В сфере криптовалют размыта граница между защитой и атакой – одни и те же инструменты могут применяться как для взлома, так и для защиты. Белые хакеры действуют в рамках закона, тогда как злоумышленники – вне его, и именно это определяет ход инцидентов. Аналитик по расследованиям AML/KYT провайдера «Шард» Дмитрий Пойда разъяснил IT Speaker, где проходит граница между исследованием и «взломом», как налаживается взаимодействие с проектами и почему результат инцидента зависит от реакции вовлечённых сторон.
Белая шляпа против черной: в чем различие
«Белый хакер» – это эксперт по кибербезопасности, который обнаруживает, анализирует и подтверждает уязвимости в блокчейн-инфраструктуре, смарт-контрактах и децентрализованных приложениях. Он работает в юридическом поле и придерживается принципов ответственного раскрытия – после нахождения уязвимости не использует её во вред и не передаёт третьим лицам, а сообщает проекту через официальные каналы (security-контакты или bug bounty-платформы).
Такие действия имеют превентивную направленность: снижение технологических и финансовых рисков, предотвращение эксплуатации ошибок в коде, несанкционированного доступа и утраты цифровых активов. В реальности это включает аудит смарт-контрактов, моделирование атак, реверс-инжиниринг и участие в bug bounty-программах. Результатом является подробный отчет с воспроизводимыми сценариями уязвимостей и рекомендациями по их устранению.
Для многих специалистов это также вопрос профессиональной этики – обладая тем же набором инструментов, что и злоумышленники, они целенаправленно используют их для обеспечения защиты. Речь идет о профессиональной и социальной ответственности – работе над устойчивостью инфраструктуры и укреплением доверия к цифровой среде.
Экспертиза белых хакеров востребована и в государственном секторе: их привлекают к расследованию киберинцидентов, анализу атак и восстановлению механики таких происшествий, включая сотрудничество с профильными подразделениями правоохранительных органов.
Основное различие от злоумышленника заключается в мотивации и поведении. Злоумышленник действует без разрешения, ради выгоды и причинения ущерба. Белый хакер не использует уязвимости, а передаёт их владельцу системы.
Атака как страховка
Это один из немногих способов протестировать систему «снаружи» – так, как это сделает злоумышленник. В блокчейне, из-за необратимости транзакций, вернуть средства после взлома практически невозможно.
Полагаться на то, что проблему заметит пользователь или внутренний разработчик, – слишком большой риск. Белый хакер выступает в роли профессионального атакующего, но в контролируемых условиях. Он проверяет бизнес-логику, права доступа, нестандартные сценарии, экономические модели атак и надёжность оракулов.
Для проекта это внешний аудит, сосредоточенный на реальной устойчивости к атакам, а не на формальных требованиях. Внешний исследователь видит систему без ограничений внутренней команды и находит то, что «изнутри» может быть незаметно.
Наличие bug bounty-программ и специалистов белых хакеров непосредственно сказывается на репутации. Когда безопасность подтверждена практическими попытками взлома, риски для пользователей и инвесторов снижаются.
Жизненный цикл уязвимости
-
Исследователь не просто сообщает о баге, а описывает уязвимость с PoC (proof of concept) – демонстрацией эксплуатации.
-
Передача информации осуществляется через bug bounty-платформу, приватный security-репозиторий или напрямую команде безопасности. Начинается координированное раскрытие: детали не публикуются, уязвимость не используется в чьих-либо интересах.
-
Команда проекта проверяет воспроизводимость, оценивает критичность и потенциальный ущерб. Часто подключаются внутренние разработчики и внешние специалисты.
B2B не резиновый: где ИИ действительно ускоряет, а где только тормозит
-
Разработка исправления – патч смарт-контракта, изменение логики или дополнительные проверки. Важны скорость и корректность: любые изменения проходят повторную проверку, чтобы предотвратить появление новых ошибок.
-
После внедрения уязвимость закрывается. Публикация возможна только если это предусмотрено политикой проекта или условиями bug bounty, и обычно сопровождается отчетом.
-
Вознаграждение исследователю в рамках bug bounty зависит от критичности уязвимости и потенциального ущерба.
В упрощенном виде: обнаружение → координация → исправление → раскрытие.
«Взломать» по закону
В российском уголовном праве «взлом» не обозначен как отдельное преступление – это бытовой термин. Юридически речь идет о совокупности составов по статьям 272 и 274.1 УК РФ. Ключевое значение имеют неправомерность доступа и наступившие последствия.
Статья 272 УК РФ применяется при несанкционированном доступе к охраняемой компьютерной информации (базы данных, аккаунты, внутренние системы). Важны последствия: уничтожение, модификация, блокирование или копирование данных.
Более строгая ответственность – по статье 274.1 УК РФ за воздействие на критическую инфраструктуру (госсервисы, банки, энергетику, транспорт). Сюда попадают доступ, использование вредоносного ПО, а также создание инструментов для атак. В тяжёлых случаях – до 10 лет лишения свободы.
В следственной практике «взлом» рассматривается как комплексный инцидент: устанавливаются способ доступа, последовательность действий, умысел и реальный ущерб или его угроза.
Таким образом, в правовом смысле «взлом» представляет собой совокупность противоправных действий, квалификация которых зависит от контекста и последствий.
Хакеры-миротворцы
Один из недавних примеров – инцидент с Dango, произошедший 13 апреля. Уязвимость заключалась в логике страхового фонда смарт-контракта: функция пожертвований принимала некорректные входные данные, в том числе без проверки на положительное значение суммы. Злоумышленник вывел около $1,9 млн в USDC.
Развитие атаки удалось частично сдержать. Из-за ограничений межсетевого моста только около $410 тыс. ушли в сеть Ethereum, в то время как основная часть средств – примерно $1,49 млн – осталась внутри системы.
Команда проекта быстро приостановила часть инфраструктуры, привлекла специалистов по кибербезопасности, уведомила эмитента стейблкоина и крупные биржи для отслеживания движения средств. Значительную часть активов удалось вернуть, а взаимодействие с атакующим перешло в переговоры в рамках bug bounty. Это пример «контролируемого урегулирования», когда ущерб ограничивается в процессе атаки, а ситуация переводится в легальный русло.
Другой случай – протокол Foom Cash. После эксплойта на сумму около $2,26 млн белый хакер выявил критическую ошибку в криптографической настройке системы: она принимала некорректные доказательства, что открывало возможность для несанкционированного вывода средств. Благодаря оперативному вмешательству и координации с командой проекта удалось вернуть около $1,84 млн – порядка 81% от похищенной суммы. Исследователь получил вознаграждение в рамках bug bounty.
Такие примеры показывают, что на практике грань между атакой и защитой во многом определяется моделью поведения после обнаружения уязвимости.
Беспарольный вход: возможности и границы WebAuthn
