У цьому інтерв’ю з Дмитром Матвіївим, CEO HackenProof, розглядаються ключові виклики кібербезпеки, з якими сьогодні стикається криптовалютна індустрія. Він пояснює, як аудити безпеки та програми Bug Bounty допомагають проєктам виявляти вразливості раніше за зловмисників, а також розповідає про дедалі важливішу роль штучного інтелекту як у кіберзахисті, так і в кіберзлочинності.
Дмитро також аналізує найпоширеніші причини зламів криптовалютних проєктів, наголошуючи на важливості диверсифікації активів, безпечного управління криптогаманцями та більшої прозорості з боку розробників блокчейн-проєктів. Розмова містить практичні висновки про те, як індустрія може підвищити рівень безпеки та зміцнити довіру масових користувачів.
Шлях до етичного хакінгу та місія HackenProof
Данило: Дмитре, як ви пояснюєте друзям, чим займаєтеся, не використовуючи складних слів?
Дмитро Матвіїв: Ми допомагаємо компаніям виявити власні проблеми з безпекою раніше, ніж це зроблять злочинці. Ми керуємо глобальною спільнотою етичних хакерів, які шукають вразливості, повідомляють про них і отримують винагороду за свої знахідки, щоб компанія могла усунути проблему до того, як хтось постраждає.
Данило: Ви маєте глибокий досвід у криптографії та інфраструктурі відкритих ключів (PKI). Як ви прийшли в цю сферу?
Дмитро Матвіїв: Я працюю у сфері кібербезпеки вже 15 років і навіть здобував ступінь PhD з інформаційної безпеки на державному рівні. До приходу в криптоіндустрію я працював із наскрізним шифруванням і відповідністю вимогам GDPR. У 2020 році я усвідомив, що у сфері криптовалют існує величезна прогалина в безпеці, оскільки багато команд більше дбали про запуск токенів і залучення інвестицій, ніж про захист своїх користувачів. Я приєднався до HackenProof, щоб допомогти цим проєктам захистити себе.
Аудит безпеки та Bug Bounty: чому потрібні обидва інструменти
Данило: Чи можете ви пояснити різницю між стандартним аудитом безпеки та програмою Bug Bounty?
Дмитро Матвіїв: Аудит зазвичай являє собою перевірку коду конкретною командою протягом 2–4 тижнів, після якої вона надає підсумковий звіт. Програма Bug Bounty не має обмеженого строку: вона працює безперервно й доступна 24/7 дослідникам з усього світу, які можуть надсилати звіти. Поки команда аудиторів перевіряє все з нуля, учасники Bug Bounty зосереджуються на конкретних сферах своєї експертизи, наприклад оптимізації gas або бізнес-логіці, де вони з найбільшою ймовірністю можуть знайти вразливість.
Данило: Наскільки велика спільнота, залучена до цих програм?
Дмитро Матвіїв: HackenProof має глобальну спільноту з понад 70 000 зареєстрованих білих хакерів. У нас також є окрема команда тріажу з 10 інженерів із безпеки, які перевіряють отримані звіти, щоб переконатися в їхній достовірності, перш ніж передавати їх проєктам.
Ціна недостатньої безпеки: винагороди та статистика вразливостей
Данило: Скільки проєкти насправді платять за виявлення таких вразливостей?
Дмитро Матвіїв: Це залежить від потенційного розміру збитків. Невеликі проєкти можуть виплачувати від $5 тис. до $50 тис., а великі фонди, такі як Near або Sui, платять мільйони. Наприклад, Near уже виплатив через нашу платформу понад $3 млн. І ще один факт: у січні один дослідник заробив $1 млн за виявлення критичної вразливості.
Анатомія злому: від смарт-контрактів до дзвінків у Zoom
Данило: Як саме відбуваються такі злами?
Дмитро Матвіїв: Існує кілька основних векторів атак:
- Помилки у смарт-контрактах: логічні помилки, які дозволяють зловмисникам виводити кошти.
- Компрометація приватних ключів: зловмисники отримують доступ до ключів, які контролюють казначейство.
- Вразливості блокчейн-мостів: кросчейн-мости мають складну архітектуру та зберігають величезні обсяги капіталу, тому стають пріоритетними цілями.
- Фішинг і соціальна інженерія: це дуже поширений вектор атак.
Дмитро Матвіїв: Лише за останній рік мене особисто намагалися атакувати шість разів. Хакери часто зламують Telegram-акаунт людини, якій ви довіряєте, і запрошують вас на дзвінок у Zoom або Google Meet. Тривожним сигналом часто стає відсутність посилання в календарному запрошенні: зловмисники надсилають шкідливе посилання безпосередньо перед дзвінком, щоб спробувати отримати доступ до вашої системи.
Роль AI: двосічний меч
Данило: Чи є AI наступним етапом розвитку безпеки та кому він допомагає більше — зловмисникам чи захисникам?
Дмитро Матвіїв: AI навчається на наборах даних. HackenProof використовує набір із понад 60 000 звітів про вразливості для навчання моделей, які тепер здатні перевірити 100 звітів за одну годину — раніше для виконання такого завдання двом людям було потрібно два тижні. Однак зловмисники також використовують AI, щоб навчатися на власних помилках і швидше знаходити слабкі місця.
Данило: Хто переможе в цій гонці?
Дмитро Матвіїв: Захисники історично діють повільніше, оскільки їм потрібно захистити все, тоді як зловмиснику достатньо знайти лише одну вразливість. Переможе той, хто створить краще рішення для безпеки на основі AI та інтегрує його в цикл розробки з першого дня.
Шлях до масового впровадження та безпеки
Данило: Що має змінитися, щоб звичайні люди почувалися безпечно під час використання криптовалют?
Дмитро Матвіїв: Зараз криптовалютні продукти розробляються для інженерів, а не для звичайних користувачів, і це є найбільшою перешкодою для масового впровадження. Нам потрібен підхід Security-First Product Design — розробка продуктів із пріоритетом безпеки. Безпека має бути функцією за замовчуванням, а не налаштуванням, яке додають пізніше. Крім того, має бути прозорість: якщо проєкт пройшов аудит або має програму Bug Bounty, ця інформація, а також дотримання строків реагування (SLA), мають бути доступними для перевірки кожному.
Данило: Яка ваша особиста стратегія безпеки?
Дмитро Матвіїв: Я щодня використовую криптовалюту для оплати продуктів та інших покупок через Trustee Plus, але дотримуюся принципу диверсифікації. Я ніколи не зберігаю всі свої кошти в одному місці або на одній біржі. Моя «трійка лідерів» для довгострокового зберігання — Bitcoin, Ethereum і Sui.
Підсумкові поради: запитуйте, перевіряйте, диверсифікуйте
Данило: На завершення: які головні рекомендації ви можете дати нашим глядачам?
Дмитро Матвіїв: По-перше, якщо ви користуєтеся певним проєктом, запитуйте його представників про безпеку. Якщо вони не проводили аудит, запитайте, коли планують це зробити. По-друге, перевіряйте ще раз усе; не довіряйте сліпо AI або автоматичним повідомленням — уточнюйте інформацію у друзів чи експертів, якщо маєте сумніви. І нарешті, диверсифікуйте свої активи. Це все одно що не купувати 10 квартир в одному будинку — розподіляйте ризики.
Матеріали, рекомендовані Дмитром Матвіївим:
- Книги: Tracers in the Dark Енді Грінберга — про те, як блокчейн допомагає відстежувати злочинців, і The Infinite Machine — історія Ethereum.
- Серіали та фільми: Mr. Robot — найкращий серіал про хакінг із погляду технічної достовірності, а також документальний фільм Zero Days.
Данило: Дякую, Дмитре. Криптовалюта сама по собі не є хорошою чи поганою — усе залежить від того, як ми її використовуємо. Запитуйте. Перевіряйте. Диверсифікуйте.
