутньому ми побачимо більше уваги до відсутності ризику контрагента та переваг децентралізації, а не до того, що він буде розглядатися як спекулятивно ризикований актив. Ефіріум буде розвиватися, щоб стати світовим комп'ютером, і в кінцевому підсумку, можливо, навіть конкурувати з хмарними обчисленнями. З часом веброзробникам стане простіше, дешевше і швидше зберігати і обробляти дані в мережі Ефіріума.
Я думаю, що головна мережа, яку ми знаємо сьогодні, стане традиційною системою блокчейнів, а Ефіріум стане взаємопов'язаною мережею закріплених роллапів для мас. Для юзерів вона просто працюватиме, з безперебійним користувацьким досвідом. DeFi теж буде розвиватися, і я впевнений, що ми побачимо нові експериментальні технології в цьому просторі й ширшу токенізацію активів.
Ми бачимо, що менші L2-рішення випереджають великі мережі за кількістю розробників. Хоча лідерами залишаються Ethereum і Solana, багато інвесторів звертають увагу на Celestia, Near Protocol, Polygon, WhiteBIT Coin та інші. Як ви вважаєте, чому відбувається така тенденція?
Ці проєкти дуже активно просувають свої технології через гранти та хакатони, що, на мою думку, допомагає дещо розширити впровадження та заохотити спільноту розробників, яка зростає.
З якими найбільшими проблемами регулярно стикаються блокчейн-розробники і як їх можна подолати?
Помилки смартконтрактів, які призводять до втрати коштів клієнтів, не дають нам спати ночами. Можна було б зробити більше для створення ефективних інструментів самоконтролю та вдосконалення автоматизованих перевірок під час компіляції. Аудит безпеки та винагороди за виправлення помилок повинні з часом стати більш доступними для команд, які хочуть обійти шлях фінансування від венчурних фондів.
Нещодавно Віталік Бутерін озвучив можливість інтеграції технології блокчейн зі штучним інтелектом. Що ви особисто думаєте про впровадження AI у Web3? Це просто футуристична мода чи ключ до нових можливостей? Як ринок виграє/програє від такої інтеграції?
Я бачу це по-іншому: штучний інтелект у його нинішньому вигляді вимагає багато обчислень над великими масивами даних. Технологія блокчейн процвітає завдяки низькому рівню обчислень над крихітними наборами даних, такими як невеликі облікові книги тощо. Щоразу, коли я чую про проєкт, який використовує штучний інтелект на блокчейні, я, як правило, скептично ставлюся до нього. На сьогодні я не бачив жодного перспективного перетину між цими технологіями, хоча, напевно, існують якісь приклади використання. Єдиним винятком є, мабуть, машинне навчання в торгових системах, але воно часто відіграє лише незначну роль у сигнальній частині більшої системи, розробленої для управління ризиками.
Як розробник блокчейну, чи можете ви пояснити технічні аспекти фішингових атак, зокрема, як зловмисники використовують вразливості в системі, щоб атакувати криптокористувачів?
Найгірше, що я бачив, - це спонсорська реклама в Google, яка розміщує копію сайту поверх справжнього сайту, коли ви шукаєте в Google популярні DEX-бренди й DeFi-протоколи.
Користувачі повинні бути дуже обережними з доменними іменами та двічі перевіряти те, що вони вносять в MetaMask.
Існує багато шахрайських схем і для торгових ботів. Якщо щось звучить занадто добре, щоб бути правдою, це завжди так і є. У торгівлі та арбітражі немає легких грошей, і люди, які досягають успіху, як правило, технічно обдаровані. Якщо хтось пропонує торгового бота, який заробляє тисячі доларів на день, поцікавтеся, що мотивувало його випустити цей код.
Які найпоширеніші техніки та методи використовуються у фішингових атаках на блокчейн та криптовалютні платформи, і що розробники можуть зробити для усунення цих вразливостей?
Розробникам дуже важко запобігти фішинговим атакам на рівні DApp. Можливо, більше могли б зробити розробники гаманців і команди модераторів в соціальних мережах і пошукових системах. Загалом, як спільнота, ми повинні навчати користувачів, щоб вони могли розпізнавати фішингову атаку.
Оскільки технологія блокчейн продовжує розвиватися, яких досягнень або інновацій ви очікуєте в області протоколів безпеки та інструментів для боротьби з фішинговими атаками?
Певна форма криптографічної пошукової системи або каталогу була б дуже корисною. Здається, Defillama створила таку, але вона не набула широкого поширення. Можливо, над цим варто попрацювати в майбутньому. Ймовірно, ми могли б використовувати штучний інтелект для агрегування контенту і фільтрації всього шкідливого 🤣
Яку пораду ви б дали тому, хто прагне стати розробником?
Спочатку вивчіть JavaScript, а потім, якщо ви хочете потрапити в web3, вивчіть Solidity. Є чудовий ресурс під назвою "crypto zombies", який є гейміфікованим навчальним ресурсом для початківців. Також у моєму блозі та на YouTube каналі я роблю багато відеоуроків зі створення речей у DeFi.
Спочатку завжди створюйте тестову мережу, щоб кошти, з якими ви експериментуєте, не були реальними. Дізнайтеся якомога більше про безпеку, найкращі розробники, яких я знаю, активно вивчають безпеку смартконтрактів. В цілому, просто насолоджуйтесь можливостями, які ми маємо з цією новою технологією, і можливостями, які вона пропонує розробникам.
Рекомендації як захиститися від фішингових атак
Найважливіше в боротьбі з фішинговими атаками - використовувати методи захисту та вміти розпізнавати шахрайські електронні листи. Ось чому завжди важливо:
- Перевіряти написання доменів перед тим, як вводити свої дані
- Використовувати надійні та унікальні паролі
- Увімкнути двофакторну автентифікацію
- Не переходити за підозрілими посиланнями
Найчастіше шахраї надсилають фішингові листи від імені вебсайтів або криптовалютних бірж. Розпізнати шахрайський електронний лист можна за кількома ознаками:
- Зловмисники зазвичай підкреслюють терміновість дій або привертають увагу, пропонуючи винагороду за участь.
- Повідомлення містить неправильно написані URL-адреси
- В електронному листі вас просять надати або підтвердити особисту інформацію, наприклад, банківські дані або пароль
- Повідомлення написано з орфографічними або граматичними помилками
- Крім того, деякі компанії, такі як Binance, WhiteBIT, KuCoin, мають додатковий метод перевірки автентичності електронного листа за допомогою функції “Anti-Phising”, яка сигналізує про те, що лист надійшов від даних компаній.
Знаючи, як розпізнавати атаки, ви можете краще захистити себе і свої дані. Пам'ятайте: Попереджений - значить озброєний