نظر: حکایت امنیتی رمزارزها با بازرسیهای معمولی حل نخواهد شد. بدون بهروزرسانی ساختار بازرسی فعلی، احتمالا حوزه کریپتو همچنان ضررهای قابل توجهی را متحمل خواهد شد، توضیح میدهد بایر. پژوهشهای ما در اوک سکوریتی نشان میدهد که بیشتر حملات موفق، بر اهداف انسانی تمرکز دارند. در واقع، زمانی که علل اصلی بهرهبرداریهای مخرب را بررسی میکنیم، اکثر آنها به طور کامل از سطح حمله محافظت شده توسط بازرسیها عبور میکنند. به عبارت دیگر، میان قابلیتهای آسیبپذیریهایی که بازرسیهای سنتی بررسی میکنند و آسیبپذیریهایی که مهاجمان بهرهبرداری میکنند، تناقض واقعی وجود دارد. حوزه رمزارز این روند را ادامه خواهد داد مگر اینکه این ناهماهنگی از طریق گسترش تدابیر امنیتی برای شامل کردن اهداف انسانی و عملیاتی و با هدف بهروزرسانی زیرساختهای بازرسی فعلی برطرف شود.
بازرسیها پیشرفت کردهاند اما تاثیر قابل توجهی ندارند
بدون شک، بازرسی کد در سالهای اخیر بسیار پیشرفتهتر شده است. شرکتهای امنیتی اکنون ابزارها و روشهای پیشرفتهای برای یافتن آسیبپذیریها در قراردادهای هوشمند قبل از انتشار دارند. کیفیت کد صنعت واقعاً بهبود یافته است. بازرسیها همان کاری را که قرار است انجام دهند، انجام میدهند — کشف خطاهای کد. و این مؤثر است. حملات کمتری نسبت به قبل از سوء استفاده از کدهای معیوب برای سرقت وجوه از پلتفرم صورت میگیرد.
مشکل اما در این است که تفاوت روز افزونی بین آنچه بازرسیها بررسی میکنند و آن چیزی که مهاجمان در واقع بهرهبرداری میکنند، وجود دارد. بزرگترین ضررهای فعلی صنعت در واقع از آسیبپذیریهای قراردادهای هوشمند سنتی نشأت نمیگیرند، بلکه از کلیدهای خصوصی مخدوششده، دستکاری حاکمیت، نفوذ داخلی، بروزرسانیهای مخرب وابستگیها و شکستهای عملیاتی ناشی میشوند.
در حالی که به شناخت آسیبپذیریهای کد بسیار مهارت دارند، بازرسیهای سنتی نمیتوانند از قربانی شدن یک توسعهدهنده در کمپین فیشینگ جلوگیری کنند. بهترین کد دنیا هم میتواند بر بستر زیرساختهای عملیاتی آسیبپذیر قرار گیرد.
پژوهشهای ما نشان میدهد که وقتی آسیبهای مالی در نظر گرفته میشوند، بهرهبرداریهای عملیاتی اغلب بسیار مخربتر از آسیبپذیریهای کد هستند. صنعت سرمایهگذاری عظیمی در کاهش ریسک قراردادهای هوشمند انجام داده است، اما مسیرهای حمله پر هزینهتر هنوز نسبتاً در مقابل دفاع کمتوجه ماندهاند. گویی صنعت هنوز بر دفاع در برابر نسل قبلی حملات تمرکز دارد، در حالی که مهاجمان به سراغ استراتژیهای جدید رفتهاند.
بازرسیها تنها یک توهم خطرناک از ایمنی ایجاد میکنند
پلتفرمها غالباً تعداد بازرسیهایی که انجام دادهاند، شهرت شرکتهایی که استخدام کردهاند یا حجم یافتههای شناساییشده در بررسیها را تبلیغ میکنند. این شاخصها اکنون معیارهای خلاصهای برای امن بودن پروژه هستند.
اما بازرسی نباید به عنوان تضمین دائمی امنیت تلقی شود. این یک ارزیابی محدود از یک پایگاه کد خاص در لحظه خاص است، که تحت دامنه مشخص و فرضهای خاص انجام میشود. هر زمانی که یک پروتکل بروزرسانی میشود، زیرساختهای جدیدی ادغام میکند، فرآیندهای حاکمیتی را تغییر میدهد یا شیوههای عملیاتیاش را دگرگون میسازد، وضعیت امنیتی آن هم تغییر میکند.
وقتی پروژهها خود را کاملاً بازرسیشده قلمداد میکنند، درواقع توهمی خطرناک برای کاربران و تیمها ایجاد میشود، چون این نشان اعتماد میتواند اعضا و ذینفعان را وادار کند تصور کنند امنیت حل شده است. در حالی که، خطرات جدیتر هر روز در خارج از پایگاه کد هستند.
عواقب و راهکارها
ما درک میکنیم که هر بار که یک پروتکل دچار بهرهبرداری فاجعهباری میشود، اعتماد عموم به کل اکوسیستم کاهش مییابد. این موضوع بهخصوص در مورد هک اخیر KelpDAO احساس شد. اکثر کاربران تفاوت بین یک باگ در قرارداد هوشمند و شکست نقطهای در خارج از زنجیره را نمیفهمند. آنها صرفاً شاهد از دست رفتن میلیونها دلار در یک پروتکل که به نظر امن است، در یک شب میمانند.
کریپتو در صورت ادامه ناپایداری امنیتی، نمیتواند به طور واقعی پذیرش عمومی داشته باشد. چرا کسی باید اصل سرمایه خود را در خطر بیندازد برای کسب سود کوچک؟
بازرسیها همچنان ضروری هستند، اما صنعت باید آنها را تنها راه حل امنیتی ندانسته و نگاه عمیقتر و فراگیرتری داشته باشد. کریپتو نیازمند دفاع در عمق است که شامل بازبینی قوی کد، تقویت امنیت عملیاتی و آموزش داخلی امنیتی دقیق باشد.
نیازمند مدیریت کلید قوی، تمرکززدایی امضاءکنندگان، محدودیتهای حاکمیتی، تشخیص رفتار غیرعادی، نظارت لحظهای و قطعکنندههای مدار است. اساساً هر چیزی که حملات اهداف انسانی را دشوارتر کند.
پلتفرمها تنها محصولات نرمافزاری نیستند، بلکه سازمانهای زندهای هستند با سطوح حمله انسانی. فاز بعدی بلوغ امنیتی رمزارزها متعلق به پروژههایی است که این تمایز را درک میکنند، زیرا مهاجمان قبلاً این کار را انجام دادهاند و به جای پایگاه کد، به دنبال نقاط ضعف در سیستمهای انسانی هستند. آنها انگیزه و اقدام بسیار قوی برای یافتن این آسیبپذیریها دارند. اکنون نوبت امنیت است که سطح خود را بالا ببرد.
