Взлом как спасение: новая роль белых хакеров в крипте

В криптоиндустрии граница между атакой и защитой размыта – одни и те же инструменты могут использоваться как для взлома, так и для предотвращения. Белые хакеры действуют в легальном поле, злоумышленники – вне его, и именно это определяет судьбу инцидентов. Аналитик по расследованиям AML/KYT провайдера «Шард» Дмитрий Пойда объяснил IT Speaker, где проходит линия между исследованием и «взломом», как строится взаимодействие с проектами и почему исход инцидента зависит от реакции участников.

Белая шляпа vs. черная: в чем разница

«Белый хакер» – специалист по кибербезопасности, который ищет, анализирует и подтверждает уязвимости в блокчейн-инфраструктуре, смарт-контрактах и децентрализованных приложениях. Он действует в правовом поле и соблюдает принципы ответственного раскрытия – после выявления уязвимости не использует ее во вред и не передает третьим лицам, а уведомляет проект через официальные каналы (security-контакты или bug bounty-платформы).

Такая деятельность носит превентивный характер: снижение технологических и финансовых рисков, предотвращение эксплуатации ошибок в коде, несанкционированного доступа и потери цифровых активов. На практике это аудит смарт-контрактов, моделирование атак, реверс-инжиниринг и участие в bug bounty-программах. Результат – детализированный отчет с воспроизводимыми сценариями уязвимостей и рекомендациями по их устранению.

Для многих специалистов это еще и вопрос профессиональной позиции – обладая тем же инструментарием, что и злоумышленники, они сознательно используют его для защиты. Речь идет о профессиональной и социальной ответственности – работе на устойчивость инфраструктуры и доверие к цифровой среде.

Экспертиза белых хакеров востребована и в государственном секторе: они привлекаются к расследованию киберинцидентов, анализу атак и восстановлению их механики, в том числе в сотрудничестве с профильными подразделениями правоохранительных органов.

Ключевое отличие от злоумышленника – в мотивации и поведении. Злоумышленник действует без разрешения, ради выгоды и ущерба. Белый хакер не эксплуатирует уязвимости, а передает их владельцу системы.

Атака как страховка

Это один из немногих способов проверить систему «снаружи» – так, как ее будет атаковать злоумышленник. В блокчейне из-за необратимости транзакций вернуть средства после взлома практически невозможно.

Ждать, что проблему заметит пользователь или внутренний разработчик, – слишком дорогой риск. Белый хакер выступает как профессиональный атакующий, но в контролируемых условиях. Он проверяет бизнес-логику, права доступа, нестандартные сценарии, экономические модели атак и надежность оракулов.

Для проекта это внешний аудит с акцентом на реальную устойчивость к атакам, а не на формальные требования. Внешний исследователь видит систему без ограничений внутренней команды и находит то, что «изнутри» незаметно.

Наличие bug bounty-программ и white-hat-специалистов напрямую влияет на репутацию. Когда безопасность подтверждена практическими попытками взлома, риски для пользователей и инвесторов снижаются.

Жизненный цикл уязвимости

1. Исследователь не просто сообщает о баге, а описывает уязвимость с PoC (proof of concept) – демонстрацией эксплуатации.

2. Передача информации через bug bounty-платформу, приватный security-репозиторий или напрямую команде безопасности. Начинается координированное раскрытие: детали не публикуются, уязвимость не используется ни в чьих интересах.

3. Команда проекта проверяет воспроизводимость, оценивает критичность и потенциальный ущерб. Часто подключаются внутренние разработчики и внешние специалисты.

   Вас может заинтересовать: 

   B2B не резиновый: где ИИ реально ускоряет, а где только тормозит
   

4. Разработка исправления – патч смарт-контракта, изменение логики или дополнительные проверки. Важны скорость и корректность: любые изменения проходят повторную проверку, чтобы не появились новые ошибки.

5. После внедрения уязвимость закрывается. Публикация возможна только если это предусмотрено политикой проекта или условиями bug bounty, и обычно сопровождается отчетом.

6. Вознаграждение исследователю в рамках bug bounty зависит от критичности уязвимости и потенциального ущерба.

В упрощенном виде: обнаружение → координация → исправление → раскрытие.

«Взломать» по закону

В российском уголовном праве «взлом» не выделен как отдельное преступление – это бытовой термин. Юридически речь идет о совокупности составов по статьям 272 и 274.1 УК РФ. Ключевое значение имеют неправомерность доступа и наступившие последствия.

Статья 272 УК РФ применяется при несанкционированном доступе к охраняемой компьютерной информации (базы данных, аккаунты, внутренние системы). Важны последствия: уничтожение, модификация, блокирование или копирование данных.

Более строгая ответственность – по статье 274.1 УК РФ за воздействие на критическую инфраструктуру (госсервисы, банки, энергетику, транспорт). Сюда попадают доступ, использование вредоносного ПО, а также создание инструментов для атак. В тяжелых случаях – до 10 лет лишения свободы.

В следственной практике «взлом» – комплексный инцидент: устанавливаются способ доступа, последовательность действий, умысел и реальный ущерб или его угроза.

Таким образом, в правовом смысле «взлом» – совокупность противоправных действий, квалификация которых зависит от контекста и последствий.

Хакеры-миротворцы

Один из недавних примеров – инцидент с Dango, произошедший 13 апреля. Уязвимость была в логике страхового фонда смарт-контракта: функция пожертвований принимала некорректные входные данные, в том числе без проверки на положительное значение суммы. Злоумышленник вывел около $1,9 млн в USDC.

Развитие атаки удалось частично сдержать. Из-за ограничений межсетевого моста только около $410 тыс. ушли в сеть Ethereum, а основная часть средств – примерно $1,49 млн – осталась внутри системы.

Команда проекта оперативно приостановила часть инфраструктуры, подключила специалистов по кибербезопасности, уведомила эмитента стейблкоина и крупные биржи для отслеживания движения средств. Значительную часть активов удалось вернуть, а взаимодействие с атакующим перешло в переговоры в рамках bug bounty. Это пример «контролируемого урегулирования», когда ущерб ограничивается в процессе атаки, а ситуация переводится в легальный контур.

Другой кейс – протокол Foom Cash. После эксплойта на сумму около $2,26 млн белый хакер выявил критическую ошибку в криптографической настройке системы: она принимала некорректные доказательства, что открывало возможность для несанкционированного вывода средств. Благодаря оперативному вмешательству и координации с командой проекта удалось вернуть около $1,84 млн – порядка 81% от похищенной суммы. Исследователь получил вознаграждение в рамках bug bounty.

Такие случаи показывают, что на практике грань между атакой и защитой во многом проходит по модели поведения после обнаружения уязвимости.