Kryptovintern 2023 har varit utmanande för många, inte minst tjuvarna som riktar sig mot kryptoplånböcker, plattformar och tokenprotokoll. Hittills i år har de bara lyckats stjäla 1 miljard dollar i kryptotillgångar – ett brant fall från 2022 års rekord på 3.8 miljarder dollar.
Tyvärr verkar nedgången ha mer att göra med en minskning av tillgängligt kapital än med starkare försvar. Och medan omfattningen av attacker har minskat har deras frekvens faktiskt ökat kraftigt: från 60 hacks 2022 till 75 i slutet av oktober. Och året är inte över.
Om decentraliserad finansiering någonsin ska bli allmänt accepterad av privata och institutionella investerare, måste den uppnå sitt mål att demokratisera global finans.
Vi måste kollektivt bli bättre på att täppa till kryphålen som illvilliga aktörer för alltid är ute efter att glida igenom.
Nyckeln till att låsa dörren mot dåliga skådespelare? Vi måste avsevärt förbättra säkerhetsrevisionen, som för närvarande i bästa fall är inkonsekvent och i värsta fall en stämpelövning.
Specifikt behöver vår bransch som helhet anta en konsekvent revisionsmetodik för decentraliserad teknik som är rigorös, standardiserad och repeterbar – lika robust som den som skyddar traditionell ekonomi.
En sådan revisionsstandard, tillsammans med ett offentligt åtagande från revisionsföretagen till principen om ansvarsfullt offentliggörande – viljan att ropa ut projekt som vägrar att lyssna på eller agera på rekommendationer – kommer att uppmuntra projekten själva att höja sina säkerhetsstandarder.
Atomic Wallets vägran att lyssna till ett offentligt avslöjande i februari 2022 om allvarliga säkerhetsbrister från revisorn Least Authority resulterade i att hackare förlorade mer än 100 miljoner dollar i juni 2023.
När det är som bäst är en tredjepartssäkerhetsrevision en grundlig undersökning av ett skickligt team som analyserar varje aspekt av ett systems design och implementering, letar efter svagheter och brister som kan påverka verksamheten eller användarna – eller erbjuder dåliga aktörer tillgång till känslig data eller tillgångar.
En bra revision bedömer också noggrant om utvecklare och designers har följt bästa praxis vid skapandet och utrullningen av ett system.
Sårbarheter finns i många former; felaktig eller otillräckligt säker kryptografi, känsliga informationsläckor, oskyddade systemdelar, inkonsekvenser mellan systemdesigndokumentation och koden som används vid implementeringen.
Svagheter som dessa kan resultera i allt från exponering av känslig och hemlig användardata till förlust av användar- och systemtillgångar.
Att revisioner är så detaljerade – och konsekventa – som möjligt är därför väsentligt för både ett projekt och dess användares säkerhet.
Det finns dussintals företag där ute som erbjuder revisionstjänster, men utan branschstandard kan och varierar kvaliteten drastiskt. Inte ens inom välrenommerade företag finns det varken konsensus om vad som bör granskas eller en konsekvent uppsättning måttstockar.
Det finns naturligtvis ingen garanti för att även de mest erfarna revisorerna antingen kommer att nosa upp varje svaghet i ett system eller skydda varje användare från förlust. Men om de utförs noggrant och regelbundet har säkerhetsrevisioner visat sig kraftigt minska risken för att en allvarlig sårbarhet inte upptäcks.
Läs mer från vår åsiktssektion: Det är dags för blockchain-säkerhetsföretag att slå sig samman
Revisioner kan dock inte stoppa sociala ingenjörsattacker – de som involverar manipulation av människor – som när den nordkoreanska gruppen Lazarus övertygade ingenjörer vid en oidentifierad kryptobörs tidigare i år att ladda ner skadlig programvara förklädd som en arbitragebot. Att förhindra den typen av attack kommer bara från vaksamhet och teamträning.
Det är sant att varje revision kommer att vara annorlunda, precis som varje projekt är olika.
Men min långa erfarenhet inom säkerhetsrevisionsområdet har lärt mig att det finns specifika steg som en revisor måste vidta för att maximera effektiviteten av säkerhetsrevisionen till förmån för kunder, användare och ekosystemet.
Vilka är dessa krav? En revisionsstandard som syftar till att göra decentraliserade system mer motståndskraftiga och skydda sina användare från potentiella förluster måste innehålla en uttömmande bedömning av följande:
- Projektets hotmodell
- Säkerheten genom design
- Säkerheten för genomförandet
- Användningen av beroenden
- Testning
- Projektdokumentation
- Revisionens omfattning och om den är tillräcklig eller inte.
För att säkerställa att varje förbättring av standarder gynnar blockchain som helhet, förespråkar vi också kunskapsdelning och skapandet av kollektiva nyttigheter såsom forskning, verktyg och utbildning.
Genom att arbeta tillsammans för att förbättra standarderna för säkerhetsrevisionsbranschen som helhet – och därmed den decentraliserade tekniksfären – kan vi gå långt mot att stoppa blockchain black hat hackers från att slå 2022 års rekord för stulna kryptotillgångar.
Och det är ett rekord vi inte vill se slås igen.
Hind Kurhan är en av grundarna av Thesis Defense, ett decentraliserat tekniksäkerhetsrevisionsföretag vars uppdrag är att underlätta bred användning av decentraliserad teknologi genom att förbättra säkerheten och revisionskonsistensen i hela blockchain-sfären.
Missa inte nästa stora berättelse – gå med i vårt kostnadsfria dagliga nyhetsbrev.
Källa: https://blockworks.co/news/blockchain-audit-security-standards