Whalesbook
DeFi-ஐ மிரட்டும் புது யுத்தி: கோடை விட்டு மனிதர்களை குறிவைக்கும் திருடர்கள்
பரபரப்பாக இயங்கும் DeFi (Decentralized Finance) உலகில், பாதுகாப்பு குறித்த புதிய அத்தியாயம் இப்போது எழுதப்பட்டுள்ளது. சமீபத்தில் Drift Protocol-ல் நடந்த $280 மில்லியன் மதிப்புள்ள சம்பவம், வெறும் டெக்னிக்கல் கோளாறுகளை தாண்டி, மனிதர்களின் நம்பிக்கையையும், சோஷியல் இன்ஜினியரிங் உத்திகளையும் தாக்குவதுதான் இனி டிரெண்ட் என்பதை தெளிவாக உணர்த்தியுள்ளது.
உளவுத்துறை போல செயல்படும் அரசு ஆதரவு குழுக்கள்
இந்த தாக்குதல், ஒரு சாதாரண ஹேக்கிங் இல்லை. ஆறு மாதங்களாக நடத்தப்பட்ட ஒரு நுட்பமான உளவுத்துறை நடவடிக்கை என்று விசாரணைகள் கூறுகின்றன. முக்கியமாக, வட கொரியா போன்ற அரசு ஆதரவு பெற்ற குழுக்கள் இதில் ஈடுபட்டிருக்கலாம் என சந்தேகிக்கப்படுகிறது. மனிதர்களுடன் உறவை வளர்த்து, மற்றவர்களை போல நடித்து, முக்கிய நபர்களை குறிவைத்து பணம் பறிக்கும் இந்த உத்தி, இனி 'Vulnerable People' அதாவது பலவீனமான மனிதர்களை தேடி தாக்கும் முறைக்கு மாறிவிட்டதை காட்டுகிறது.
'ஹேக்கிங்' இல்லை, 'உளவு நடவடிக்கை'
ENS Labs-ன் CISO ஆன Alexander Urbelis, இது போன்ற சம்பவங்களை 'ஹேக்' என்பதை விட 'உளவு நடவடிக்கை' என்று வகைப்படுத்துகிறார். மாநாடுகளில் நேரில் சந்திப்பது, நம்பிக்கை பெறுவதற்காக பெரிய தொகையை முதலீடு செய்வது போன்ற உளவு வேலைகளுக்கு இணையான நுட்பங்களை பயன்படுத்துவதாக அவர் குறிப்பிடுகிறார். இதன் பொருள், மிகச் சிறந்த ஆடிட் செய்யப்பட்ட புரோட்டோகாலும், அதன் முக்கிய டீம் உறுப்பினர்கள் ஏமாற்றப்பட்டால், பாதிக்கப்படலாம். SVRN-ன் COO David Schwed, இது பல மாதங்கள் திட்டமிடப்பட்ட, போலியான அடையாளங்களுடன், மனிதர்களை மையப்படுத்திய ஒரு செயல்பாடு என்கிறார். Drift Protocol exploit-ல் ஸ்மார்ட் கான்ட்ராக்ட் பக் ஏதும் இல்லை, மாறாக சோலானா கருவிகளின் மீது ஏற்பட்ட கட்டுப்பாடுதான் காரணம் என அவர் கூறுகிறார்.
DeFi-ன் பாதுகாப்பு பார்வையை மாற்ற வேண்டிய கட்டாயம்
பாரம்பரிய பாதுகாப்பு முறைகளான ஆடிட்கள், கோட் சோதனைகள் மட்டும் போதாது என்பதை DeFi புரோட்டோகால்கள் இப்போது உணர்ந்துள்ளன. Jupiter-ன் COO Kash Dhanda, தாக்குதல் நடத்துபவர்களுக்கு 'பல வழிகள் உள்ளன' என்றும், governance மற்றும் operational security (OpSec) ஆகியவை முக்கியம் என்றும் கூறுகிறார். Jupiter, மல்டிசிக் (multisigs), டைம்லாக் (timelocks) போன்றவற்றை மேம்படுத்தி, தங்கள் டீம் உறுப்பினர்களுக்கு OpSec பயிற்சிகளிலும் முதலீடு செய்துள்ளது. ஏனெனில், 'கோடை விட மனிதர்களே எளிதில் பாதிக்கப்படக்கூடியவர்கள்'. dYdX Labs-ன் COO David Gogel, டெவலப்பர்கள் சோஷியல் இன்ஜினியரிங்கிலிருந்து தற்காத்துக் கொள்ள வேண்டும் என்றாலும், தாக்குபவர்களின் திறமை அதிகமாகும்போது, ஆபத்தை முற்றிலுமாக தவிர்க்க முடியாது என்கிறார். இது, புரோட்டோகால்கள் மற்றும் மல்டிசிக் சிஸ்டம்கள் எப்படி இயங்குகின்றன என்பதை பயனர்களும் புரிந்துகொள்ள வேண்டிய அழுத்தத்தை ஏற்படுத்துகிறது.
நம்பிக்கையே இப்போது பலவீனமாகிவிட்டது
Jito Labs-ன் CEO Lucas Bruder, 'நம்பிக்கையே இப்போது ஒரு பலவீனமாகிவிட்டது' என்றும், ஆறு மாத ஏமாற்று வேலை ஒரு பெரிய திருட்டாக மாறியுள்ளது என்றும் நம்புகிறார். இந்த புதிய சிந்தனை, 'ஏற்கனவே சமரசம் செய்யப்பட்டதாகவே' (assume compromise) கணக்கிட்டு அமைப்புகளை வடிவமைக்க வேண்டும். இப்போது தாக்குதல் பரப்பு என்பது ஸ்மார்ட் கான்ட்ராக்ட்கள் மட்டுமல்ல, 'உங்கள் டீம், உங்கள் முக்கிய நபர்கள், அவர்கள் பயன்படுத்தும் ஒவ்வொரு சாதனமும்' ஆகும். 'நான் எப்படி ஏமாற்றப்படலாம்?' என்று கேட்பதும், பாதிக்கப்பட்ட நபர்களின் 'பாதிப்பின் அளவை' மதிப்பிடுவதும் இப்போது மிகவும் முக்கியம். DeFi-ன் பரவலாக்கப்பட்ட தன்மை மற்றும் வெளிப்படைத்தன்மை, இந்த வளர்ந்து வரும் அச்சுறுத்தல்களுக்கு சாதகமாக அமைகிறது. பலர் டெக்னிக்கல் பாதுகாப்பில் கவனம் செலுத்தினாலும், ஆபரேஷனல் பாதுகாப்பு, கவனமான பணியாளர் தேர்வு மற்றும் பாதுகாப்பான கீ மேனேஜ்மென்ட் மூலம் மனிதர்களைப் பாதுகாப்பது மிக அவசியம். வட கொரியாவின் UNC4736 போன்ற குழுக்கள், இது ஒரு நீண்ட கால மூலோபாய அச்சுறுத்தல் என்பதை காட்டுகிறது.