Odgovor na Incidente
Odgovor na Blockchain Bezbednosne Incidente
Kada se exploit dogodi, svaka sekunda je važna. Razlika između gubitka milion i deset miliona dolara može biti u brzini reagovanja. Incident response u blockchain prostoru je jedinstvena disciplina koja kombinuje on-chain forenziku, koordinaciju sa berzama, pravne mere i komunikaciju sa zajednicom.
Faze Incident Response-a
Faza 1: Detekcija (0-5 minuta)
Detekcija može doći iz više izvora:
- Automatski alert iz monitoring sistema (Forta, Tenderly, OpenZeppelin Defender)
- Korisnik koji primeti da fondovi nestaju
- White hat istraživač koji identifikuje napad
- On-chain analitički alati koji detektuju anomalije
Ključno: u ovoj fazi treba brzo verifikovati da li je zaista napad u toku ili lažna uzbuna, i proceniti veličinu ekspozicije.
Faza 2: Zadržavanje (5-30 minuta)
Cilj je zaustaviti ili minimizovati dalju štetu:
- Ako protokol ima pause funkcionalnost — aktivirati je odmah
- Kontaktirati velike berze (Binance, Coinbase, Kraken) da zamrznu depozite sa poznatih napadačkih adresa
- Kontaktirati bridge operatore da zaustave cross-chain transakcije
- Pokrenuti emergency governance predlog ako protokol to podržava
Primer dobre prakse: kada je Euler Finance bio exploitovan u martu 2023., tim je u roku od sat vremena kontaktirao Binance koji je zamrznuo napadačevu adresu. Napadač je na kraju vratio sva sredstva, delimično zbog pritiska i delimično zbog toga što nije mogao da konvertuje ukradeno u fiat.
Faza 3: Analiza i Forenzika (1-24 sata)
Detaljna post-mortem analiza uključuje:
- Rekonstrukcija napada transakciju po transakciju na block exploreru
- Identifikacija tačnog koda koji je bio exploitovan
- Trace napadačevih fondova — koje berze, koje mixere, koje adrese
- Komunikacija sa Chainalysis ili TRM Labs za profesionalno praćenje
- Procena ukupnog gubitka
Faza 4: Komunikacija sa Zajednicom
Transparentna komunikacija je kritična za zadržavanje poverenja:
- Brzi početni tweet koji potvrđuje da je napad u toku i da se istražuje
- Regularni update-i svakih 30-60 minuta dok situacija traje
- Detaljan post-mortem objavljuje se obično u roku od 72 sata
- Jasno objasniti šta se desilo, ko je pogođen, i šta se preduzima
Primer loše komunikacije: Ronin Bridge je čekao više od šest dana pre nego što je javno objavio napad — po kojima korisnici nisu znali da su im sredstva nestala.
On-Chain Forenzika
Praćenje ukradenih sredstava je specijalizovana veština. Napadači tipično pokušavaju da “opere” ukradeno kroz:
- Tornado Cash ili drugi mixeri (sada sankcionisani u SAD)
- Cross-chain bridges — prebacivanje između lanaca otežava praćenje
- Centralizovane berze u permissive jurisdikcijama
- DEX swap-ovi za konverziju u privatne tokene (Monero)
Čak i sa mixing-om, profesionalni blockchain forenzičari (Chainalysis, Elliptic, TRM Labs) uspevaju da prate veliku većinu tokova. U slučaju Bybit hack-a ($1,5B, februar 2025.), istraživači su pratili gotovo svaki korak Lazarus Group pre nego što su fondovi konvertirani.
Bug Bounty kao Preventiva
Najefektivniji incident response je onaj koji se nikad ne desi. Bug bounty programi (ImmuneFi) plaćaju white hat istraživačima za pronalazak ranjivosti pre napadača. Najveći isplaćeni bounty do sada: $10 miliona za kritičnu ranjivost u Wormhole bridge-u (2022.).
Protokoli sa aktivnim bug bounty programima imaju statistički manji broj uspešnih exploita — white hat zajednica efektivno pruža kontinuirani besplatni audit.
Strategije Oporavka
Nakon exploita, protokoli imaju nekoliko opcija:
- Pregovaranje sa napadačem: Mnogi napadači su prihvatili “bug bounty” ponude i vratili deo sredstava (Euler Finance, Poly Network)
- Osiguranje: Nexus Mutual i InsurAce nude kripto osiguranje; isplate su retke ali moguće
- Treasury pokrivanje: Protokoli sa zdravim treasury-om mogu kompenzovati korisnike direktno
- Token dilucija: Novi tokeni se mintuju za kompenzaciju — utiče na sve token holdere
- Hard fork: Ethereum je to uradio 2016. da bi povratio DAO sredstva — kontroverzna odluka
Ni jedna od ovih strategija nije savršena. Prevencija — kroz quality audit, bug bounty i bezbedni dizajn — ostaje daleko efikasnija od oporavka.