Optimism-pris

Den desentraliserte finanssektoren (DeFi)/kryptosektoren fortsetter å møte en massiv sikkerhetskrise, med hackere som tapper milliarder fra protokoller i en alarmerende hastighet. Bare i første halvdel av 2025 nådde kryptoutnyttelser 2,1 milliarder dollar, noe som nesten matchet alle 2024s totale tap og satte bransjen på sporet til å knuse tidligere årsrekorder. Men midt i dette kaoset dukker det opp en annen fortelling. Bug bounty-programmer beviser at insentiver til etiske hackere fundamentalt kan endre økonomien i cybersikkerhet, noe som gjør forsvar mer lønnsomt enn angrep. Konseptet er enkelt, men revolusjonerende; I stedet for å vente på at ondsinnede aktører skal utnytte sårbarheter, betaler protokoller white hat-hackere for å finne og rapportere feil først. Kilde: TRM Labs Forsvarsrevolusjonen på 25 milliarder dollar DeFi-protokoller tapte over 1.4 milliarder dollar på grunn av hacks i 2024, med store hendelser inkludert DMM-utnyttelsen på 300 millioner dollar og WazirX-bruddet på 230 millioner dollar. Den største så langt skjedde med Bybit tidligere i år, hvor 1,4 milliarder dollar ble utslettet totalt. Hackens 2024-rapport viser imidlertid en nedgang på 40 % i DeFi-tap sammenlignet med 2023, hovedsakelig tilskrevet forbedrede sikkerhetstiltak, inkludert mer robuste bug bounty-programmer. Kilde: Hacken Effektiviteten av denne tilnærmingen ble dramatisk demonstrert da protokoller forhindret massive tap gjennom strategiske utbetalinger. Den største programvaredusøren i historien, 10 millioner dollar betalt av Wormhole for en kritisk brosårbarhet, forhindret sannsynligvis milliarder i potensielle skader. Immunefi, den ledende Web3-bug bounty-plattformen, sitter i sentrum av denne transformasjonen. Selskapet har lagt til rette for over 120 millioner dollar i dusørutbetalinger samtidig som de hevder å forhindre mer enn 25 milliarder dollar i potensielle hacks på tvers av 500+ protokoller. Vi snakket med Mitchell Amador, grunnlegger og administrerende direktør i Immunefi, om hvordan bug bounties gjør krypto sikrere, hvorfor tradisjonelle sikkerhetstilnærminger mislykkes i Web3s åpen kildekode-miljø, og hva fremtiden bringer for denne kritiske forsvarslinjen mot stadig mer sofistikerte trusler. Her er hva han mener: Snu økonomien i cybersikkerhet Cryptonews: Du har fundamentalt snudd økonomien i cybersikkerhet ved å gjøre forsvar mer lønnsomt enn angrep. Kan du lede oss gjennom et spesifikt tilfelle der dette forhindret en stor utnyttelse, og hva den tradisjonelle sikkerhetstilnærmingen ville ha gått glipp av? Mitchell Amador: «I 2022 rapporterte en whitehat en kritisk feil i Wormhole-kjernebrokontrakten på Ethereum. Denne feilen var en oppgraderbar proxy-implementering selvdestruksjonsfeil som kunne ha ført til en potensiell låsing av brukermidler. De avslørte det via Wormholes bug bounty-program, arrangert av Immunefi, og vi la til rette for en utbetaling på 10 millioner dollar uten tapte brukermidler. Dette er den største programvaredusøren noensinne – en livsendrende sum penger som fungerer som et insentiv for hackere til å avsløre sårbarheter på en ansvarlig måte i stedet for å utnytte dem. Det er en liten pris å betale når du sammenligner det med milliarder av midler som kunne ha gått tapt hvis en blackhat fant feilen. Tradisjonelle revisjoner, statiske og før lansering, savner sårbarheter etter distribusjon i dynamiske DeFi-systemer. Våre kontinuerlige bug bounties etterligner blackhat-taktikk etisk, og fanger opp hva revisjoner ikke gjør eller ikke kan.» CN: Med 25 milliarder dollar i potensielle hacking forhindret, hva er den største enkeltsårbarheten plattformen din har fanget, og hva ville ringvirkningene ha vært hvis den hadde blitt utnyttet? Amador: «Den nevnte 10 millioner dollar ormehullsårbarheten var vår største. Det kunne ha muliggjort milliarder i tyveri på tvers av kjeder, krasjet brukernes eiendeler, erodert tilliten til broer, falt tokenprisene og bremset DeFi-adopsjonen. Vår dusør sørget for at en raskt ble utplassert for å bevare økosystemets stabilitet." Den systemiske effekten ville ha vært ødeleggende utover bare det umiddelbare økonomiske tapet. Wormhole behandler milliarder i transaksjoner på tvers av kjeder og fungerer som kritisk infrastruktur som forbinder store blokkjeder som Ethereum, Solana og BSC. En vellykket utnyttelse kunne ha utløst en kaskade av likvidasjoner på tvers av DeFi-protokoller som er avhengige av eiendeler på tvers av kjeder, og potensielt destabilisere hele økosystemet. Web3s unike sikkerhetsutfordringer CN: Du nevnte at tradisjonell cybersikkerhet svikter i Web3s åpen kildekode-verden. Hva er de 2-3 mest kritiske blindsonene som bedriftssikkerhetsteam har når de prøver å sikre DeFi-protokoller? Amador: Statiske revisjoner: Bedrifter er avhengige av engangssjekker, og mangler feil etter lansering i utviklingen av smarte kontrakter. Ignorerer insentiver: De undervurderer Web3s angrepsappell med åpen hovedbok, og trenger dusører for å overby svarte hatter. Ingen Web3-ekspertise: Mange team mangler tidligere blokkjedekunnskap, manglende komponerbarhet eller orakelrisiko. Komposisjonsaspektet er spesielt kritisk og ofte oversett. I tradisjonell finans er systemer stort sett siloer, men DeFi-protokoller er designet for å samhandle med hverandre som legoklosser. Dette skaper eksponentiell kompleksitet der en sårbarhet i en protokoll kan fosse gjennom et helt økosystem. Nylige data fra Halborns analyse viser at angrep utenfor kjeden utgjorde 80,5 % av stjålne midler i 2024. Likevel fokuserer mange sikkerhetsteam fortsatt først og fremst på smart kontraktskode i stedet for den bredere angrepsflaten. Insentivfeiljusteringen er like problematisk. Tradisjonell bedriftssikkerhet forutsetter at angripere er opportunistiske og begrensede i ressurser. I DeFi betyr blokkjedens gjennomsiktige natur at angripere kan se nøyaktig hvor mye verdi som står på spill, og den pseudonyme naturen betyr at det er færre konsekvenser for mislykkede forsøk. CN: Hvilke sikkerhetstiltak implementerer ikke store stablecoins som holder deg våken om natten, og hvorfor tar de ikke i bruk disse tiltakene? Amador: "Stablecoins hopper ofte over kontinuerlig overvåking og robuste dusører. De er avhengige av engangsrevisjoner, risikerer systemiske utnyttelser, og tilbyr lave utbetalinger som ikke tiltrekker seg topp hvite hatter. Kostnadsbekymringer, raskt distribusjonsfokus og undervurdering av angrepsinsentiver er hovedfaktorene som bidrar til dette gapet.» Dette er spesielt bekymringsfullt gitt stablecoins massive vekst i adopsjon de siste månedene. Et vellykket angrep på en stor stablecoin vil ikke bare påvirke den protokollen; det ville true stabiliteten til hele økosystemet. Ironien er at stablecoin-utstedere ofte har ressurser til å implementere omfattende sikkerhetstiltak, men velger å ikke investere tilstrekkelig fordi de ser på sikkerhet som et kostnadssenter i stedet for kritisk infrastruktur. Den menneskelige siden av hackerforhandlinger CN: Når du personlig forhandler med hackere som har funnet kritiske sårbarheter, hvordan er den samtalen egentlig? Hvordan balanserer du hastverk med å bygge tillit? Amador: «Å stole på en hackers endring er ikke en levedyktig strategi for protokollsikkerhet. De fleste hackere i dag innser at det å beholde stjålet krypto er mer trøbbel enn det er verdt. Og det er på grunn av bedre etterforskning på kjeden og de svært reelle omdømmemessige og juridiske risikoene ved å holde markedsfond. Det er langt lettere for en angriper å forhandle stille og gå videre, i stedet for å kjempe mot konstant gransking eller bli fokus for rettshåndhevelse. Men gjør ingen feil, dette er ikke et typisk utfall.» Realiteten er at forhandlinger etter utnyttelse er en siste utvei, ikke en sikkerhetsstrategi. Det DeFi kan trenge er et system der de dyktigste sikkerhetsforskerne aldri blir angripere i utgangspunktet fordi de har sett etisk avsløring mer økonomisk attraktivt enn utnyttelse. Talentmigrering og sikkerhetsutvikling CN: Du ser toppsikkerhetstalenter forlate tradisjonell teknologi for krypto. Hva driver denne utvandringen, og hvordan endrer den ferdighetsprofilen til sikkerhetseksperter? Amador: «Talenter beveger seg på jakt etter tillit og åpenhet som ligger i Web3-systemer, økonomiske insentiver (som våre 10 millioner dollar for Wormhole) og fellesskapsanerkjennelse. Sikkerhetstalenter er desentraliserte, blokkjedekyndige og økonomisk anlagte, og danner samarbeidende "svermer" i motsetning til Web2s siloroller." De økonomiske insentivene er virkelig transformative for sikkerhetsforskere. Google betalte ut 11.8 millioner dollar fordelt på 660 forskere i 2024 gjennom deres bug bounty-programmer, men det blekner i forhold til hva topp Web3-forskere kan tjene. Individuelle utbetalinger i krypto kan nå seks eller syv sifre for kritiske sårbarheter, sammenlignet med tradisjonelle bug bounties som vanligvis maks på titusener. CN: Kan du forklare «sikkerhetssvermer» og hvordan automatiserte forsvarsnettverk kan endre katt-og-mus-leken mellom angripere og forsvarere? Amador: «Security Swarm er automatiseringsmotoren i Immunefis Magnus-plattform, som driver SecOps-automatiseringer som autonomt oppdager og reduserer trusler, samtidig som de minimerer overhead og overvåker infrastruktur 24/7. Tradisjonelt har angripere fordelen av hastighet. De kan slå til på sekunder, mens menneskelige forsvarere trenger minutter eller timer for å koordinere en respons. Med automatisering kan deteksjon og avbøtende tiltak skje nesten umiddelbart, noe som reduserer angrepsvinduet fra timer til sekunder, og forskyver balansen mot forsvarere.» Hastighetsfordelen har alltid favorisert angripere i DeFi fordi transaksjoner er irreversible og skjer med hastigheten til blokkjeden. Et vellykket flash-låneangrep kan tømme en protokoll i en enkelt transaksjon som tar 12 sekunder å bekrefte. Tradisjonelle tidslinjer for hendelsesrespons, målt i timer eller dager, er utilstrekkelige for denne trusselmodellen. Automatiserte forsvarssystemer, som det som ble utgitt av TRMLabs i går, kan oppdage unormal oppførsel og utløse strømbrytere raskere enn noe menneskelig responsteam. Nye trusler og juridiske rammer CN: Når vi ser på protokollene du beskytter, hva er en ny angrepsvektor som de fleste ikke snakker om ennå, men som bør forberede seg på? Amador: «Orakelmanipulasjon er lite diskutert. Angripere kan utnytte svake datastrømmer for å lure kontrakter, tappe midler eller destabilisere stablecoins. Protokoller trenger multi-orakel-redundans og målrettede dusører, men mange overser dette kritiske feilpunktet.» Orakelmanipulasjonsangrep utnytter en grunnleggende svakhet i hvordan DeFi-protokoller mottar eksterne data. Orakler er tredjepartstjenester som mater informasjon fra den virkelige verden, som aktivapriser, værdata eller sportsresultater, inn i smarte kontrakter som ikke har direkte tilgang til disse dataene. I krypto er prisorakler kritiske fordi de forteller DeFi-protokoller hva Bitcoin, Ethereum eller andre tokens er verdt til enhver tid, noe som muliggjør alt fra utlånsberegninger til automatisert handel. Angripere utnytter denne avhengigheten ved å manipulere dataene orakler leverer. De kan kunstig blåse opp eller tømme aktivapriser gjennom store handler på børser med lav likviditet som orakler refererer til, eller kompromittere selve orakelinfrastrukturen. Når en protokoll mottar falske prisdata, kan den lures til handlinger som å godkjenne lån mot verdiløs sikkerhet eller utføre handler til manipulerte priser. Disse angrepene er spesielt ødeleggende fordi de retter seg mot protokollens "syn" på virkeligheten i stedet for selve koden, noe som gjør dem vanskeligere å oppdage og forhindre gjennom tradisjonelle sikkerhetsrevisjoner. CN: Ditt nye juridisk bindende voldgiftssystem for sikkerhetstvister er fascinerende. Hvordan fungerer dette når kodesårbarheter blir folkerettslige spørsmål, og hvilke presedenser setter du? Amador: «Vår voldgift på kjeden løser tvister på en åpen måte, og megler i alvorlighetsgrad eller utbetalingskonflikter. Det er juridisk bindende, unngår trege domstoler og fungerer globalt via smarte kontrakter. Vi setter presedens for rettferdig, desentralisert tvisteløsning, som gjelder for ethvert åpen kildekode-økosystem.» Etikk og fremtidig evolusjon CN: Med over 180 milliarder dollar i digitale eiendeler under beskyttelse på tvers av 500+ protokoller, hvordan påvirker modellen din hvordan andre bransjer tenker på å stimulere til sikkerhetsforskning? Amador: «Våre over 120 millioner dollar i utbetalinger beviser at økonomiske insentiver fungerer. Finans og helsevesen tar også i bruk crowdsourced sikkerhet, inspirert av vår voldgift og proaktive modell, og behandler sikkerhet som infrastruktur i stedet for en kostnad.» CN: Fem år fra nå, hvordan ser du for deg at forholdet mellom hackere, selskaper og sikkerhet utvikler seg utover bare bug bounties? Amador: «Bedrifter vil prioritere økonomiske insentiver, og samarbeide med hackere som partnere. Voldgift på kjeden vil sette styringsnormer, noe som gjør sikkerheten kontinuerlig og samarbeidende på tvers av bransjer.» Ser vi fremover, beveger fremtiden seg mot en modell der sikkerhetsforskere blir integrerte partnere i utviklingsprosessen i stedet for eksterne revisorer. Denne samarbeidstilnærmingen vil muliggjøre riktige økonomiske insentiver og transparente styringsmekanismer, og kan til slutt bli standarden for enhver kryptoorganisasjon som ønsker å sikre plattformen sin. Mitchell Amador er grunnlegger og administrerende direktør i Immunefi, en sikkerhetsplattform på kjeden, som jobber med protokoller som Chainlink, Ethereum Foundation, Optimism og Arbitrum.