💬 Аналитики предупреждают, что одержимость крипто-одержимы

Аналитики предупреждают, что одержимость крипто-одержимы

Аналитики Хакена говорят, что многие крипто -фирмы не могут соответствовать даже базовой линии стандарта безопасности криптовалюты, оставляя миллиарды, подвергающиеся воздействию инсайдерских угроз и утечек полномочий.

В Crypto одно тихое обновление смарт -контракта может отменить месяцы работы по безопасности. И все же, по словам аналитиков из криминалистической фирмы Blockchain Hacken, индустрия по -прежнему рассматривает аудиты, такие как инструменты брендинга, а не как дыхательные контрольные точки, которыми они должны быть.

Аудиты «не следует рассматривать как флажок или логотип на вашей домашней странице», Dyma Budorin, генеральный директор Hacken в эксклюзивном интервью Crypto.news. По его мнению, слишком много проектов полагаются на статический снимок их кода и называют его днем. Но как только этот код меняется - и часто это происходит - актуальность аудита может испаряться. «Каждый аудит становится устаревшим в тот момент, когда контракт изменился», - предупредил он.

Проблема заключается не только в отсутствии аудитов, но и отсутствие систем, которые контролируют код после развертывания. Хакен утверждает, что без непрерывной проверки и повторных аудитов команды могут быть усыплены в ложное чувство безопасности.

«Одна упущенная функция может открыть дверь для катастрофы. Реальная проблема-это не просто покрытие аудита, это актуальность аудита. Нам нужны системы, которые отслеживают каждое изменение, переосмысление предположений и запускают повторные аудиты при необходимости. В противном случае все, что нужно,-это одно молчаливое обновление, чтобы сломать все, что, как вы думали, было безопасным». Dyma Budorin

«Одна упущенная функция может открыть дверь для катастрофы. Реальная проблема-это не просто покрытие аудита, это актуальность аудита. Нам нужны системы, которые отслеживают каждое изменение, переосмысление предположений и запускают повторные аудиты при необходимости. В противном случае все, что нужно,-это одно молчаливое обновление, чтобы сломать все, что, как вы думали, было безопасным».

Dyma Budorin

Команда предлагает сдвиг в сторону более стандартизированных и автоматизированных проверок. Такие вещи, как символическое выполнение, пузырь и формальная проверка, должны быть частью контрольного списка запуска, а не дополнительных дополнительных. По их словам, нет умного контракта без сначала прохождения базового набора автоматизированных тестов.

Но даже этого недостаточно. Контрактные экосистемы меняются. Обновления случаются. И иногда они этого не делают - даже когда они должны. Хакен хочет видеть лучшие средства контроля вокруг модернизации. Протоколы должны поощрять исправление или даже деактивировать устаревшие контракты, когда обнаружены риски. Как отметила команда Хакена, «слишком часто, исправление остается на случай, или, что еще хуже, к милости хакеров».

В конце концов, сообщение простое: если крипто хочет вырасти в слой инфраструктуры - что -то основополагающее, а не просто спекулятивное - тогда безопасность не может быть запоздалой мыслью.

Multisig недостаточно

Код не всегда проблема, хотя. В некоторых из самых больших крипто-нарушений, это перерыв, который сначала ломается. Возьмите, например,. Обмен потерял почти 1,5 миллиарда долларов из -за скомпрометированной настройки Multisig. Не из -за ошибки в коде, а из -за того, что выглядит как плохая оперативная безопасность.

«Многие крипто-платформы пренебрегают фундаментальными принципами безопасности вне цепи, безопасными операционными практиками и конкретными требованиями, изложенными в стандарте безопасности криптовалюты, оставляя себя уязвимыми для аналогичных угроз». Dmytro Yasmanovych, глава отдела соответствия в Hacken

«Многие крипто-платформы пренебрегают фундаментальными принципами безопасности вне цепи, безопасными операционными практиками и конкретными требованиями, изложенными в стандарте безопасности криптовалюты, оставляя себя уязвимыми для аналогичных угроз».

Dmytro Yasmanovych, глава отдела соответствия в Hacken

Ясманович сказал, что команда рекомендует крипто -фирмы срочно реализовать или усилить несколько практических контролей безопасности в соответствии с CCSS. Например, они включают в себя развертывание многофакторной аутентификации с использованием безопасных, поддерживаемых аппаратными методами, такими как биометрические решения или физические токены,-во всех критических операциях с не цепью для защиты от атак на основе учетных данных.

Он также подчеркнул необходимость четкой политики авторизации транзакций, с документированными ролями, порогами одобрения и процедур для предотвращения несанкционированной деятельности. Кроме того, Yasmanovych посоветовал фирмам определять и обеспечить безопасные, зашифрованные каналы связи для конфиденциальных операций, включая запросы на транзакцию и разрешения.

Выйдите из ликвидности, одетой как инновации

Но, пожалуй, самая противоречивая понимание Хакена была зарезервирована для токена Весов, политически раскрученного мемона, который закончился в учебнике. По данным команды Hacken, инсайдеры могли уйти с более чем 300 миллионами долларов, продавая ажиотаж на рынке.

Токен Весов утверждал, что внедрил «концентрированную ликвидность», но генеральному директору Хакена, это не то, что было.

«Для новичков звучит так, как будто они укрепляли рынок или добавляли ценность к токену, но на самом деле это был просто сложный способ поместить большие заказы на продажу по определенным ценам. Когда цена, выпущенная из -за ажиотажа, эти заказы превращают токены в денежные средства мгновенно, позволяя инсайдерам выходить из -за огромной выгоды. Это не новшество, не в том, что они не вкладывают в это. Цирк. Dyma Budorin

«Для новичков звучит так, как будто они укрепляли рынок или добавляли ценность к токену, но на самом деле это был просто сложный способ поместить большие заказы на продажу по определенным ценам. Когда цена, выпущенная из -за ажиотажа, эти заказы превращают токены в денежные средства мгновенно, позволяя инсайдерам выходить из -за огромной выгоды. Это не новшество, не в том, что они не вкладывают в это. Цирк.

Dyma Budorin

Хакен считает, что Crypto может - и должен - одолжить некоторые идеи из традиционных финансов, чтобы избежать такого рода вещей. На регулируемых рынках инсайдеры должны раскрывать основные активы и запланированные продажи. Может быть, крипто -проекты должны начать делать то же самое. Раскрытие токеномики, графиков передачи и распределения команды должно быть нормой, а не исключением.

И хотя полноценное регулирование все еще является вопросом дебатов, Хакен предлагает, чтобы пространство, по крайней мере, нуждается в механизмах надзора. Подумайте о сторонних платформах мониторинга, государственных системах рейтинга или сторожевых пса, которые могут пометить странное поведение токенов или необычные события ликвидности, пока не стало слишком поздно. До тех пор доверие останется шатким. И каждая мошенничество на выходе или скрытый монетный двор будет только криптографировать от общественной легитимности.