Как фишинг подрывает безопасность блокчейна: интервью с разработчиком Джеймсом Бачини

Первый квартал 2024 года казался достаточно "типичным" с точки зрения хакерских атак, однако соучредитель CertiK отмечает, что фишинговые атаки достигли "тревожного уровня". В своем ежеквартальном отчете о безопасности "Hack3d" CertiK подчеркивает, что убытки от этой атаки достигли 239 миллионов долларов, хотя произошло лишь 26 инцидентов.

Чтобы пролить свет на борьбу с фишингом, а также на развитие блокчейна и новые тенденции, мы попросили блокчейн-разработчика Джеймса Бачини поделиться своим экспертным мнением.

Не могли бы вы рассказать нам немного о своем бэкграунде и о том, что изначально привлекло вас к блокчейн-разработке? Что вдохновило вас на карьеру в этой области?

Я заинтересовался криптовалютой через Биткойн в 2017 году. Я думал, что смогу майнить его через браузер, но это не сработало, но привело меня к хорошему пониманию технологических преимуществ. Позже я открыл для себя смартконтракты на Ethereum, меня привлекла возможность создавать открытый код в децентрализованной сети. Я начал писать и снимать видео о разработке блокчейна, новых технологиях DeFi и криптопространстве. Сегодня я сам управляю собственным портфолио и занимаюсь консалтингом и разработкой Solidity, чтобы быть в курсе событий в этой области.

Каким из своих проектов вы больше всего гордитесь, и какой стал наиболее успешным? 

В начале своей карьеры я создал проект под названием JSEcoin, который был автономным блокчейном, построенным на NodeJS. В конце концов, он потерпел неудачу, потому что мы так и не смогли собрать достаточно средств или привлечь значительное внимание во время медвежьего рынка, который наступил после краха в 2018 году. Я все еще считаю, что платформа смарт-контрактов на JavaScript была бы привлекательной для web2-разработчиков, которые хотят попробовать себя в web3.

Какие тенденции по разработке блокчейна вы видите в ближайшие годы?

Я часто думаю и пишу о том, каким, по моему мнению, будет будущее блокчейн-сектора. Биткойн, по моему мнению, уже превратился в уважаемый класс активов, но я думаю, что в будущем мы увидим больше внимания к отсутствию риска контрагента и преимуществам децентрализации, а не к тому, что он будет рассматриваться как спекулятивно рискованный актив. Эфириум будет развиваться, чтобы стать мировым компьютером, и в конечном итоге, возможно, даже конкурировать с облачными вычислениями. Со временем веб-производителям станет проще, дешевле и быстрее хранить и обрабатывать данные в сети Эфириума.

Я думаю, что главная сеть, которую мы знаем сегодня, станет традиционной системой блокчейнов, а Эфириум станет взаимосвязанной сетью закрепленных роллапов для масс. Для юзеров она будет просто работать, с бесперебойным пользовательским опытом. DeFi тоже будет развиваться, и я уверен, что мы увидим новые экспериментальные технологии в этом пространстве и более широкую токенизацию активов.

Мы видим, что меньшие L2-решения опережают большие сети по количеству разработчиков. Хотя лидерами остаются Ethereum и Solana, многие инвесторы обращают внимание на Celestia, Near Protocol, Polygon, WhiteBIT Coin и другие. Как вы считаете, почему происходит такая тенденция?

Эти проекты очень активно продвигают свои технологии через гранты и хакатоны, что, по моему мнению, помогает несколько расширить внедрение и поощрить растущее сообщество разработчиков.

С какими самыми большими проблемами регулярно сталкиваются блокчейн-разработчики и как их можно преодолеть?

Ошибки смартконтрактов, которые приводят к потере средств клиентов, не дают нам спать по ночам. Можно было бы сделать больше для создания эффективных инструментов самоконтроля и улучшения автоматизированных проверок во время компиляции. Аудит безопасности и вознаграждения за исправление ошибок должны со временем стать более доступными для команд, которые хотят обойти путь финансирования от венчурных фондов.

Недавно Виталик Бутерин озвучил возможность интеграции технологии блокчейн с искусственным интеллектом. Что вы лично думаете о внедрении AI в Web3? Это просто футуристическая мода или ключ к новым возможностям? Как рынок выиграет/проиграет от такой интеграции?

Я вижу это по-другому: искусственный интеллект в его нынешнем виде требует много вычислений над большими массивами данных. Технология блокчейн процветает благодаря низкому уровню вычислений над крошечными наборами данных, такими как небольшие учетные книги и тому подобное. Всякий раз, когда я слышу о проекте, использующем искусственный интеллект на блокчейне, я обычно скептически отношусь к нему. На сегодняшний день я не видел ни одного перспективного пересечения между этими технологиями, хотя, наверное, существуют какие-то примеры использования. Единственным исключением является, пожалуй, машинное обучение в торговых системах, но оно часто играет лишь незначительную роль в сигнальной части более крупной системы, разработанной для управления рисками.

Как разработчик блокчейна, можете ли вы объяснить технические аспекты фишинговых атак, в частности, как злоумышленники используют уязвимости в системе, чтобы атаковать криптопользователей?

Худшее, что я видел, - это спонсорская реклама в Google, которая размещает копию сайта поверх настоящего сайта, когда вы ищете в Google популярные DEX-бренды и DeFi-протоколы.

Пользователи должны быть очень осторожными с доменными именами и дважды проверять то, что они вносят в MetaMask.

Существует много мошеннических схем и для торговых ботов. Если что-то звучит слишком хорошо, чтобы быть правдой, это всегда так и есть. В торговле и арбитраже нет легких денег, и люди, которые достигают успеха, как правило, технически одарены. Если кто-то предлагает торгового бота, который зарабатывает тысячи долларов в день, поинтересуйтесь, что мотивировало его выпустить этот код.

Какие самые распространенные техники и методы используются в фишинговых атаках на блокчейн и криптовалютные платформы, и что разработчики могут сделать для устранения этих уязвимостей?

Разработчикам очень трудно предотвратить фишинговые атаки на уровне DApp. Возможно, больше могли бы сделать разработчики кошельков и команды модераторов в социальных сетях и поисковых системах. В общем, как сообщество, мы должны обучать пользователей, чтобы они могли распознавать фишинговую атаку.

Поскольку технология блокчейн продолжает развиваться, каких достижений или инноваций вы ожидаете в области протоколов безопасности и инструментов для борьбы с фишинговыми атаками?

Определенная форма криптографической поисковой системы или каталога была бы очень полезной. Кажется, Defillama создала такую, но она не получила широкого распространения. Возможно, над этим стоит поработать в будущем. Вероятно, мы могли бы использовать искусственный интеллект для агрегирования контента и фильтрации всего вредоносного.

Какой совет вы бы дали тому, кто стремится стать разработчиком?

Сначала изучите JavaScript, а затем, если вы хотите попасть в web3, изучите Solidity. Есть отличный ресурс под названием "crypto zombies", который является игровым учебным ресурсом для начинающих. Также в моем блоге и на YouTube-канале я делаю много видеоуроков по созданию вещей в DeFi.

Сначала всегда создавайте тестовую сеть, чтобы средства, с которыми вы экспериментируете, не были реальными. Узнайте как можно больше о безопасности, лучшие разработчики, которых я знаю, активно изучают безопасность смарт-контрактов. В целом, просто наслаждайтесь возможностями, которые мы имеем с этой новой технологией, и возможностями, которые она предлагает разработчикам.

Рекомендации как защититься от фишинговых атак

Самое важное в борьбе с фишинговыми атаками - использовать методы защиты и уметь распознавать мошеннические электронные письма. Вот почему всегда важно:

• Проверять написание доменов перед тем, как вводить свои данные
• Использовать надежные и уникальные пароли
• Включить двухфакторную аутентификацию
• Не переходить по подозрительным ссылкам

Чаще всего мошенники присылают фишинговые письма от имени веб-сайтов или криптовалютных бирж. Распознать мошенническое электронное письмо можно по нескольким признакам:

• Злоумышленники обычно подчеркивают срочность действий или привлекают внимание, предлагая вознаграждение за участие.
• Сообщение содержит неправильно написанные URL-адреса
• В электронном письме вас просят предоставить или подтвердить личную информацию, например, банковские данные или пароль
• Сообщение написано с орфографическими или грамматическими ошибками
• Кроме того, некоторые компании, такие как Binance, WhiteBIT, KuCoin, имеют дополнительный метод проверки подлинности электронного письма с помощью функции "Anti-Phising", которая сигнализирует о том, что письмо поступило от данных компаний.

Зная, как распознавать атаки, вы можете лучше защитить себя и свои данные. Помните: Предупрежден - значит вооружен