“Хакенські аналітики кажуть, що багато криптовалют не відповідають навіть базовим стандартом безпеки криптовалют, залишаючи мільярди, що зазнають впливу інсайдерських загроз та витоків довіри. У криптовалюті одне тихе смарт -оновлення контракту може скасувати місяці безпеки. І все ж, на думку аналітиків у криміналістичній фірмі Blockchain, галузь все ще ставиться до аудитів, як”, – Напишіть: www.crypto.news
Хакенські аналітики кажуть, що багато криптовалют не відповідають навіть базовим стандартом безпеки криптовалют, залишаючи мільярди, що зазнають впливу інсайдерських загроз та витоків довіри.
У криптовалюті одне тихе смарт -оновлення контракту може скасувати місяці безпеки. І все -таки, на думку аналітиків у криміналістичній фірмі Blockchain Hacken, галузь все ще ставиться до аудиту, як інструменти брендингу, не люблять дихальні пункти, якими вони повинні бути.
Аудити “не слід розглядати як прапорець або логотип на вашій домашній сторінці”, – сказав Діма Будорін, генеральний директор Hacken в ексклюзивному інтерв’ю з Crypto.news. На його думку, занадто багато проектів покладаються на статичний знімок їх коду і називають його день. Але як тільки цей код змінюється – і це часто є – актуальність аудиту може випаруватися. “Кожен аудит застарілий в той момент, коли змінюється контракт”, – попередив він.
Проблема – це не лише відсутність аудитів, а відсутність систем, що контролюють код після розгортання. Хакен стверджує, що без постійної перевірки та повторних аудитів команди можуть бути заїхані у помилкове почуття безпеки.
“Одинарна функція, що не виходить, може відкрити двері до катастрофи. Справжня проблема-це не просто охоплення аудиту, це актуальність аудиту. Нам потрібні системи, які відстежують кожну зміну, припущення про переосмислення та запуску повторно, коли це потрібно. В іншому випадку, все, що потрібно,-це одне мовчазне оновлення, щоб зламати все, що ви вважаєте безпечним”.
Це Будорін
Команда пропонує перехід до більш стандартизованих та автоматизованих чеків. Такі речі, як символічне виконання, фузування та формальна перевірка, повинні бути частиною контрольного списку запуску – не додаткові додатки. Жоден розумний контракт, за їхніми словами, не повинен жити, не передавши базовий набір автоматизованих тестів.
Але навіть цього недостатньо. Зміни екосистеми контрактів. Оновлення трапляються. І іноді вони цього не роблять – навіть коли повинні. Хакен хоче побачити кращий контроль навколо оновлення. Протоколи повинні заохочувати виправлення або навіть деактивувати застарілі договори, коли виявляються ризики. Як зазначила команда Хакен, “занадто часто, виправлення залишається випадковом – або ще гірше, до милосердя хакерів”.
Зрештою, повідомлення просте: якщо Crypto хоче перерости в інфраструктурний шар – щось фундаментальне, а не просто спекулятивне – тоді безпека не може бути задумкою.
Мультигайсу недостатньо
Код – це не завжди проблема. У деяких найбільших криптовалютних порушеннях, це спочатку речі поза ланцюгом. Візьмемо, наприклад, Bybit. Біржа втратила майже 1,5 мільярда доларів через компрометовану багатосмугову установку. Не через помилку в коді, а через те, що виглядає як погана операційна безпека.
“Багато криптовалют нехтують фундаментальними принципами безпеки поза ланцюгом, безпечними оперативними практиками та конкретними вимогами, викладеними в стандарті безпеки криптовалют, залишаючи себе вразливими до подібних загроз”.
DMytro Yasmanovych, керівник відділу відповідності в Hacken
Ясманович заявив, що команда рекомендує криптовалюти терміново впроваджувати або зміцнювати кілька практичних контрольних безпеки відповідно до CCSS. Наприклад, до них належать розгортання багатофакторної автентифікації за допомогою захищених апаратних методів-таких як біометричні рішення або фізичні жетони-у всіх критичних операціях поза ланцюгом для захисту від атак на основі облікових даних.
Він також наголосив на необхідності чіткої політики дозволу на авторизацію з документальними ролями, порогами затвердження та процедурами запобігання несанкціонованої діяльності. Крім того, Yasmanovych радив фірмам визначити та забезпечити захист, зашифровані канали зв’язку для чутливих операцій, включаючи запити на транзакції та схвалення.
Вийдіть з ліквідності, одягненої як інновації
Але, мабуть, найбільш суперечливе розуміння з Хакена було зарезервовано для Терезів Терезів, політично розгорнутому мемойну, який закінчився підручником килимка. За даними команди Hacken, інсайдери, можливо, пішли з понад 300 мільйонів доларів, продаючи на ринку.
Терези -маркер претендував на введення “концентрованої ліквідності”, але для генерального директора Хакена це не те, що це було.
“Для новачків це звучить так, що вони зміцнювали ринок або додавали вартість до маркера, але насправді це був просто складний спосіб розміщувати великі замовлення на продаж за конкретними ціновими точками. Коли ціна зростала через галас, ці накази перетворюють жетони в готівку миттєво, що інсайдерів виходять з масовим прибутком. цирк. “
Це Будорін
Хакен вважає, що криптовалюта може – і повинна – позичити деякі ідеї з традиційних фінансів, щоб уникнути подібних речей. На регульованих ринках інсайдери повинні розкривати основні акції та заплановані продажі. Можливо, криптовалюти повинні почати робити те саме. Розкриття токонеміки, графіків подачі та розподілу команд має бути нормою, а не винятком.
І хоча повне регулювання все ще є питанням дебатів, Хакен пропонує простір принаймні потребуючи механізмів нагляду. Подумайте, що сторонні платформи моніторингу, системи публічних рейтингів або сторожові собаки, які можуть позначити дивну поведінку токенів або незвичайні події ліквідності, перш ніж пізно. До цього довіра залишатиметься хиткою. І кожна афера на виїзді або м’ята стелс лише перетягуватимуть криптовалюту далі від публічної легітимності.