2023 年的加密貨幣冬天對許多人來說都是充滿挑戰的,尤其是針對數位貨幣包、平台和代幣協議的竊賊。今年到目前為止,他們只竊取了10 億美元的加密貨幣資產,與2022 年創紀錄的38 億美元相比大幅下跌。
不幸的是,這種下跌似乎與可用資本的減少有關,而不是與防禦能力更強有關。儘管攻擊規模有所下跌,但攻擊頻率實際上卻急劇上漲:從2022 年的60 起駭客攻擊增加到截至10 月底的75 起。而且這一年還沒結束。
如果去中心化金融要被散戶和機構投資者廣泛接受,那麼它需要實現全球金融民主化的目標。
我們必須共同努力,堵住惡意行為者一直想鑽的漏洞。
阻止不良行為者的關鍵是什麼?我們需要大幅改善安全審計,目前安全審計往好裡說是不一致的,往壞了說就是橡皮圖章式的做法。
具體來說,我們整個產業需要對去中心化技術採用一致的審計方法,該方法是嚴格的、標準化的和可重複的——與保護傳統金融的方法一樣強大。
這樣的審計標準,加上審計公司對負責任揭露原則的公開承諾——願意指出拒絕聽取建議或按建議採取行動的項目——將鼓勵項目本身提高安全標準。
Atomic錢包拒絕留意審計機構Least Authority 於2022 年2 月公開披露的嚴重安全漏洞,導致2023 年6 月駭客損失超過1 億美元。
最好的情況是,第三方安全審核是由熟練團隊進行的徹底調查,分析系統設計和實施的各個方面,找出可能影響操作或使用者的弱點和缺陷,或為不良行為者提供對敏感資料或敏感資料的存取權限。資產。
良好的審計還可以仔細評估開發人員和設計人員是否在系統的創建和推出過程中遵循了最佳實踐。
漏洞有多種形式; 加密貨幣技術不正確或不夠安全、敏感資訊外洩、系統零件不受保護、系統設計文件與實作中使用的程式碼之間不一致。
此類缺陷可能會導致各種後果,從敏感和秘密使用者資料的暴露到使用者和系統資產的遺失。
因此,審計盡可能詳細且一致對於專案及其使用者的安全至關重要。
有數十家公司提供審計服務,但由於沒有行業標準,品質可能而且確實存在巨大差異。即使在信譽良好的公司內部,對於應該審計的內容也沒有共識,也沒有一套一致的標準。
當然,即使是最有經驗的審計員也不能保證能夠找出系統中的每個弱點或保護每個使用者免受損失。但事實證明,如果徹底、定期地進行安全審計,可以大幅降低嚴重漏洞未被發現的風險。
從我們的觀點部分閱讀更多內容:區塊鏈安全公司是時候聯手了
然而,審計無法阻止社會工程攻擊(涉及操縱人類的攻擊),例如今年早些時候,北韓組織Lazarus 說服一家身份不明的加密貨幣交易所的工程師下載偽裝成套利機器人的惡意軟體。防止此類攻擊只能依靠警覺和團隊訓練。
確實,每次審計都會有所不同,就像每個項目都不同一樣。
但我在安全審計領域的長期經驗告訴我,審計師必須採取一些具體步驟,才能最大限度地提高安全審計的有效性,從而造福客戶、使用者和生態系統。
這些要求是什麼?旨在使去中心化系統更具彈性並保護使用者免受潛在損失的審計標準必須包括對以下內容的詳盡評估:
專案的威脅模型設計的安全性實施的安全性使用依賴項測試專案文件審核範圍以及是否充分。
為了確保標準的任何改進都有利於整個區塊鏈,我們還提倡知識共享和公共產品的創建,例如研究、工具和培訓。
透過共同努力提高整個安全審計行業的標準,從而提高去中心化技術領域的標準,我們可以在阻止區塊鏈黑帽駭客打破2022 年加密貨幣資產被盜記錄方面大有幫助。
這是我們不希望看到再次被打破的記錄。
Hind Kurhan 是Thesis Defense 的共同創辦人,這是一家去中心化技術安全審計公司,其使命是透過提高整個區塊鏈領域的安全性和審計一致性來促進去中心化技術的廣泛採用。
不要錯過下一個重大新聞– 加入我們的免費每日時事通訊。
資訊來源:由0x資訊編譯自BLOCKWORKS。版權歸作者Hind Kurhan所有,未經許可,不得轉載