Наша слепая зона аудита: будущее Web3 зависит от переосмысления безопасности | Мнение

Большую часть 2024 года мне казалось, что я живу в будущем. Примечательно, что Google представила квантовый вычислительный чип, способный выполнять вычисления, которые заняли бы у обычного компьютера больше времени, чем существует Вселенная. Кроме того, беспилотные автомобили Waymo еженедельно перевозили около 150 000 человек. Более того, модели искусственного интеллекта, такие как AlphaFold, добились значительных успехов в решении сложных биологических головоломок с поразительной точностью.

В отличие от быстрого прогресса в других областях, в некоторых областях нашей отрасли, похоже, наблюдается застой, особенно когда дело касается вопросов безопасности. Несмотря на то, что передовые технологии произвели революцию во многих отраслях, аспект безопасности Web3 по-прежнему сталкивается с постоянными проблемами.

Как исследователь, изучающий мир Web3, я заметил, что переход от централизованной структуры Web2 к децентрализованной архитектуре Web3 значительно расширил возможности для потенциальных атак. Хотя децентрализация действительно является краеугольным камнем инноваций Web3, она парадоксальным образом создает проблему безопасности: сама открытость и распределение, которые расширяют возможности пользователей, также расширяют постоянно уязвимую поверхность для атак. Учитывая огромный объем транзакций, исчисляемый сотнями миллиардов в год, важность защиты этой системы никогда не была более критичной.

Несмотря на быстрое увеличение количества потенциальных уязвимостей и огромные средства, проходящие через эти системы, наш сектор продолжает полагаться на традиционные, ручные оценки безопасности в качестве своей основы. Этот метод, когда-то считавшийся вершиной безопасности Web3, оказался крайне неадекватным и устаревшим. Факты подтверждают это; подавляющее большинство эксплуатируемых контрактов уже прошли аудит.

Точно так же, как разработка программного обеспечения для Web2 перешла от использования исключительно ручного тестирования к включению многочисленных инструментов, таких как непрерывная интеграция, автоматическое тестирование и мониторинг времени выполнения, эволюция Web3 требует аналогичного изменения в нашем подходе к разработке, направленного на развертывание на широкая аудитория.

Уникальные проблемы Web3 

Текущее состояние мер безопасности смарт-контрактов вызывает серьезную обеспокоенность, учитывая потенциальную серьезность инцидента безопасности Web3. Вот три основных фактора, способствующих этому:

1. Отсутствие стандартизации и лучших практик разработки и внедрения смарт-контрактов.
2. Недостаточное тестирование и аудит смарт-контрактов перед их запуском на блокчейне.
3. Сложность кода смарт-контракта, из-за которой сложно выявлять уязвимости и оперативно их устранять.

1. Неизменяемость. При развертывании смарт-контракта его код становится постоянным. Неизменяемость — это основная функция, а не ошибка. Это означает, что, в отличие от приложений web2, где разработчики могут быстро исправлять уязвимости, исправление недостатков смарт-контрактов требует сложной координации всего протокола. 
2. Видимость. Эту проблему усугубляет публичный характер кода блокчейна, благодаря которому потенциальные злоумышленники могут видеть исходный код. Если уязвимости существуют, злоумышленники могут (и будут) их найти.
3. Прямой контроль над активами.  Что наиболее важно, уязвимости Web3 подвергают непосредственный риск реальным активам. В то время как атаки Web2 обычно нацелены на данные, эксплойты смарт-контрактов приводят к прямым, часто необратимым финансовым потерям.

Уникальные качества, которые делают web3 революционным — его постоянство, открытость и контроль пользователей над активами — также требуют фундаментального изменения в нашем подходе к безопасности.

Почему одних только аудитов недостаточно 

Чтобы внести ясность: я не оспариваю важность аудитов, поскольку они имеют решающее значение для обеспечения безопасности смарт-контрактов. Однако полагаться исключительно на аудиты – не лучший подход. Когда аудит является нашей единственной защитой, активы пользователей остаются уязвимыми. Взлом Euler Finance в 2023 году служит ярким напоминанием; несмотря на десять отдельных проверок, убытки составили более 200 миллионов долларов.

Одна из серьезных проблем, связанных с зависимостью от аудита, проводимого людьми, заключается в том, что даже самые опытные аудиторы могут упустить определенные проблемы; люди склонны к ошибкам. По мере усложнения смарт-контрактов каждая добавленная функция создает все больше потенциальных уязвимостей, что чрезвычайно затрудняет любую ручную проверку для обнаружения всех возможных уязвимостей. Тот факт, что проект может пройти десять отдельных проверок и все равно быть взломанным, демонстрирует эту проблему: дело не в способностях аудиторов, а, скорее, в внутренних ограничениях ручной оценки.

Аргументы в пользу проактивной безопасности

По сути, чрезмерная зависимость нашей области от аудита привела к появлению необъяснимого стандарта безопасности Web3, где активная защита смарт-контрактов является скорее редкостью, чем обычным явлением. Понимание того, что Web3 развивался, в то время как безопасности пренебрегали, стало причиной создания в 2022 году Olympix, платформы безопасности Web3, ориентированной на разработчиков, призванной помочь программистам защитить свою работу во время ее создания.

Наша цель — автоматизировать значительную часть процедуры аудита, выявляя 20–50% потенциальных уязвимостей еще до первоначального аудита. Такой подход позволяет специалистам по безопасности сконцентрироваться на обнаружении критических и инновационных уязвимостей, а не на решении рутинных проблем. Система доказывает свою эффективность; Оценка внутри нашей организации показала, что в третьем квартале 24 года ранее проверенные контракты на сумму около 60 миллионов долларов были бы защищены от злоупотреблений, если бы команды использовали наши инструменты. В эту цифру входят такие громкие хаки, как Pendle (6,5 млн долларов) и LIFI (600 тыс. долларов). Тем не менее, важно отметить, что продвинутые инструменты, такие как Olympix, не являются комплексным решением. Сложности Web3 требуют сложного, многоуровневого подхода, который объединяет проактивные, ориентированные на разработчиков инструменты с традиционными аудитами, программами вознаграждения за ошибки и мониторингом в цепочке для создания нескольких уровней защиты.

Путь вперед: от реагирования к проактивности

Рассмотрите свои текущие стратегии безопасности. Основаны ли они главным образом на периодических оценках? Соответствуют ли ваши меры безопасности сложности и риску, связанным с реализуемыми вами проектами? Кажется вероятным, что во многих организациях до сих пор существует значительное несоответствие между их методами обеспечения безопасности и требуемым уровнем защиты.

В 2025 году мы обладаем всеми необходимыми технологиями, чтобы произвести революцию в безопасности Web3. Средства для безопасной реализации смарт-контрактов уже доступны, и такие решения, как Olympix, входят в число таких инструментов, находящихся в нашем распоряжении.

Я твердо уверен, что будущее нашей отрасли будет определяться доверием, особенно в защите активов, которые другие полагаются на нас. Web3 действительно приносит трансформацию, но он также требует усилий. Учитывая значительную ценность игры, отказоустойчивость и долговечность web3 лежат на наших плечах. Давайте примем меры, чтобы обеспечить себе безопасное будущее.

Смотрите также

• Будущее Pepe: прогнозы цены на криптовалюту PEPE
• 10 лучших мем-монет 2024 года: оглядываясь назад
• Будущее Algorand: прогнозы цены на криптовалюту ALGO
• Что такое ферма для майнинга криптовалют? Полное руководство
• Будущее UXLINK: прогнозы цены на криптовалюту UXLINK
• Акции MVID. М.видео: прогноз акций.
• Будущее Velo: прогнозы цены на криптовалюту VELO
• Будущее Sushi: прогнозы цены на криптовалюту SUSHI
• Будущее COTI: прогнозы цены на криптовалюту COTI
• Agora и Galaxy заключили первую внебиржевую транзакцию AUSD

2025-01-08 16:34