Поради від Віталіка Бутеріна: як не стати жертвою дипфейків

Потреба постійного захисту своїх коштів — це те, з чим щодня стикається світ криптовалют. Хакери стають все більш винахідливими, тому завжди потрібно бути напоготові. Один із засновників блокчейну Ethereum, Віталік Бутерін завжди надає слушні поради криптокористувачам.

Нещодавня його стаття "Ставте питання безпеки" не стала винятком. У ній Бутерін розповідає про проблему "діпфейків" і як з нею боротися. Розглянемо детальніше слова експерта. 

Але для початку давайте дізнаємося, що таке діпфейки

Діпфейки — відео, зображення або аудіозаписи, створені за допомогою штучного інтелекту для більш реалістичного ефекту. Вони можуть відтворювати слова або дії людини, які вона насправді ніколи не робила. Незважаючи на те, що діпфейки спочатку створювалися для розваги, і тільки з часом вони почали становити небезпеку.

У своїй статті Бутерін пише про те, що з кожним роком розпізнавати діпфейки стає дедалі важче і важче, оскільки вони стають дедалі реалістичнішими на вигляд. Він розповідає, що нещодавно сам став мішенню, коли відео з ним було використано для просування шахрайства та сумнівних інвестицій. А також зазначає, що аудіо- та відеозаписи людини вже не є безпечним методом ідентифікації її автентичності, наводячи як приклад компанію, яка втратила $25 мільйонів через відеорозмову з діпфейком.

Криптографічні підписи — не єдине рішення

Бутерін критикує підхід криптографічних підписів, як метод перевірки. У його розумінні, цей підхід ігнорує ширший контекст безпеки - людський фактор. Бутерін стверджує, що практика численних підписів для затвердження транзакції, що має на меті забезпечити багаторівневу перевірку, може завдати невдачі, оскільки зловмисник може видати себе за менеджера не тільки для останнього запиту, а й для попередніх етапів процесу затвердження. 

Саме тому він вважає, що якщо покладатися тільки на криптографічні підписи, то це може призвести процес аутентифікації до однорівневої (?) перевірки. 

"Це перетворює весь контракт на мультипідпис 1 з 1, де комусь потрібно лише захопити контроль над вашим єдиним ключем, щоб вкрасти кошти!" - зазначає він.

Запитуйте про їхнє життя

"Припустимо, що хтось надіслав вам повідомлення, назвавши себе людиною, яка є вашим другом. Вони пишуть повідомлення з облікового запису, який ви ніколи раніше не бачили, і стверджують, що втратили всі свої пристрої. Як визначити, чи ті вони ті, за кого себе видають?" - пише Бутерін.

Ймовірно, натхненний "Гаррі Поттером", Бутерін запропонував простий, але потужний метод захисту як рішення: "Запитайте їх про те, що знають тільки вони про своє життя".

Найкраще запитувати їх про ваш спільний досвід, наприклад: 

• Коли востаннє ми бачилися, в якому ресторані ми їли і що саме ти вибрав/-ла?
• Як називається фільм, який ми нещодавно дивилися і тобі не сподобався?

Що унікальнішим буде ваше запитання, то краще. Запитання, які змушують людину замислитися і вона навіть може забути відповідь — це нормально, але якщо ваш співрозмовник стверджує, що він забув, поставте йому ще кілька запитань. Завжди краще ставити запитання, що стосуються якихось "мікро" деталей (що кому сподобалося/не сподобалося, персоналізовані жарти тощо), аніж із "макро" деталями. Оскільки перші зазвичай набагато важче випадково відкопати третім особам (наприклад, навіть якщо хтось виклав фото з вечері в Instagram, сучасні LLM можуть доволі швидко відстежити його та вказати місце розташування в режимі реального часу).

Найкраще - поєднувати кілька стратегій

Немає ідеальної стратегії для захисту, тому краще поєднувати кілька методів одночасно.

Ви можете заздалегідь домовитися з другом про кодові слова, які ви зможете використовувати для автентифікації один одного. Або ви можете домовитися про ключ "примусу" — слово, яке ви можете використати для того, щоб подати сигнал, що вас примушують або погрожують. Це слово має бути досить поширеним, щоб ви почувалися невимушено, коли його використовуєте, але водночас рідкісним, щоб ви випадково не використовували його в повсякденній розмові.

У разі, якщо вам надсилають ETH адресу — попросіть людину надіслати вам її через кілька каналів комунікації (інші соцмережі або месенджери)

Захист від атак посередника: Атаки посередника (Man-in-the-middle) є найпоширенішою небезпекою в цифрових комунікаціях. Він полягає в тому, що зловмисник таємно передає та потенційно змінює повідомлення між двома сторонами, які вважають, що спілкуються безпосередньо одна з одною.

Щоб розв'язати цю проблему, Бутерін припускає, що криптографічні протоколи, такі як Transport Layer Security (TLS) і Secure Sockets Layer (SSL), можна використовувати для шифрування даних під час передачі, що робить перехоплені розмови нерозбірливими для неавторизованих сторін. Крім того, впровадження наскрізного шифрування в месенджерах гарантує, що повідомлення можуть читати тільки користувачі, які розмовляють, що фактично усуває загрозу, яку становлять ці атаки.

"Ситуація кожної людини унікальна, і тому види унікальної загальної інформації, яку ви маєте з людьми, з якими вам може знадобитися аутентифікація, відрізняються для різних людей. Взагалі краще адаптувати техніку до людей, а не людей до техніки. Техніка не обов'язково має бути ідеальною, щоб працювати: ідеальний підхід полягає в тому, щоб об'єднати кілька технік одночасно і вибрати техніку, яка вам найкраще підходить." - такими словами завершує статтю експерт.

SoulBound Token і де його використовують

Віталік Бутерін славиться своїми геніальними ідеями для проєктів. Одним із таких проєктів став SoulBound Token. Засновник Ethereum, разом із юристом Пуджой Охлхавером та економістом Еріком Гленом, вперше запропонували цю концепцію в травні 2022 року, для усунення деяких недоліків незамінних токенів (NFT) і їм подібних.

SoulBound Token або скорочено SBT — незамінний токен, дійсний тільки для однієї адреси, який не можна передати або продати. Ця функція робить їх ідеальними для представлення активів, які неможливо придбати шляхом купівлі, наприклад сертифікатів компетентності, репутації, медичних записів тощо.

SBT можна використовувати для різних цілей, наприклад:

• Ведення медичної документації
• Зберігання цифрових посвідчень особи
• Ведення трудової книжки
• Перевірка відвідування заходу

Дозволяє людям створювати перевірену цифрову репутацію на основі минулих дій.

Деякі компанії та організації також використовували SBT для створення децентралізованої та надійної системи цифрової ідентифікації, наприклад:

• Binance — випустили власний SBT під назвою Binance Account Bound (BAB) для поліпшення перевірки особистості Web3 і запобігання шахрайству.
• WhiteBIT — їхній Web-3 сервіс, WB Soul Ecosystem, призначений для з'єднання біржі з блокчейном Whitechain і забезпечення безпечного та персоналізованого досвіду для користувачів.
• Blockmate — обговорюють використання SBT для відображення історії платежів і боргів, роблячи можливим беззаставне кредитування і покращуючи кредитні оцінки.

Підсумок

Незважаючи на те, що експерт нещодавно висловився, що він уже "застарів" і скоро його місце займе "новий Віталік Бутерін", люди все ще вважають його ідеї та поради корисними. Вони неодноразово полегшували життя не тільки криптокористувачів, а й людей, не пов'язаних із криптою. А поки Бутерін ще не пішов на "криптопенсію", ми очікуватимемо від нього нових геніальних ідей.