В этом интервью с Дмитрием Матвиивом, CEO HackenProof, рассматриваются ключевые проблемы кибербезопасности, с которыми сегодня сталкивается криптовалютная индустрия. Он объясняет, как аудиты безопасности и программы Bug Bounty помогают проектам выявлять уязвимости раньше злоумышленников, а также рассказывает о растущей роли искусственного интеллекта как в киберзащите, так и в киберпреступности.
Дмитрий также анализирует наиболее распространённые причины взломов криптовалютных проектов, подчёркивая важность диверсификации активов, безопасного управления криптокошельками и повышения прозрачности со стороны разработчиков блокчейн-проектов. Беседа содержит практические рекомендации о том, как криптоиндустрия может повысить уровень безопасности и укрепить доверие массовых пользователей.
Путь к этичному хакингу и миссия HackenProof
Данило: Дмитрий, как вы объясняете друзьям, чем занимаетесь, не используя сложных слов?
Дмитрий Матвиив: Мы помогаем компаниям обнаруживать собственные проблемы безопасности раньше, чем это сделают преступники. Мы управляем глобальным сообществом этичных хакеров, которые ищут уязвимости, сообщают о них и получают вознаграждение за свои находки, чтобы компания могла устранить проблему до того, как кто-либо пострадает.
Данило: У вас серьёзный опыт в криптографии и инфраструктуре открытых ключей (PKI). Как вы пришли в эту сферу?
Дмитрий Матвиив: Я занимаюсь кибербезопасностью уже 15 лет и даже работал над докторской диссертацией в области информационной безопасности на государственном уровне. До прихода в криптоиндустрию я занимался сквозным шифрованием и соблюдением требований GDPR. В 2020 году я осознал, что в сфере криптовалют существует огромный пробел в безопасности, поскольку многие команды уделяли больше внимания запуску токенов и привлечению инвестиций, чем защите своих пользователей. Я присоединился к HackenProof, чтобы помочь этим проектам обеспечить собственную безопасность.
Аудит безопасности или Bug Bounty: почему криптопроектам нужны оба инструмента
Данило: Можете объяснить разницу между стандартным аудитом безопасности и программой Bug Bounty?
Дмитрий Матвиив: Аудит обычно представляет собой проверку кода конкретной командой в течение 2–4 недель, после которой выпускается итоговый отчёт. Программа Bug Bounty не имеет ограниченного срока действия: она работает непрерывно и доступна исследователям со всего мира 24/7, позволяя им отправлять отчёты об обнаруженных уязвимостях. В то время как команда аудиторов проверяет всё с нуля, участники Bug Bounty сосредоточиваются на своих специализированных областях, таких как оптимизация gas или бизнес-логика, где вероятность обнаружения уязвимости наиболее высока.
Данило: Насколько велико сообщество, участвующее в этих программах?
Дмитрий Матвиив: Глобальное сообщество HackenProof насчитывает более 70 000 зарегистрированных белых хакеров. У нас также есть специальная команда триажа из 10 инженеров по безопасности, которые проверяют поступающие отчёты и подтверждают их достоверность, прежде чем передавать информацию проектам.
Цена недостаточной безопасности: вознаграждения и статистика уязвимостей
Данило: Сколько проекты на самом деле платят за обнаружение таких уязвимостей?
Дмитрий Матвиив: Это зависит от потенциального размера потерь. Небольшие проекты могут выплачивать от $5 тыс. до $50 тыс., а крупные фонды, такие как Near или Sui, платят миллионы. Например, Near уже выплатил через нашу платформу более $3 млн. И ещё один факт: в январе один исследователь заработал $1 млн за обнаружение критической уязвимости.
Анатомия взлома криптопроектов: от смарт-контрактов до звонков в Zoom
Данило: Как именно происходят такие взломы?
Дмитрий Матвиив: Существует несколько основных векторов атак:
- Ошибки в смарт-контрактах: логические ошибки, позволяющие злоумышленникам вывести средства.
- Компрометация приватных ключей: злоумышленники получают доступ к ключам, контролирующим казначейство проекта.
- Уязвимости блокчейн-мостов: кроссчейн-мосты имеют сложную архитектуру и хранят огромные объёмы капитала, поэтому становятся приоритетными целями для атак.
- Фишинг и социальная инженерия: один из наиболее распространённых способов атак.
Дмитрий Матвиив: Только за последний год меня лично пытались атаковать шесть раз. Хакеры часто взламывают Telegram-аккаунт человека, которому вы доверяете, и приглашают вас на звонок в Zoom или Google Meet. Тревожным сигналом нередко становится отсутствие ссылки в календарном приглашении: злоумышленники отправляют вредоносную ссылку непосредственно перед звонком, чтобы попытаться получить доступ к вашей системе.
Роль искусственного интеллекта в кибербезопасности: обоюдоострый меч
Данило: Является ли искусственный интеллект следующим этапом развития безопасности и кому он помогает больше — злоумышленникам или защитникам?
Дмитрий Матвиив: Искусственный интеллект обучается на наборах данных. HackenProof использует базу из более чем 60 000 отчётов об уязвимостях для обучения моделей, которые теперь способны проверить 100 отчётов за один час — раньше на выполнение такой задачи двум специалистам требовалось две недели. Однако злоумышленники также используют AI, чтобы учиться на своих ошибках и быстрее находить слабые места.
Данило: Кто победит в этой гонке?
Дмитрий Матвиив: Защитники исторически действуют медленнее, поскольку им необходимо защитить всё, тогда как злоумышленнику достаточно найти всего одну уязвимость. Победит тот, кто создаст более эффективное решение для кибербезопасности на основе AI и интегрирует его в процесс разработки с самого первого дня.
Массовое внедрение криптовалют и безопасность пользователей
Данило: Что должно измениться, чтобы обычные пользователи чувствовали себя в безопасности при использовании криптовалют?
Дмитрий Матвиив: Сейчас криптовалютные продукты разрабатываются преимущественно для инженеров, а не для обычных пользователей, и это является главным препятствием для массового внедрения. Нам необходим подход Security-First Product Design — разработка продуктов с приоритетом безопасности. Безопасность должна быть функцией по умолчанию, а не настройкой, которую добавляют позднее. Кроме того, необходима прозрачность: если проект прошёл аудит безопасности или запустил программу Bug Bounty, эта информация, а также соблюдение установленных сроков реагирования (SLA), должны быть доступны для проверки каждому пользователю.
Данило: Какова ваша личная стратегия безопасности?
Дмитрий Матвиив: Я ежедневно использую криптовалюту для оплаты продуктов и других покупок через Trustee Plus, но придерживаюсь принципа диверсификации. Я никогда не храню все свои средства в одном месте или на одной бирже. Моя «тройка лидеров» для долгосрочного хранения — Bitcoin, Ethereum и Sui.
Итоговые рекомендации по безопасности криптовалют: спрашивайте, проверяйте, диверсифицируйте
Данило: В завершение разговора: какие главные рекомендации вы можете дать нашим зрителям?
Дмитрий Матвиив: Во-первых, если вы пользуетесь каким-либо проектом, спрашивайте его представителей о безопасности. Если проект не проходил аудит, спросите, когда он планирует его провести. Во-вторых, перепроверяйте всё: не доверяйте слепо искусственному интеллекту или автоматическим сообщениям — если у вас есть сомнения, уточните информацию у друзей или экспертов. И наконец, диверсифицируйте свои активы. Это всё равно что не покупать 10 квартир в одном и том же здании — распределяйте риски.
Материалы, рекомендованные Дмитрием Матвиивом:
- Книги: Tracers in the Dark Энди Гринберга — о том, как блокчейн помогает отслеживать преступников, и The Infinite Machine — история Ethereum.
- Сериалы и фильмы: Mr. Robot — лучший сериал о хакинге с точки зрения технической достоверности, а также документальный фильм Zero Days.
Данило: Спасибо, Дмитрий. Криптовалюта сама по себе не является хорошей или плохой — всё зависит от того, как мы её используем. Спрашивайте. Проверяйте. Диверсифицируйте.
