A seguir, é apresentado um post de Michael Egorov, Fundador do Curve Finance.
O bybit recente Hack viu um total de US $ 1,5 bilhão perdido em ativos de criptografia e se tornou o maior hack de toda a história desse setor. O que faz com que essa violação seja particularmente preocupante é que os hackers direcionaram o armazenamento a frio da Bybit – normalmente a parte mais segura da infraestrutura de uma troca.
Enquanto bybit movido Rapidamente para reabastecer suas reservas com a ajuda de parceiros, todo o evento ainda deixou muitas pessoas abaladas. Essa situação levanta mais uma vez preocupações de segurança. Quão vulneráveis são as trocas de criptografia e que lições a indústria deve ter dessa violação?
O risco crescente de plataformas CEX
Do jeito que eu vejo, esse incidente é mais do que apenas mais um ataque-é um alerta expondo as falhas de segurança sistêmica das trocas centralizadas. Apesar de implementar medidas estritas de segurança, as plataformas CEX continuam sendo alvos principais para hackers. Por que? Precisamente por causa de sua natureza centralizada.
Diferentemente da Defi, onde os fundos do usuário são distribuídos em carteiras auto-sustentadas, as plataformas centralizadas armazenam ativos em uma infraestrutura controlada. Isso cria a possibilidade de um único ponto de falha, onde a violação de uma única camada de segurança pode dar aos atacantes acesso fácil a vastas quantidades de fundos. Depois disso, acabou. Qualquer recuperação de fundos deve confiar em supervisão centralizada, assistência de agentes externos e pura sorte.
Chapestalisia relatório Claramente, mostra que, em 2024, os serviços centralizados foram os mais direcionados, marcando uma mudança notável dos Hacks Defi para Cefi. Isso é confirmado ainda mais pelo Hacken’s dados Esse CEFI viola mais que dobrou no ano anterior, levando à perda de quase US $ 700 milhões. As vulnerabilidades de controle de acesso foram destacadas entre as principais causas de violações.
Isso confirma que as trocas precisam repensar sua abordagem à segurança.
A opinião alternativa da Defi sobre a segurança dos ativos
O bom das plataformas Defi é que sua própria natureza minimiza os riscos que abordamos acima. Em vez de confiar em uma infraestrutura centralizada, os protocolos DEFI aproveitam contratos inteligentes e mecanismos de segurança criptográfica para proteger os ativos. Isso elimina a possibilidade de pontos centralizados de falha – não há uma entidade única que possa ser explorada para drenar os fundos do usuário.
No entanto, deve -se notar que o Defi não tem riscos próprios. Como opera em um ambiente sem permissão, os hackers estão sempre presentes. E como as transações são irreversíveis, a única proteção verdadeira é o código sem falhas. O código mal escrito pode levar a vulnerabilidades, mas se não houver erros, os hackers não poderão tirar proveito deles para entrar.
Segurança 2024 de Hacken relatório Indica que as explorações do contrato inteligente representaram apenas 14% das perdas de criptografia em 2024. É por isso que acredito que as auditorias de contrato inteligentes são essenciais para garantir os mais altos padrões de segurança possíveis.
Ai em segurança cibernética: uma faca de dois gumes
Como a inteligência artificial está se tornando um tópico mais acalorado todos os dias, há muitos no mercado de criptografia que se perguntam que papel ele desempenhará na segurança. Então, eu vou oferecer meus dois centavos sobre o assunto.
Primeiro de tudo, as ferramentas de IA ainda não foram desenvolvidas a ponto de seriam eficazes nessas tarefas. Mas quando eles chegam a esse nível, é muito provável que eles sejam eficazes.
As ferramentas de IA adequadamente desenvolvidas podem ser altamente úteis quando se trata de simular e analisar a execução de contratos inteligentes. Em outras palavras, eles podem ajudar a detectar vulnerabilidades em contratos inteligentes, permitindo que os desenvolvedores corrigissem os orifícios de segurança bem antes de os hackers baterem.
Os testes automatizados e as auditorias assistidas por AA também podem melhorar significativamente os padrões de segurança, tornando os sistemas DEFI e CEFI mais robustos. Mas seria aconselhável não confiar completamente na inteligência artificial em tais assuntos – mesmo essa tecnologia pode perder as coisas.
Ao mesmo tempo, as ferramentas de IA também podem ser armadas por hackers para digitalizar sistemas e identificar falhas para explorar mais rápido do que nunca. Isso significa inevitavelmente uma corrida armamentista entre equipes de segurança e hackers, onde as plataformas terão que ficar constantemente um passo à frente.
E a única coisa que eu absolutamente aconselho é usar a IA para escrever os contratos inteligentes reais. Dado o nível atual de desenvolvimento dessa tecnologia, o código escrito pela IA ainda não pode corresponder aos desenvolvedores humanos em qualidade ou segurança.
O que as trocas de criptografia devem fazer a seguir?
Até agora, todas as trocas centralizadas implementam as melhores práticas do setor, como carteiras multispensadas e outros protocolos de segurança. No entanto, como o hack de bybit mostrou, essas medidas não parecem suficientes por conta própria.
O CEXS cria inerentemente pontos centralizados de falha. Enquanto devem ser altamente protegidos, eles permanecem pontos únicos de ataque, tornando -os alvos atraentes para hackers. Uma solução potencial para esse problema pode ser introduzir carteiras controladas pelo usuário com camadas extras de supervisão gerenciadas pelas trocas. No entanto, também é sabido que a autoconfiança e o gerenciamento de chaves são extremamente inconvenientes para a maioria dos usuários. Portanto, essa não é uma abordagem particularmente segura.
Nesse caso, o que as trocas podem fazer de maneira diferente do lado deles?
Primeiro de tudo, precisamos reconhecer que muitos mecanismos de segurança usados por essas plataformas atualmente, incluindo carteiras multi -signaturas, dependem das tecnologias da Web 2.0. Isso significa que sua segurança depende não apenas de quão robustos os contratos inteligentes são, mas também para a segurança dos frontends baseados na Web. As UIs com as quais os usuários interagem e através dos quais esses contratos inteligentes são acessados.
Os problemas na segurança do front -end podem prejudicar todo o sistema, se os hackers encontrarem uma maneira de comprometer -o. Mas garantir a segurança aqui é um desafio e meio. Os aplicativos da Web geralmente dependem de milhares de dependências (a interface do usuário da Uniswap, por exemplo, tem mais de 4.500), os quais representam um potencial vetor de ataque. Se mesmo uma dessas dependências for comprometida, os hackers poderão injetar código malicioso na interface sem nunca precisar atacar o sistema principal.
Como tal, os desenvolvedores devem garantir que não apenas seu próprio código seja seguro, mas também todos os softwares de que sua plataforma depende.
Uma boa solução seria para grandes trocas usarem UIs da Web auto-hospedadas. Eles existem, inclusive para a carteira segura, em particular. Uma opção ainda melhor seria usar um software especialmente projetado que ignora completamente as tecnologias da Web tradicionais ao interagir com contratos inteligentes. Por exemplo, existe uma ferramenta oficial da CLI para carteiras seguras, que reduz significativamente o número de dependências (por um fator de cerca de 100), reduzindo o risco de ataques da cadeia de suprimentos.
Além disso, toda a assinatura de transações de alto valor deve ser realizada em máquinas isoladas usadas exclusivamente para esse fim e nada mais. Isso minimiza o risco de o fator humano desempenhar um papel em comprometer a infraestrutura de assinatura com malware. Outra abordagem pode estar alavancando sistemas operacionais de contêiner como Qubesos – eles são bastante exóticos no momento, mas oferecem segurança aprimorada como parte de sua filosofia de design.
E, é claro, embora as carteiras de hardware sejam a prática padrão que todos usam, quando transações de alto valor estão envolvidas, é fundamental que as trocas implementem mecanismos para verificar o que, exatamente, essas carteiras estão assinando. Atualmente, as carteiras de hardware não facilitam essa tarefa, mas existem ferramentas disponíveis no mercado que podem ajudar na verificação dos dados da transação antes da execução.
Em suma, a implementação de qualquer uma dessas medidas não é uma façanha simples – isso é uma verdade que deve ser reconhecida. Talvez a indústria como um todo precise estabelecer recomendações formalizadas de segurança ou até desenvolver sistemas operacionais especializados adaptados para interação segura com criptografia fora da caixa.
Mas também é verdade que, sem atualizações significativas para a infraestrutura de segurança, os riscos representados para o CEXS só continuarão a crescer.
Mencionado neste artigo
source – cryptoslate.com
