Павел Анохин: «В блокчейне одной ошибки достаточно, чтобы потерять все активы пользователей»

15.07.23, Сб, 15:28, Мск,

Эксперт по блокчейн рассказал, как современной компании обеспечить себе достойную кибербезопасность.

Общая стоимость криптовалют, потерянных международными финансовыми ИТ-проектами в результате киберпреступлений, составила 656 миллионов долларов только за первую половину 2023 года. Об этом говорят данные профильной компании Beosin. Большая часть украденной криптовалюты была потеряна из-за уязвимостей приложений, сервисов и смарт-контрактов. Чтобы защитить финансы от таких взломов, компании обращаются к экспертам за аудитом своих проектов. Мы поговорили с Павлом Анохиным, экспертом в области кибербезопасности, к которому обращаются крупные компании со всего мира, о том, почему уязвимости в современных ИТ-проектах обходятся так дорого своим создателям.

Павел, Ваша репутация высококлассного специалиста уже работает на Вас: компании в области крипто-финансов сами обращаются к Вам за помощью. Первым подобным кейсом у Вас был проект TeaHouse Finance, децентрализованной платформы для управления активами. Помните, как началось Ваше сотрудничество?

Павел Анохин: Конечно. У меня на тот момент уже были награды в соревнованиях аудиторов code4rena, найденные критические ошибки в топовых проектах. Одна из руководителей TeaHouse Finance вместе со мной активно участвовала в помощи сообществу Perpetual Protocol, и таким образом узнала о моих способностях. В том числе она знала о помощи в поиске и исправлении серьезной ошибки, предотвратившей потенциальные потери больше чем в десять миллионов долларов. TeaHouse Finance в тот момент выпустили свой проект в закрытое бета-тестирование и искали для него аудиторов.

Расскажите о TeaHouse Finance — что это за проект? Как строилась Ваша работа с ними?

Павел Анохин: TeaHouse Finance — это компания, которая занимается разработкой различных децентрализованных приложений. Их основной продукт — это Teahouse Vaults — инфраструктура для автоматизированного управления крупным капиталом на блокчейне. Благодаря их продукту менеджеры, которые управляют капиталом на блокчейне, могут открывать набор средств под управление, а инвесторы могут выбирать между разными менеджерами, вкладывая средства под их управление. Менеджерами могут быть как люди, так и программы.

TeaHouse Finance обратились ко мне с необходимостью провести аудит безопасности этой инфраструктуры на предмет возможных уязвимостей и злоупотреблений как со стороны менеджеров, так и со стороны клиентов.

Для подобных финансовых платформ любая ошибка может обернуться огромными потерями. Что выявил Ваш аудит?

Павел Анохин: Было найдено несколько небольших ошибок, которые не приводили к критическим результатам, однако потенциально могли привести к серьезным проблемам при будущих обновлениях инфраструктуры. Команда оперативно устранила эти недочеты. Также я предоставил свои соображения по возможному улучшению проекта. Команда была благодарна за подробный отчет и за мои усилия по улучшению их продукта.

Вашу работу высоко ценит профессиональное сообщество. В 2021 году Вас пригласили выступить экспертом на Best Business Awards — международной премии, которая ежегодно отмечает самых заметных стартаперов и опытных бизнесменов. В чем была Ваша миссия как эксперта?

Павел Анохин: Цель премии — популяризовать малый, средний и крупный бизнес, а также укрепить сотрудничество между предпринимателями и бизнес-специалистами из разных стран.

В мою задачу, как члена жюри, входила оценка эссе участников об их достижениях и проверка фактов, указанных в эссе. Было очень интересно погрузиться в бизнес-деятельность, узнать тонкости совершенно разных бизнесов. Меня всегда вдохновляли истории успешных бизнесов, а истории более чем сотни участников, которые я прочитал, все как на подбор — истории успеха. Было довольно сложно выбрать лучших из них. Достойных было много, но тем по итогам моей работы определились два победителя: Денис Кутергин как «Создатель лучшего ИТ-сервиса» и Максим Михеенко как «Лучший предприниматель в сфере компьютерной графики».

С компьютерной графикой Вы и сами успели поработать, ведь начали свой путь в ИТ как раз с создания видеоигр, и весьма успешно. Ваш проект Idle Bouncer был среди лидеров в рейтинге сайта независимых игр Kongregate.com. Как эта игра появилась, и чем, на Ваш взгляд, взяла экспертов?

Павел Анохин: Вообще она появилась как мой личный эксперимент, разминка. Когда я занимался другой игрой в этом же жанре, уже запустив закрытое бета-тестирование перед выпуском, я просто для интереса решил написать простенькую idle-игру: Idle Bouncer. В этой игре я попробовал применить инновационные механики: более сложный и интересный процесс развития по сравнению со всеми существующими играми в жанре idle, ну и необычную визуальную составляющую — прыгающие мячики. Игра была написана буквально за два дня и тут же выпущена, без особых ожиданий результатов.

Хотелось посмотреть на комментарии от игроков idle-игр, чтобы учесть их и может быть что-то поменять в другом проекте. Игра была выпущена вечером, а на утро следующего дня меня ожидали уже сотни восторженных комментариев, высокие рейтинги, тысячи активных игроков.

И внимание журналистов?

Павел Анохин: Да. Пришлось срочно поставить на паузу предыдущий проект и заняться Idle Bouncer: прочитать все комментарии игроков, предложения по развитию игры, найденные ошибки. Игрокам очень понравилось, что игра меняется и развивается в соответствии с их пожеланиями — это привлекло еще больше игроков. Благодаря этой популярности проект как раз и заметили профильные медиа и журналисты.

С легкой руки Вы создали игру, которая повлияла на весь жанр. Её ведь даже копировать пытались, верно?

Павел Анохин: Да, постепенно начали появляться клоны — уже когда игра существенно усложнилась, добавилось больше стратегии, что позволило увеличить удержание игроков: они стали чаще возвращаться в игру и тратить на неё больше времени и денег. А позже механики из Idle Bouncer стали внедрять новые проекты, что повышало удержание игроков для всего жанра. Совершенно неожиданно для меня моя игра действительно повлияла на весь жанр Idle, задав тренд на усложнение.

В Вашу игру сыграли больше двух миллионов раз, сейчас у неё тысячи позитивных комментариев и высокие рейтинги на платформе Steam и игровом сайте Kongregate, где просто безумная конкуренция, потому что разместить свой проект может любой разработчик. Это как-то отразилось на популярности игры?

Павел Анохин: Платформа Kongregate была одним из топовых сайтов по количеству онлайн-игроков, во многом благодаря открытой политике по отношению к разработчикам и регулярным конкурсам на лучшую игру. Победители определялись по наивысшей средней оценке, а оценивали игры сами игроки. В день на Kongregate выпускалось по 100 и больше игр, поэтому конкуренция действительно была очень сильная. Надо добавить, что множество других веб-сайтов с онлайн-играми часто размещают у себя всех победителей конкурсов на лучшую игру с сайта Kongregate, поэтому благодаря победе в этих конкурсах Idle Bouncer получил еще больший приток игроков и разошелся по всему интернету.

Как Вы считаете, разработка видеоигр пригодилась Вам в работе с поиском уязвимостей в разных приложениях и сервисах?

Павел Анохин: Общий опыт программирования точно помогает с поиском уязвимостей, а разработка игр в этом смысле — это углубление опыта программирования и в том числе поиска ошибок.

Вернёмся как раз к аудиту. Один из наиболее заметных кейсов — работа с известным ИТ-проектом Frax. Критическая ошибка, которую Вы нашли, предотвратила потерю средств всех клиентов компании — более двух с половиной миллионов долларов. Чем Вас привлек проект Frax? Чем он отличается от похожих проектов?

Павел Анохин: Я регулярно изучаю разные крипто-проекты и проверяю код понравившихся проектов на безопасность. Frax Finance привлек своей интересной реализацией привязки к доллару.

В одном из модулей Frax Finance — Frax Swap, децентрализованный обмен криптовалют, я нашёл критическую ошибку, из-за которой больше двух с половиной миллионов долларов могли заблокироваться в платформе без возможности их вернуть, то есть потеряны навсегда. Эту ошибку я нашел несмотря на то, что модули Frax Finance прошли аудит у пяти различных очень известных и уважаемых аудиторов.

Я связался с командой разработчиков Frax Finance, переслал им отчет о найденной уязвимости, который они быстро подтвердили, тут же остановили этот модуль, чтобы избежать потерь активов. Исправление затянулось на несколько недель, в течение которых я активно взаимодействовал с командой, давал советы по исправлению.

Чем подобный аудит важен для компаний? Дайте несколько советов, как бизнесу обеспечить достойную информационную, финансовую и блокчейн-безопасность.

Павел Анохин: В блокчейне безопасность критически важна: одной ошибки достаточно, чтобы потерять все активы пользователей. Поэтому мер по безопасности в блокчейне мало не бывает. Для этого они должны предприниматься на многих этапах разработки.

Еще до начала разработки обязательно нужно удостовериться в отсутствии экономических уязвимостей. Во время разработки нужно придерживаться стандартов безопасного программирования. После завершения разработки — обязательно прохождение аудита независимым аудитором, в идеале — нескольких аудиторов. Хорошо для этого подходит проведение соревнования среди аудиторов, что дает возможность мозгового штурма сотен лучших аудиторов, позволяя найти огромное количество потенциальных проблем.

Любое обновление приложения должно проходить аудит безопасности до его выпуска. Известен не один случай, когда в приложение, которое уже прошло аудит безопасности, добавлялась всего одна строчка кода, и приложение выпускалось без аудита, но именно эта одна строчка создавала уязвимость и приводила к катастрофическим потерям.

После выпуска приложения обязательно нужно иметь программу выплаты за найденные ошибки в уже работающем приложении, чтобы стимулировать специалистов по безопасности искать ошибки, а хакерам давать стимул получить честную награду, а не использовать ошибки для обогащения нечестным методом.

Автор: Михаил Артемьев