Era foarte devreme în dimineața zilei de 9 martie, când LP a început să primească apeluri pe Telegram. Știa că nu e semn bun. Îmbrăcată în pijamale, și-a pus lentilele de contact și a luat laptopul. Era timpul să salveze criptomonedele cuiva – iar, pentru asta, trebuia mai întâi să-i spargă contul.
LP, care preferă să nu-și folosească numele real ca să-și protejeze intimitatea, e inginer programator și a lucrat pentru o firmă de avocatură din Slicon Valley. Tot ea e fondatoarea companiilor de cybersecuritate RugDoc și Paladin Blockchain Security. Vrea ca toată lumea să știe că industria crypto nu înseamnă doar „bărbați albi care stau într-un subsol”.
Videos by VICE
Pe Telegram o suna unul dintre colegii ei, care i-a zis că cineva voia să spargă contul investitorilor unui protocol crypto numit Fantasm, care conținea, la momentul respectiv, milioane de dolari.
După ce s-a dezmeticit, a zis că a început să lucreze cu doi colegi ca să salveze cât crypto puteau și să limiteze daunele. În lumea crypto, unde fondurile furate dispar pentru totdeauna din cauza naturii ireversibile a blockchainului, să salvezi fonduri înseamnă să spargi un cont înaintea hackerului.
Așa că a început cursa împotriva hackerului. Cu ajutorul unei colege care a reușit să descopere vulnerabilitatea exploatată de hacker, LP a scris o serie de contracte smart cu scopul de a exploata vulnerabilitatea mai repede decât hackerul.
Pentru că acțiunile din blockchain sunt publice, evenimentele de hacking sunt foarte palpitante, pentru că toată lumea vede ce se petrece. Practic, hackerul a văzut activitățile lor. Acțiunile au atras atenția și altor hackeri oportuniști care au profitat de ocazie și s-au băgat și ei să fure fonduri. Dar LP și colegii ei au reușit să salveze zeci de mii de dolari și să stopeze jaful. În orice caz, hackerul tot a furat vreo opt sute de Ethereum, care valorează 1,5 milioane de dolari la momentul scrierii acestui articol.
„Multe persoane au pierdut bani și nu se poate spune că a fost tocmai un final fericit. Dar nici n-a fost așa nasol cum ar fi putut să fie”, a zis LP.
Toată operațiunea a durat cam jumătate de oră, conform spuselor lui LP.
***
Termenul „white hat” e foarte vechi și provine din filmele western vechi, în care tipii buni purtau pălării albe, iar tipii răi pălării negre. În lumea securității cibernetice, un white hat înseamnă un hacker cu intenții bune, așa cum e LP.
Dar în lumea crypto, culorile sunt mai nuanțate.
Există hackeri care profită de vulnerabilități ca să fure bani, apoi anunță public că vor da banii înapoi dacă primesc o recompensă. Asta s-a întâmplat în cazul bizar Poly Network, în care hackerul a dat înapoi banii furați – șase sute de milioane de dolari – după ce compania l-a rugat să facă asta, în repetate rânduri, în mod public. La fel a fost și în cazul jafului recent de pe Multichain. În aceste cazuri, nu e sigur dacă hackerii erau white hats de la început sau dacă s-au răzgândit după ce au furat banii, din cauza presiunii că erau văzuți de o lume întreagă.
Mai sunt și persoane ca LP, care se bagă să salveze fonduri într-o cursă contracronometru cu hackeri malițioși, uneori fără consimțământul utilizatorilor care sunt targetați sau a protocolului crypto care e spart. Acești hackeri își declară mereu intenția de a returna fondurile proprietarilor legitimi.
Prima oară când termenul a devenit popular în acest context a fost în 2016, când niște programatori voluntari care și-au zis Robin Hood Group s-au luptat cu hackerii care furau ETH în valoare de milioane de dolari de la The Decentralized Autonomous Organization (DAO), care era pe atunci una dintre cele mai promițătoare organizații specializate în crypto. În cazul respectiv, grupul a reușit să salveze de la hackeri ETH în valoare de 15 milioane de dolari. În anul următor, același grup, care s-a redenumit White Hat Group, a salvat crypto în valoare de două sute de milioane de dolari care fuseseră furați de la un client Ethereum, Parity.
„În Web3, white hats sunt considerați niște eroi. Și ei au de câștigat din situația asta”
Mai recent, practica a devenit ceva mai răspândită, pentru că și hackerii s-au înmulțit. În primele trei luni ale anului, hackerii și scammerii au furat cam 1,23 de miliarde de dolari sub formă de crypto, conform unui raport al companiei de cybersecurity Immunefi.
Pentru acest articol, Motherboard a vorbit cu cinci persoane, printre care LP, care ne-au zis că au avut experiențe directe cu activitatea de white hatting.
„În Web3, white hats sunt considerați niște eroi. Și ei au de câștigat din situația asta”, a zis Stephen Tong, cofondatorul firmei de securitate pentru blockchain Zellic. „Practic, dacă n-o fac ei, cine o s-o facă? Mai bine eu, decât un black hat.”
Nu e clar dacă e ok să spargi conturile altor oameni, fără consimțământul lor, chiar și cu scopul de a-i ajuta.
„Deși e o activitate nobilă, e destul de riscantă în absența consimțământului persoanei sau companiei jefuite”, a zis Preston Byrne, un avocat specializat în crypto. „Una e dezvăluirea unei vulnerabilități, alta e asumarea dreptului asupra unor fonduri, indiferent de intenție. Dacă proprietarul e nemulțumit din orice motiv, poate acuza hackerul, iar acesta poate fi arestat, chiar dacă a făcut totul din bune intenții.”
Rezultatul depinde de toanele organizației sau ale individului căruia i-a spart contul un white hat, fără consimțământ.
„Problema pentru un white hat sau gray hat e că o victimă îi poate fi recunoscătoare, pe când alta poate suna la poliție. Cel mai bine, atunci când un white hat identifică o vulnerabilitate într-un sistem, e să anunțe proprietarii. Nu ești Superman și nu e problema ta să salvezi lumea”, a zis Preston.
Practica de white hatting e similară cu cea în care o victimă a unui atac cibernetic colectează informații despre hackerii care au atacat-o și le face rău. E o practică foarte controversată, care are riscuri juridice.
Unii hackeri din lumea crypto fac orice ca să evite să fie condamnați.
Emilio Bonassi e un cercetător specializat în blockchain cybersecurity care a participat la mai multe operațiuni de white hatting. Anul trecut, portofelele digitale ale utilizatorilor Primitive Finance, o platformă de investiții crypto, au fost expuse oricui știa să exploateze o eroare de pe platformă.
„Singurul mod în care am putut salva utilizatorii a fost să le retragem fondurile din portofele și să îi avertizăm. E nasol când trebuie să retragi fondurile”, a zis Bonassi.
Bonassi a colaborat cu fondatorul Immunefi, Mitchell Amador, ca intermediar în acest caz, și cu cercetători de la firma de cybersecuritate Dedaub. Persoanele de la Primitive Finance au fost implicate în operațiunea de salvare încă de la început.
Spre deosebire de LP; Bonassi și colaboratorii lui nu și-au folosit propriile portofele ca să salveze fondurile și le-au arătat developerilor platformei cum să contracareze atacul.
Unii cercetători specializați în securitate cibernetică pentru blockchain sunt foarte conștienți de riscul pe care îl implică utilizarea propriului portofel și hackuirea fără consimțământul utilizatorilor cu portofele vulnerabile.
„E o activitate foarte stresantă, de asta am renunțat”, ne-a zis un cercetător care s-a implicat în câteva cazuri de white hatting.
„Eu niciodată nu iau fondurile în portofelul meu. Îi spun companiei sau utilizatorului tot ce trebuie să știe și îi las să ia singuri deciziile. Dacă vor să îi ajut, îi ajut. Dar nu mă bag s-o fac singur”, ne-a zis Samczsun, un cercetător specializat în cybersecuritate de la compania de investiții crypto Paradigm.
„Chiar nu vreau să știu pe pielea mea ce înseamnă să obții temporar bunuri în valoare de milioane de dolari, după care să le returnezi”, a zis Samczsun, care a fost implicat în mai multe cazuri de white hatting și a salvat milioane de dolari (350 de milioane în cazul Sushi Swap și zece milioane în cazul Lien Finance).
Conform lui Preston, Samczsun are abordarea corectă, având în vedere că Computer Fraud and Abuse Act (CFAA) penalizează acțiunile care cauzează pierderi, cum ar fi preluarea de crypto din portofelul cuiva, chiar și cu intenții bune.
La o conferință organizată luna trecută de Chainalysis, Elizabeth Roper, directoare a biroului de infracțiuni cibernetice și furt de identitate din cadrul biroului procurorului districtual al New York, a zis că activitatea de white hatting se situează într-o zonă gri din punct de vedere legal.
„Eu cred că n-ar trebui să ne folosim resursele ca să condamnăm niște persoane care au salvat bani, dar depinde de la caz la caz”, a zis Roper.
LP e destul de calmă cu privire la ce face. A zis că de obicei proiectele crypto pe care le-a salvat erau relativ mici și nici nu aveau sediul în Statele Unite. Toate au fost recunoscătoare că le-a ajutat, chiar dacă le-a spart conturile.
„Nu cred că voi fi condamnată pe motiv că am luat înapoi niște fonduri și i-am salvat pe unii de la faliment”, a zis LP.
***
Cel mai probabil e ca hackerii white hat să fie răsplătiți pentru eforturile lor, chiar dacă nu cer asta de obicei.
„Dar se întâmplă să salvăm fondurile unei companii mari și atunci le mai cerem ceva în schimb”, a zis LP.
Bonassi a zis că recompensa standard e de zece la sută din banii recuperați. Dar a salvat fonduri și voluntar, fără să ceară nimic în schimb. Bonassi crede că, totuși, recompensele ar putea motiva hackerii white hat să găsească vulnerabilități și să le raporteze.
„Am început cu recompense de zece mii de dolari, apoi de o sută de mii. Acum avem recompense de un milion sau zece milioane de dolari. Probabil la anul o să fie sute de milioane. Pentru că diferența dintre Web3 și alte industrii e că, printr-un hack de câteva secunde, ai acces la cantități infinite de bani. Deci trebuie să facem industria asta cât mai sigură”, a zis el.