2025 жылы крипто алаяқтық, хакерлік шабуылдар және пайдалану жағдайлары айтарлықтай өсті. Алғашқы алты айда криптовалюта қызметтерінен 2 млрд доллардан астам қаражат ұрланды. Immunefi, Web3 қауіпсіздік платформасының бас директоры Митчелл Амадор көптеген командалар қауіпсіздікті тек «іске қосу алдындағы тексеру тізімі» ретінде қарастыратынын айтты.
BeInCrypto-ға берген эксклюзивті сұхбатында Амадор хакерлерге миллиондаған доллар төлеп, қателерді анықтау миллиардтаған шығындардың алдын алуы мүмкін екенін және дәстүрлі киберқауіпсіздікке қарағанда тиімдірек болуы ықтимал екенін атап өтті.
2025 жылы крипто бұзушылықтар неге көбейіп жатыр?
BeInCrypto жақында жариялаған есепте 2025 жылы ұрланған жалпы құн бойынша ең нашар жыл болатыны көрсетілген. Биыл индустрия осы уақытқа дейінгі ең ірі бұзушылықты бастан кешірді, Bybit хакерлік шабуылы.
Сонымен қатар, хакерлер крипто биржалар мен оларға қатысты фирмалардан миллиондаған доллар ұрлауды жалғастыруда.
Шын мәнінде, Chainalysis болжағандай, крипто қызметтерден ұрланған қаражаттың жалпы сомасы жылдың соңына қарай 4,3 млрд доллардан асуы мүмкін. Бұл индустрия үшін қауіпсіздік пен тұрақтылыққа қауіп төндіретін үнемі қауіп-қатерлермен бірге қараңғы болашақты көрсетеді.
Маңыздысы, TRM Labs мәлімдеді, 2025 жылдың бірінші жартысында ұрланған қаражаттың 80%-дан астамы инфрақұрылымның бұзылуынан болған. Бұл неге орын алуда?
Амадордың айтуынша, биылғы крипто хакерлігінің көбеюі көптеген жобалардың қауіпсіздікке деген ұстанымындағы негізгі кемшіліктен туындаған.
«2025 жыл криптоның ‘жылдам құру’ ой-санасы қабырғаға соғылған жыл болды. Он-чейн экожүйелеріне миллиардтаған доллар ағып жатыр, бірақ тым көп командалар қауіпсіздікті іске қосу алдындағы тексеру тізімі ретінде қарастырады», – деді ол BeInCrypto-ға.
Ол іске қосылғаннан кейін көптеген жобалар смарт келісімшарттарды жаңартып, ораклдарды біріктіріп немесе басқару құрылымдарын өзгертіп, бастапқы тәуекел модельдерін қайта қарамайтынын түсіндірді. Бұл тәуекелді үздіксіз бағалаудың болмауы орналастырудан кейінгі пайдалану жағдайларының көбеюіне әкелді.
«Қауіпсіздік статикалықтан үздіксізге көшуі керек. Бұл нақты уақыттағы қауіп-қатерді бақылау, адамға бағытталған жауап беру хаттамалары және дамып келе жатқан тәуекелге сәйкес келетін құралдарды білдіреді, тек бір реттік аудит емес. Бүкіл индустрия қауіпсіздікті инфрақұрылым ретінде қарастыруы керек, сақтандыру ретінде емес», – деп қосты Амадор.
Крипто бұзулардың алдын алуда баг баунтилердің кілті қалай болатыны
Қауіпсіздік шаралары үнемі дамып отыруы керек, Immunefi бас директоры сондай-ақ баг баунтилерді қолдады. Оның айтуынша, олар крипто кеңістігінде дәстүрлі киберқауіпсіздік әдістеріне қарағанда тиімдірек.
Контекст үшін, баг баунти – бұл ұйымдар бағдарламалық жасақтамаларындағы немесе жүйелеріндегі қауіпсіздік осалдықтарын анықтап, хабарлаған адамдарға ұсынатын сыйақы. Бұл ‘этикалық хакерлер’ немесе баг баунти аңшылары компанияларға зиянды әрекеттер жасамас бұрын әлсіздіктерді анықтап, жоюға көмектеседі.
Сыйақылар әдетте ақшалай және хабарланған қателіктің ауырлығына, күрделілігіне және ықтимал әсеріне байланысты өзгереді.
Амадор пайдалану жағдайларының алдын алудың кілті шабуылдарға қарсы қорғанысты оларды іске қосудан гөрі пайдалырақ ету екенін атап өтті. Бұл жерде жақсы жобаланған баг баунти бағдарламалары маңызды рөл атқарады.
«Крипто ережелерді өзгертеді. Web2-де шабуылдаушыларға мотивация қажет. Криптода, ақша мотивация болып табылады. Егер сіз 100 млн доллармен смарт келісімшартты іске қоссаңыз, сіз әрбір қателікке баға қойдыңыз. Біз ақ шляпаларға 100 млн доллардан астам төледік, және бұл 25 млрд доллардан астам ықтимал шығындарды үнемдеді. Бұл теория емес, бұл нақты экономикалық қауіпсіздік», – деп атап өтті ол.
Ақ шляпалы хакерлер мен қара шляпалы хакерлердің техникалық дағдылары ұқсас болуы мүмкін, бірақ олардың мақсаттары айтарлықтай ерекшеленеді. Қара шляпалы хакерлер осалдықтарды жеке пайда немесе зиянды ниет үшін пайдаланып, жеке тұлғаларға немесе ұйымдарға зиян келтіреді.
Екінші жағынан, ақ шляпалы хакерлер заңды және этикалық тұрғыда киберқауіпсіздікті жақсартуға жұмыс істейді. Сонымен, кейбір хакерлерді ақ шляпалы жолды таңдауға не итермелейді?
«Үш нәрсе: сенім, пайда және тану. Егер хакерлер платформа әділ және жылдам төлейтінін білсе, олар өзгереді. Егер процесс түсініксіз немесе төлемдер әлсіз болса, олар қара шляпалыға айналады», – деп Амадор BeInCrypto-ға ашып айтты.
Сонымен қатар, атқарушы директор бүгінгі таңда ең жақсы ақ шляпалар тек жеке тұлғалар емес, сонымен қатар жаһандық күштің бір бөлігіне айналып жатқанын атап өтті. Элиталық қауіпсіздік зерттеушілері дәстүрлі фирмаларды тастап, орталықтандырылмаған, уәкілетті қауіпсіздік тобына айналып, экожүйелердегі қауіп-қатерлерге нақты уақыт режимінде жауап беруде. Бұл ұстаным қорғаныстың болашағын білдіреді — ынтымақтастыққа негізделген, жылдам және беделге негізделген.
Мұның бәрі теорияда қарапайым болып көрінгенімен, іс жүзінде этикалық хакерлік әрекеттерді басқару өте күрделі. Амадор түсіндіргендей,
«Web3-те нақты уақыттағы қауіп-қатерлерге жауаптарды үйлестіру көпшілік алдында бомба залалсыздандыру сияқты. Егер командалар тым баяу қозғалса, олар қаражат жоғалтады. Егер олар тым жылдам немесе анық биліксіз қозғалса, олар кері әсерге ұшырайды.»
Амадор Immunefi протоколдар мен ақ шляпалар арасында маңызды осалдықтар бойынша делдалдық жасаған қарқынды келіссөздерді еске алды. Баг баунтилер алдын ала белгіленбеген немесе қателіктің ауырлығы бойынша келіспеушіліктер туындаған жағдайларда, Immunefi-дің бейтарап делдал ретіндегі рөлі әділ шешімдерді қамтамасыз етті.
«Ең қарқынды жағдайлар жиі назардан тыс қалады, бірақ олар айқын ашып көрсету процестері мен алдын ала берілген ынталандырулардың қажеттілігін көрсетеді. Бұл сенімді қысым астында басқару туралы», – деп BeInCrypto-ға бас директор айтты.
Web3 қауіпсіздігінің болашағы
Баг баунтилердің маңыздылығына қарамастан, Амадор олардың қауіпсіздіктің тек бір қабаты екенін атап өтті. Ол Web3 қауіпсіздігінің келесі кезеңі автоматтандырылған, үздіксіз және адамға бағытталған болатынын айтты.
«Бізге кодты сканерлейтін, мінез-құлық қауіптерін модельдейтін және бірден жауап беретін автономды жүйелер қажет, келісімшарт эксплойттарынан бастап фишинг пен ішкі қауіптерге дейін. Біз сондай-ақ Safe Harbor-ды құрып жатырмыз, бұл элиталық ақ шляпаларға 24/7 жедел әрекет ету тобы сияқты жұмыс істеуге мүмкіндік беретін бастама, кез келген шабуылдаушыдан жылдамырақ қозғалатын жаһандық қауіпсіздік тобы. Мақсат тек жақсы код емес, қауіп-қатер ландшафтымен бірге дамитын интеллектуалды қорғаныс», – деп түсіндірді.
Алайда, Амадор мұндай жүйелер стандартқа айналғанға дейін крипто осал болып қалатынын баса айтты. Бұл қауіпсіздік шаралары енгізілгеннен кейін, олар институционалдық инвестиция мен қоғамдық сенімнің жаңа дәуірін ашып, қауіпсіз болашаққа жол ашады.
Жауапкершіліктен бас тарту
Біздің веб-сайттағы барлық ақпарат адал ниетпен және тек жалпы ақпарат беру мақсатында жарияланады. Біздің веб-сайттағы ақпаратқа сүйеніп қабылданған кез келген шешімге оқырманның өзі жауапты болады.
