Audity zabezpečení kryptoměn a odměny za chyby jsou nefunkční: Zde je návod, jak je opravit

Využití blockchainu může být extrémně nákladné; se špatně navrženými chytrými smlouvami jsou decentralizované aplikace a mosty znovu a znovu napadány.
Například síť Ronin zažila v březnu 2022 prolomení 625 milionů dolarů, když se hackerovi podařilo ukrást soukromé klíče, aby vygeneroval falešné výběry a převedl stovky milionů ven. Nomad Bridge později toho roku v srpnu zažil prolomení 190 milionů dolarů, když hackeři zneužili chybu v protokolu, která jim umožnila vybrat více prostředků, než vložili.
Tyto zranitelnosti v základním kódu inteligentních smluv spolu s lidskou chybou a selháním úsudku vytvářejí pro uživatele Web3 značná rizika. Jak ale mohou krypto projekty podniknout proaktivní kroky k identifikaci problémů dříve, než k nim dojde?
Existuje několik hlavních strategií. Projekty Web3 si obvykle najímají společnosti, aby provedly audit jejich kódu inteligentní smlouvy a zkontrolovaly projekt, aby poskytly razítko schválení.
Dalším přístupem, který se často používá ve spojení, je vytvoření programu odměny za chyby, který poskytuje pobídky pro benigní hackery, aby využili své dovednosti k identifikaci zranitelnosti dříve, než je udělají zákeřní hackeři. Oba přístupy mají v současné době velké problémy.
Audit Web3 je nefunkční
Audity nebo externí hodnocení se obvykle objevují na trzích, kde se riziko může rychle zvětšit a způsobit systémové škody. Ať už jde o veřejně obchodovanou společnost, státní dluh nebo inteligentní smlouvu, jediná zranitelnost může způsobit zmatek.
Bohužel však mnoho auditů, i když je provádí externí organizace, není důvěryhodných ani účinných, protože auditoři nejsou skutečně nezávislí. To znamená, že jejich pobídky mohou být zaměřeny na uspokojení klienta nad poskytováním špatných zpráv.
Bezpečnostní audity jsou časově náročné, drahé a v nejlepším případě vedou k tomu, že je vše v pořádku. V nejhorším případě mohou způsobit, že projekt přehodnotí celý svůj design a zdrží uvedení na trh a úspěch na trhu. Projektoví manažeři DeFi jsou tak v pokušení najít jinou, vstřícnější auditorskou společnost, která zamete jakékoli obavy pod koberec a označí chytré smlouvy, vysvětluje Keir Finlow-Bates, výzkumník blockchainu a vývojář Solidity.
S tímto tlakem ze strany klientů mám z první ruky zkušenost: dohadování se s vývojáři a projektovými manažery, že jejich kód nebo architektura není úplně na nule, se dostává zpět, i když jsou slabiny v systému snadno patrné.
Principiální chování se z dlouhodobého hlediska vyplácí, ale z krátkodobého hlediska může přijít na úkor ziskových klientů, kteří touží dostat na trh své nové tokeny.
Nemohu si nevšimnout, že laxní auditorské společnosti si rychle vybudují významnější pozici na auditorském trhu díky rozsáhlému seznamu spokojených spokojených zákazníků, tedy dokud nedojde k hacknutí, pokračuje Finlow-Bates.
Jedna z předních společností v oblasti auditu Web3, CertiK, poskytuje hodnocení důvěry projektům, které hodnotí. Kritici však poukazují na to, že dali razítko schválení projektům, které okázale selhaly. Zatímco například CertiK 4. ledna 2022 rychle sdělil, že na projektu BNB Smart Chain Arbix došlo k vytažení koberce, podle Eloisy Marchesoniové opomněli, že provedli audit společnosti Arbix 46 dní předtím. specialista na tokenomii, na Medium.
Ale nejpozoruhodnějším incidentem byl úplný audit Terra CertiK, který se později zhroutil a srazil s sebou polovinu kryptoprůmyslu. Audit byl od té doby stažen, protože přijali více reflexivní přístup, ale kousky a kousky zůstávají online.
 Terra podle představ uměleckého oddělení Cointelegraphs. Zapomněli však zapálit Zemi a Měsíc. Terra-fied
Zhong Shao, spoluzakladatel CertiK, uvedl v tiskové zprávě z roku 2019:
Společnost CertiK byla velmi ohromena chytrým a vysoce efektivním návrhem ekonomické teorie Terras, zejména správným oddělením kontrol pro stabilizaci měny a předvídatelný ekonomický růst.
Dodal, že CertiK také zjistil, že technická implementace Terras má jednu z nejvyšších kvalit, jakou kdy viděla, demonstruje extrémně principiální inženýrské postupy, mistrovské ovládání Cosmos SDK a také kompletní a informativní dokumentaci.
Tato certifikace hrála hlavní roli ve zvýšení mezinárodního uznání a příjmu investic Terras. Nedávno zatčený Do Kwon, spoluzakladatel Terra, tehdy řekl:
Jsme potěšeni, že jsme obdrželi formální razítko schválení od společnosti CertiK, která je v oboru známá tím, že nastavuje velmi vysokou laťku pro bezpečnost a spolehlivost. Důkladné výsledky auditu sdílené týmem zkušených ekonomů a inženýrů CertiKs nám dávají větší důvěru v náš protokol a jsme nadšeni, že v nadcházejících týdnech rychle spustíme naši první platební dApp s partnery pro eCommerce.
CertiK tvrdí, že jeho audity byly komplexní a zhroucení Terra nebylo způsobeno kritickou bezpečnostní chybou, ale lidským chováním. Hugh Brooks, ředitel bezpečnostních operací ve společnosti CertiK, řekl Magazine:
Náš audit Terra nepřišel na žádná zjištění, která by byla považována za kritická nebo závažná, protože nebyly nalezeny kritické bezpečnostní chyby, které by mohly vést zlomyslného aktéra k napadení protokolu. Nestalo se to ani v sáze o incidentu na Terra.
Audity a kontroly kódu nebo formální ověření nemohou zabránit akcím jednotlivců s kontrolou nebo velrybám vyhazujícím tokeny, což způsobilo první depeg a následné panické akce.
 CertiK právě vydal svá nová bezpečnostní skóre, která jsou podle něj nezávislá na jakémkoli komerčním vztahu. (CertiK)
Udělení souhlasu s něčím, co se později ukázalo jako riskantní, se neomezuje pouze na blockchainový průmysl a opakuje se v průběhu historie, od pěti největších veřejných účetních firem Arthur Anderson kývnul na knihy Enrons (později zničil části důkazů ) ratingové agentuře Moodys vyplácí 864 milionů dolarů za své pochybné optimistické ratingy dluhopisů, které rozdmýchaly bublinu na trhu nemovitostí v letech 2008-2009 a přispěly ke globální finanční krizi.
Je to spíše tak, že auditní společnosti Web3 čelí podobným tlakům v mnohem novějším, rychleji rostoucím a méně regulovaném odvětví. (V minulém týdnu vydal CertiK svá nová bezpečnostní skóre pro 10 000 projektů, podrobnosti viz vpravo).
Nejde o to hodit CertiK pod hlavu, že je zaměstnán dobře míněnými a kvalifikovanými pracovníky, ale spíše v tom, že audity Web3 nezohledňují všechna rizika pro projekty a uživatele a že trh může potřebovat strukturální reformy, aby sladil pobídky.
Audity pouze kontrolují platnost smlouvy, ale velká část rizika je v logice návrhu protokolu. Mnoho exploitů nepochází z porušených smluv, ale vyžaduje revizi tokenomiky, integrace a red-teamingu, říká Eric Waisanen, vedoucí tokenomiky ve Phi Labs.
Zatímco audity jsou obecně velmi užitečné, je nepravděpodobné, že zachytí 100 % problémů, říká Jay Jog, spoluzakladatel Sei Networks. Hlavní odpovědnost je stále na vývojářích, aby uplatňovali dobré vývojové postupy k zajištění silného zabezpečení.
Stylianos Kampakis, generální ředitel Tesseract Academy a odborník na tokenomiku, říká, že projekty by měly najmout více auditorů, aby zajistily co nejlepší kontrolu.
Myslím, že celkově pravděpodobně odvádějí dobrou práci, ale slyšel jsem mnoho hororových příběhů o auditech, které postrádaly významné chyby, říká Cointelegraphu. Nezáleží tedy pouze na firmě, ale také na skutečných lidech zapojených do auditu. To je důvod, proč bych osobně nikdy nevěřil zabezpečení protokolu jedinému auditorovi.
zkSync souhlasí s potřebou více auditorů a sděluje Magazine, že předtím, než 24. března spustil na mainnetu EVM kompatibilní s nulovou znalostí důkazu rollup Era, byl důkladně testován v sedmi různých auditech od Secure3, OpenZeppelin, Halburn a čtvrtého auditora, který dosud nebyl schválen. oznámil.
Hackeři v bílém klobouku a odměny za chyby
Rainer Bhme, profesor bezpečnosti a soukromí na Univerzitě v Innsbrucku, napsal, že základní audity jsou jen stěží užitečné a obecně je třeba důkladnost bezpečnostních auditů pečlivě přizpůsobit situaci.
Místo toho mohou programy odměn za chyby poskytnout lepší pobídky. Odměny za chyby nabízejí zavedený způsob, jak odměnit ty, kteří najdou chyby, že by se přirozeně hodili pro kryptoměny, protože mají vestavěný platební mechanismus, pokračoval Bhme.
Hackeři s bílým kloboukem jsou ti, kteří využívají svůj talent k identifikaci zranitelnosti a pracují s projekty na jejich nápravě dříve, než ji může zneužít zákeřný (black hat) hacker.
 Bílý klobouk hackeři najít chyby dříve, než black hat hackeři. (Pexels)
Programy odměňování chyb se staly nezbytnými pro objevování bezpečnostních hrozeb na webu, obvykle je spravují majitelé projektů, kteří chtějí, aby talentovaní programátoři prověřili a zkontrolovali zranitelnost jejich kódu. Projekty odměňují hackery za identifikaci nových zranitelností a údržbu a udržování integrity v síti. Historicky byly opravy pro open-source jazyky inteligentních kontraktů, např. Solidity, identifikovány a opraveny díky hackerům s bug bounty.
Tyto kampaně začaly v 90. letech: kolem prohlížeče Netscape existovala živá komunita, která fungovala zdarma nebo za drobné na opravě chyb, které se postupně objevovaly během vývoje, napsal Marchesoni.
Brzy se ukázalo, že takovou práci nelze dělat v nečinnosti nebo jako koníček. Společnosti těžily z bug bounty kampaní dvakrát: kromě zřejmých bezpečnostních problémů se objevilo také vnímání jejich závazku k bezpečnosti.
V celém ekosystému Web3 se objevily programy odměn za chyby. Například Polygon v roce 2021 spustil program odměn za chyby v hodnotě 2 milionů dolarů, aby odstranil a odstranil potenciální bezpečnostní chyby v auditované síti. Avalanche Labs provozuje svůj vlastní bug bounty program, který byl spuštěn v roce 2021, prostřednictvím platformy HackenProof bug bounty.
Existuje však napětí mezi rozsahem bezpečnostních mezer, o kterých se domnívají, že nalezli, a tím, jak významně se této otázce přijímají projekty.
Hackeři White Hackeři obvinili různé projekty blockchainu z členů komunity gaslighting, stejně jako zadržování odměn za chyby za služby bílého klobouku. I když je samozřejmé, pro udržení pobídek je nezbytné skutečně dodržet výplatu odměn za legitimní službu.
Tým hackerů nedávno tvrdil, že nebyl kompenzován za své bug bounty služby aplikační vrstvě Tendermint a Avalanche.
Na druhé straně plotu projekty zjistily, že někteří hackeři s bílým kloboukem jsou skutečně maskovaní černými klobouky.
 Přečtěte si také Funkce
Kryptomeny bodují v evropském fotbale
 Funkce
Může být krypto Spasitelem Švédska?
Tendermint, Avalanche a další
Tendermint je nástroj pro vývojáře, který se může zaměřit na vývoj aplikací vyšší úrovně, aniž by se museli přímo zabývat základní komunikací a kryptografií. Tendermint Core je motor, který usnadňuje P2P síť prostřednictvím konsenzu proof-of-stake (PoS). Application BlockChain Interface (ABCI) je nástroj, se kterým se veřejné blockchainy propojují s protokolem Tendermint Core.
V roce 2018 byl vytvořen bug bounty program pro komunity Tendermint a Cosmos. Program byl navržen tak, aby odměňoval členy komunity za objevení zranitelnosti odměnami založenými na faktorech, jako je dopad, riziko, pravděpodobnost zneužití a kvalita zpráv.
Minulý měsíc tým výzkumníků tvrdil, že našel hlavní bezpečnostní zneužití Tendermintu, což mělo za následek selhání služeb prostřednictvím vzdáleného API a byla objevena zranitelnost Tendermint Remote Procedure Call (RPC), která má dopad na více než 70 blockchainů. Zneužití by mělo vážný dopad a mohlo by potenciálně zahrnovat více než 100 zranitelností typu peer-to-peer a API, protože blockchainy sdílejí podobný kód. Deset blockchainů v top 100 žebříčku bezpečnosti CertiKs je založeno na Tendermintu.
 Selhání vzdáleného API Tendermint z plochy Padillacs. (Pad na YouTube)
Poté, co skupina hackerů prošla správnými kanály pro získání odměny, uvedla, že nebyla kompenzována. Místo toho následovala řada událostí, o kterých někteří tvrdí, že to byl pokus zbrzdit Tendermint Core, zatímco to rychle opravilo exploit, aniž by zaplatili lovci odměn jejich poplatky.
Toto, mimo jiné, které skupina údajně zdokumentovala, je známé jako zero-day exploit.
Specifický útok Denial-of-service (DoS) Tendermint je dalším unikátním blockchainovým útokem a jeho důsledky nejsou zatím zcela jasné, ale budeme tuto potenciální zranitelnost vyhodnocovat v budoucnu, podporovat opravy a diskutovat se současnými zákazníky, kteří mohou být zranitelní, řekl CertiKs Brooks.
Řekl, že úkol testování zabezpečení nebyl nikdy dokončen. Mnozí vnímají audity nebo odměny za chyby jako jednoznačný scénář, ale ve skutečnosti musí testování zabezpečení ve Web3 pokračovat stejně jako v jiných tradičních oblastech, říká.
Jsou to vůbec bílé klobouky?
Odměny za chyby, které se spoléhají na bílé klobouky, nejsou zdaleka dokonalé, vzhledem k tomu, jak snadné je pro černé klobouky nasadit převlek. Obzvláště problematickým přístupem jsou ad hoc ujednání o vrácení finančních prostředků.
Odměny za chyby v prostoru DeFi mají vážný problém, protože v průběhu let různé protokoly umožnily hackerům černého klobouku změnit klobouk, pokud vrátí část nebo většinu peněz, říká Finlow-Bates.
 White hat a black hat hackeři někdy hrají stejnou hru. (Pexels)
Vytěžte devítimístnou částku a můžete skončit se ziskem desítek milionů dolarů bez jakýchkoliv následků.
Dokonalým příkladem je hack na Mango Markets v říjnu 2022 s využitím 116 milionů dolarů a vrácených pouze 65 milionů dolarů a zbytek se bere jako takzvaná odměna. Legálnost tohoto je otevřená otázka, přičemž za incident, který někteří přirovnávají spíše k vydírání než k legitimní odměně, je obviněn hacker.
Podobně byl hacknut most Wormhole Bridge za 325 milionů dolarů kryptoměn, přičemž odměna 10 milionů dolarů byla nabídnuta v dohodě ve stylu bílého klobouku. To však nebylo dostatečně velké, aby přilákalo hackera k provedení dohody.
Porovnejte to se skutečnými bílými hackery a programy pro odměňování chyb, kde platí přísná sada pravidel, musí být poskytnuta úplná dokumentace a právní jazyk je výhružný, pak může dojít k nedodržení pokynů do puntíku (i neúmyslně). v právní žalobě, Finlow-Bates rozvádí.
Organizace, které se hlásí k podpoře bílých klobouků, si musí uvědomit, že ne všechny jsou stejně altruistické, některé stírají hranice mezi aktivitami bílých a černých klobouků, takže je důležité budovat odpovědnost a mít jasné pokyny a odměny, které jsou vykonávány.
Jak odměny za chyby, tak audity jsou méně ziskové než exploity, pokračuje Waisanen a poznamenává, že přilákat white hat hackery v dobré víře není snadné.
 Přečtěte si také Funkce
Útok na poslední baštu: Úzkost a hněv, když si NFT nárokují status vysoké kultury
 Funkce Daft Punk se setkává s CryptoPunks, když Novo čelí NFT Kam odsud půjdeme?
Bezpečnostní audity nejsou vždy užitečné a zásadně závisí na jejich stupni důkladnosti a nezávislosti. Odměny za chyby mohou fungovat, ale stejně tak může být bílý klobouk chamtivý a peníze si ponechat.
Jsou obě strategie jen cestou outsourcingu odpovědnosti a vyhýbání se odpovědnosti za správné bezpečnostní postupy? Pro krypto projekty může být lepší naučit se dělat věci správným způsobem, tvrdí Maurcio Magaldi, ředitel globální strategie pro 11:FS.
Tvůrci Web3 obecně neznají postupy vývoje softwaru na podnikové úrovni, což řadu z nich vystavuje riziku, i když mají programy pro odměňování chyb a audity kódu, říká.
Spoléhat se na audit kódu při zvýraznění problémů ve vaší aplikaci, která má za cíl zpracovat miliony transakcí, je jasným outsourcingem odpovědnosti, a to není podniková praxe. Totéž platí pro bug bounty programy. Pokud zadáte zabezpečení kódu externím stranám, i když poskytnete dostatečnou finanční pobídku, přenecháte odpovědnost a pravomoc stranám, jejichž pobídky mohou být mimo dosah. O tom decentralizace není, řekl Magaldi.
Alternativním přístupem je sledovat proces sloučení Etherea.
Možná kvůli hacknutí DAO v počátcích Etherea je nyní každá jednotlivá změna pečlivě plánována a prováděna, což dává celému ekosystému mnohem větší důvěru v infrastrukturu. Vývojáři DApp by mohli ukrást stránku nebo dvě z této knihy, aby posunuli průmysl vpřed, říká Magaldi.
 Namísto outsourcingu zabezpečení musí projekty převzít plnou odpovědnost samy. (Pexels) Pět lekcí pro kybernetickou bezpečnost v kryptoměnách
Pojďme udělat inventuru. Zde je pět širokých filozofických lekcí, které si můžeme odnést.
Za prvé, potřebujeme větší transparentnost ohledně úspěchů a neúspěchů kybernetické bezpečnosti Web3. Bohužel existuje temná subkultura, která jen zřídka spatří světlo světa, protože auditorský průmysl často funguje bez transparentnosti. Tomu lze čelit tím, že lidé budou z konstruktivního hlediska mluvit o tom, co funguje a co nefunguje.
Když Arthur Anderson nedokázal napravit a označit podvodné chování Enronu, utrpělo to velkou reputační a regulační ránu. Pokud komunita Web3 nemůže alespoň splnit tyto standardy, její ideály jsou falešné.
Za druhé, projekty Web3 se musí zavázat, že budou respektovat své programy odměn za chyby, pokud chtějí, aby širší komunita získala legitimitu ve světě a oslovila spotřebitele ve velkém. Programy odměn za chyby byly vysoce efektivní v prostředí Web1 a Web2 pro software, ale vyžadují věrohodné závazky projektů, aby zaplatily hackerům s bílým kloboukem.
Za třetí, potřebujeme skutečnou spolupráci mezi vývojáři, výzkumníky, poradenskými společnostmi a institucemi. I když motivy zisku mohou ovlivnit, jak moc určité entity spolupracují, musí existovat sdílený soubor principů, které sjednotí komunitu Web3 alespoň kolem decentralizace a bezpečnosti a vedou ke smysluplné spolupráci.
Existuje již mnoho příkladů; nástroje jako Ethpector jsou ilustrativní, protože ukazují, jak mohou výzkumníci pomoci poskytnout nejen pečlivou analýzu, ale také praktické nástroje pro blockchainy.
Za čtvrté, regulační orgány by měly pracovat spíše s vývojáři a podnikateli než proti nebo nezávisle na nich.
Regulátoři by měli poskytnout soubor hlavních zásad, které by vývojáři rozhraní DeFi museli vzít v úvahu. Regulátoři musí vymyslet způsoby, jak odměnit vývojáře dobrých rozhraní a potrestat designéry špatných rozhraní, která mohou být vystavena hackování a vystavit základní služby DeFi nákladným útokům, říká Agostino Capponi, ředitel Columbia Center for Digital Finance and Technologies.
Díky spolupráci nejsou regulační orgány zatěžovány tím, že musí být odborníky na každou nově vznikající technologii, kterou mohou outsourcovat komunitě Web3 a využívat své silné stránky, což je budování škálovatelných procesů.
Za páté, a to je nejkontroverznější, projekty DeFi by měly pracovat na střední úrovni, kde uživatelé procházejí určitou úrovní ověřování KYC/AML, aby se zajistilo, že zákeřní aktéři nevyužívají infrastrukturu Web3 ke škodlivým účelům.
Ačkoli komunita DeFi vždy byla proti těmto požadavkům, může existovat střední cesta: Každá komunita vyžaduje určitý stupeň struktury a měl by existovat proces, který zajistí, že uživatelé s jednoznačně zlými úmysly nebudou využívat platformy DeFi.
Decentralizace je cenná ve financích. Jak jsme znovu viděli při kolapsu Silicon Valley Bank, centralizované instituce jsou zranitelné a selhání vytváří pro společnost velké dominové efekty.
Můj výzkum v Journal of Corporate Finance také zdůrazňuje, že DeFi má větší bezpečnostní výhody: Například po známém porušení dat na centralizované burze KuCoin vzrostly transakce o 14 % více na decentralizovaných burzách ve srovnání s centralizovanými burzami. Zbývá však vykonat více práce, aby byla DeFi přístupná.
Vybudování prosperujícího ekosystému a trhu pro kybernetickou bezpečnost v komunitě Web3 bude nakonec vyžadovat dobré úsilí všech zúčastněných stran.
 Přihlásit se k odběru Nejpoutavější čtení v blockchainu. Dodáváno jednou týdně.
Emailová adresa
PŘEDPLATIT