Bezpieczeństwo kryptowalut wymaga czegoś więcej niż samych audytów, aby zapobiegać stratom

Audyty ograniczają błędy w kodzie, ale największe straty kryptowalutowe coraz częściej wynikają dziś z kluczy, governance i błędów operacyjnych. Dlaczego potrzebne jest szersze podejście do bezpieczeństwa, przeczytasz tutaj.

Autor: Mike Hesp

1 dzień temu • 2 min czytania

Bezpieczeństwo kryptowalut wymaga czegoś więcej niż samych audytów, aby zapobiegać stratom

Najważniejsze informacje

Liczba audytów kodu w krypto od 2022 roku potroiła się, ale straty wynikające z hacków i exploitów pozostają wysokie.

Według Oak Security tradycyjne audyty koncentrują się głównie na kodzie, podczas gdy atakujący coraz częściej wykorzystują prywatne klucze, governance i słabości operacyjne.

Sektor potrzebuje poza audytami szerszego podejścia do bezpieczeństwa, obejmującego silne zarządzanie kluczami, monitoring w czasie rzeczywistym i szkolenia pracowników.

Rynek kryptowalut od lat zmaga się z poważnymi problemami bezpieczeństwa. Choć liczba audytów kodu od 2022 roku potroiła się, straty wynikające z hacków i exploitów pozostają wysokie. Badanie Oak Security wskazuje, że tradycyjne audyty koncentrują się przede wszystkim na podatnościach w kodzie, podczas gdy atakujący coraz częściej wykorzystują słabości ludzkie i operacyjne. W efekcie liczba incydentów oraz skala strat wciąż pozostają bardzo wysokie.

Granice tradycyjnych audytów kodu

Jakość audytów kodu w ostatnich latach wyraźnie się poprawiła. Firmy zajmujące się bezpieczeństwem korzystają z zaawansowanych narzędzi, aby wcześnie wykrywać błędy w smart contracts, co przełożyło się na mniejszą liczbę ataków opartych na błędach w kodzie. Mimo to największe straty są dziś skutkiem przejętych prywatnych kluczy, manipulacji przy governance, zagrożeń wewnętrznych, złośliwych aktualizacji zależności oraz błędów operacyjnych. Te podatności pozostają poza zakresem tradycyjnych audytów, które skupiają się głównie na samym kodzie.

Jasne jest, że nawet najlepszy kod niewiele daje, jeśli podstawowa infrastruktura operacyjna jest podatna na ataki. Przykładem jest wzrost liczby ataków wymierzonych w czynnik ludzki, takich jak phishing, których audyty nie są w stanie zapobiec. W rezultacie powstają duże straty finansowe, których branża jak dotąd nie potrafiła skutecznie ograniczyć. W praktyce coraz częściej oznacza to szersze podejście do bezpieczeństwa, podobnie jak w amerykańskim podejściu do walki z kradzieżami kryptowalut, gdzie prewencja i wykrywanie idą w parze.

Iluzja bezpieczeństwa wynikająca z audytów

Wiele projektów krypto promuje swoje bezpieczeństwo, wskazując na liczbę i renomę przeprowadzonych audytów. Tworzy to jednak fałszywe poczucie bezpieczeństwa. Audyt jest jedynie migawką konkretnej bazy kodu w określonym zakresie i nie daje gwarancji przyszłego bezpieczeństwa, zwłaszcza gdy protokoły są aktualizowane, governance się zmienia lub procesy operacyjne są przebudowywane.

To błędne przekonanie może prowadzić do niedoszacowania ryzyk poza kodem, choć to właśnie tam kryją się najpoważniejsze zagrożenia. Użytkownicy i zespoły mogą przez to uznać, że bezpieczeństwo zostało już rozwiązane, podczas gdy rzeczywiste słabe punkty znajdują się gdzie indziej.

W stronę szerszego podejścia do bezpieczeństwa

Sektorowi trudno będzie oczekiwać masowej adopcji, jeśli zaufanie pozostaje pod presją z powodu powtarzających się incydentów bezpieczeństwa. Oprócz audytów potrzebna jest głębsza strategia bezpieczeństwa, która uwzględnia ryzyka ludzkie i operacyjne. Obejmuje to między innymi silniejsze systemy zarządzania kluczami, decentralizację osób podpisujących, ograniczenia w governance, monitoring w czasie rzeczywistym oraz circuit breakers.

Platformy krypto są żywymi organizacjami z ludzkimi słabościami, a nie wyłącznie produktami programistycznymi. Atakujący dostosowali swoje taktyki i aktywnie szukają podatności w systemach opartych na ludziach. Kolejny etap bezpieczeństwa w krypto wymaga więc podejścia całościowego, które wykracza poza sam kod i obejmuje cały ekosystem ludzi, procesów i technologii.

Znaczenie dla europejskich użytkowników kryptowalut

Dla europejskich użytkowników i projektów ważne jest zrozumienie, że bezpieczeństwo nie kończy się na pozytywnym audycie. Ryzyka operacyjne i czynniki ludzkie mogą mieć tu również duży wpływ, zwłaszcza biorąc pod uwagę złożoność regulacji i governance w Europie. Podkreśla to potrzebę, aby europejskie firmy krypto oprócz audytów technicznych inwestowały także w solidne bezpieczeństwo operacyjne i szkolenia pracowników, wzmacniając w ten sposób zaufanie użytkowników.

Zastrzeżenie: Treść ma charakter wyłącznie informacyjny i nie stanowi porady finansowej, inwestycyjnej, prawnej ani podatkowej. Podane informacje mogą być niekompletne, nieścisłe lub nieaktualne i nie powinny być traktowane jako wiążące. Żadne treści na tej stronie nie stanowią rekomendacji kupna, sprzedaży ani przechowywania jakiejkolwiek kryptowaluty. Inwestowanie w aktywa kryptograficzne wiąże się z ryzykiem utraty środków.

Bezpieczeństwo kryptowalut wymaga czegoś więcej niż samych audytów, aby zapobiegać stratom

Najważniejsze informacje

Granice tradycyjnych audytów kodu

Iluzja bezpieczeństwa wynikająca z audytów

W stronę szerszego podejścia do bezpieczeństwa

Znaczenie dla europejskich użytkowników kryptowalut

Algorand przedstawia plan wdrożenia blockchaina odpornego na komputery kwantowe do końca 2027 roku

Moody’s integruje ratingi kredytowe bezpośrednio z tokenizowanymi aktywami na Solanie

Inwestorzy odwracają się od uprzywilejowanych akcji Strategy na rzecz konkurencyjnego papieru Strive

USA przeznaczy 150 mln dolarów na walkę z oszustwami kryptowalutowymi w ramach CLARITY Act