AI saugumo ginklų lenktynės
AI iš esmės pakeitė kriptovaliutų saugumo kraštovaizdį, įdėdamas sudėtingas atakos įrankius įsilaužėlių, kurie kadaise buvo išskirtiniai gynėjams, rankose. Mitchell Amador, „Immunefi“ generalinis direktorius, per „Token2049“ Singapūre paaiškino, kad pažeidžiamumo atradimas tapo beveik akimirksniu išnaudojama. Pažangios audito įrankiai, kuriuos jo įmonė sukūrė, nebėra išskirtinės saugumo komandoms.
„Jei mes tai turime, ar Šiaurės Korėjos Lozoriaus grupė gali sukurti panašius įrankius? Ar Rusijos Ukrainos įsilaužėlių grupės gali sukurti panašius tokius įrankius?” – paklausė Amadoras. „Atsakymas yra tas, kad jie gali“. Tai sukuria nerimą keliančią simetriją, kai gerai finansuojamos įsilaužimo operacijos dabar turi prieigą prie galimybių, kurios pralenkia tradicines audito firmas.
Socialinė inžinerija patenka į masinę rinką
Galbūt labiau susiję su tuo, kaip AI padarė sudėtingas socialinės inžinerijos išpuolius neįtikėtinai pigiai. Amadoras išryškino AI sukeliamus sukčiavimo skambučius, kurie gali apsimesti kolegomis nerimą keliančiu tikslumu. „Galite įvykdyti centus su gerai apgalvota raginimų sistema. Galite vykdyti Mišių. Tai yra baisi AI dalis.”
Organizuotų įsilaužimo operacijų mastas yra stulbinantis. Grupės, tokios kaip Lozorius, greičiausiai įdarbina „mažiausiai kelis šimtus vaikinų, jei ne, jei ne tik žemi tūkstančiai žmonių dirba visą parą“, „Crypto Exploits“ kaip pagrindinį Šiaurės Korėjos ekonomikos pajamų šaltinį. Naujausiose žvalgybos ataskaitose nustatytas konkurencinis spaudimas dėl metinių pajamų kvotų skatina operatyvininkus, kad apsaugotų individualų turtą, o ne koordinuotų saugumo patobulinimus.
Klaidų bountai pasiekia savo ribas
„Immunefi“ palengvino daugiau nei 100 milijonų dolerių išmokas baltų skrybų įsilaužėliams, tačiau Amadoras teigė, kad „Decrypt“, kad platforma „pataikė į ribas“, nes nėra „pakankamai akių obuolių“, kad būtų užtikrinta būtina aprėptis visoje pramonėje. Suvaržymas nėra vien tik tyrėjo prieinamumas-„BUG Bounty“ susiduria su vidine „Zero-Sum“ žaidimo problema, kuri sukuria iškreiptas paskatas abiem pusėms.
Tyrėjai turi atskleisti pažeidžiamumus įrodyti, kad jie egzistuoja, tačiau jie praranda visą svertą, kai tik atskleista. „Immunefi“ tai sušvelnina derantis dėl išsamių sutarčių, nurodančių viską prieš atskleidžiant atskleidimą. „HackenProof“ generalinis direktorius Dmytro Matviiv pasiūlė optimistiškesnį vaizdą, pažymėdamas, kad nauji tyrėjai kasmet prisijungia prie platformų ir greitai pereina iš paprastų išvadų iki sudėtingų pažeidžiamumų.
Užpuolimo paviršius plečiasi ne tik kodas
Nors intelektualus sutarčių saugumas subrendo, labiausiai niokojantys išnaudojimai vis labiau apeina kodą. Anksčiau šiais metais 1,4 milijardo JAV dolerių bitų įsilaužimas pabrėžė šį poslinkį, kai užpuolikai kompromituoja priekinės dalies infrastruktūrą, kad pakeistų teisėtus daugialypius sandorius, o ne išnaudotų bet kokį intelektualią sutarčių pažeidžiamumą.
„Tai nebuvo kažkas, kas būtų buvęs sugautas atliekant auditą ar klaidų palaimą“, – sakė Amadoras. „Tai buvo pažeista vidaus infrastruktūros sistema“. Nepaisant tradicinių saugumo sričių patobulinimų, pramonė „nesielgia taip karštai“ dėl kelių SIG saugumo, ieties sukčiavimo, kovos su skoniu priemonės ir bendruomenės apsaugos.
„Immunefi“ išleido daugiapakopį saugos produktą, kuris paskiria elitinius baltų skrybų įsilaužėlius rankiniu būdu peržiūrėti kiekvieną reikšmingą operaciją prieš vykdymą, kuris būtų užklupęs bitų ataką. Tačiau Amadoras pripažino, kad tai reaktyvi priemonė, o ne prevencinė.
Ankstyvas aptikimas tampa kritiškas
Efektyviam saugumui reikia kuo anksčiau sugauti pažeidžiamumą. Amadoras apibūdino išlaidų hierarchiją, kuri kiekviename etape smarkiai padidėja: „Bug Bounty yra antras brangiausias, brangiausias yra įsilaužimas“.
„Immunefi“ atsakymas buvo įterpti AI tiesiai į kūrėjų „GitHub“ saugyklas ir CI/CD vamzdynus, sugaunant pažeidžiamumus prieš kodą. Amadoras prognozuoja, kad šis požiūris sukels „kritulinį kritimą“ DEFI įsilaužimų per vienerius ar dvejus metus, o tai gali sumažinti incidentus kita masto tvarka.
Nors „Hack“ sunkumas išlieka didelis, Amadoras pažymėjo, kad „sergamumo lygis mažėja, o daugumos klaidų sunkumo lygis mažėja, o ankstesniuose ciklo etapuose mes vis daugiau šių dalykų.“
Paklaustas, kokią vieną saugumo priemonę turėtų priimti kiekvienas projektas, Amadoras paragino sukurti „vieningą saugos platformą“, skirtą keliems atakų vektoriams. Suskaidytas saugumas iš esmės verčia projektus „atlikti patys“ apie produktus, apribojimus ir darbo eigas.
„Mes dar nesame iki to laiko, kai galime tvarkyti trilijonus ir trilijonus turto“, – padarė išvadą Amadoras. „Mes tiesiog ne visai ten geriausiu metu“. Pramonė tęsia savo netolygų pažangą, o 2024 m. Tapo blogiausiais įsilaužimo metais, nepaisant to, kad pagerėjo kodų saugumas, nes įsilaužimo modeliai seka nuspėjamus matematinius pasiskirstymus, todėl pavieniai dideli incidentai yra neišvengiami, o ne anomalūs.
