Hacken分析师表示,许多加密货币公司甚至无法达到加密货币安全标准的基线,导致数十亿人面临内部威胁和凭证泄露。
在加密货币中,一次安静的智能合同更新可以撤销数月的安全工作。然而,区块链取证公司Hacken的分析师表示,该行业仍然将审计视为品牌工具,而不是它们应该成为的呼吸检查站。
Hacken in首席执行官Dyma Budorin在接受Crypto.news独家采访时表示,审核“不应被视为主页上的复选框或徽标”。在他看来,太多的项目依赖于其代码的静态快照并就此结束。但一旦代码发生变化--而且经常发生变化--审计的相关性就会消失。他警告说:“一旦合同变更,每项审计都会过时。”
问题不仅在于缺乏审计,还在于缺乏在部署后监控代码的系统。哈肯认为,如果没有持续的验证和重新审计,团队可能会陷入错误的安全感。
“一个被忽视的功能可能会打开灾难之门。真正的问题不仅在于审计覆盖范围,还在于审计的相关性。我们需要跟踪每一项变更、重新验证假设并在需要时触发重新审计的系统。否则,只需一次无声更新,就能破解您认为安全的一切。”
迪玛·布多林
该团队建议转向更加标准化和自动化的检查。象征性执行、模糊化和正式验证等事情应该成为发射清单的一部分,而不是可选的附加内容。他们表示,在没有首先通过一组基线自动化测试的情况下,任何智能合同都不应该上线。
但即便如此还不够。合同生态系统发生变化。升级发生。有时,他们不会--即使他们应该这样做。哈肯希望看到对可移植性有更好的控制。当发现风险时,协议应鼓励修补甚至停用遗留合同。正如哈肯团队指出的那样,“补丁往往是靠运气,或者更糟糕的是,任由黑客摆布。”
最后,传达的信息很简单:如果加密货币想要成长为基础设施层--基础性的,而不仅仅是推测性的--那么安全性就不能成为事后的想法。
多重签名还不够
但代码并不总是问题。在一些最大的加密货币漏洞中,链下内容首先崩溃。以Bybit为例。由于多重签名设置受损,该交易所损失了近15亿美元。不是因为代码中的错误,而是因为操作安全性看起来很差。
“许多加密货币平台忽视了基本的链下安全原则、安全运营实践以及加密货币安全标准中概述的具体要求,使自己容易受到类似威胁。”
Dmytro Yasmanovych,Hacken合规主管
亚斯曼诺维奇表示,该团队建议加密货币公司紧急实施或加强符合CCSS的几项实用安全控制。例如,其中包括在所有关键链下操作中使用安全的硬件支持方法(例如生物识别解决方案或物理令牌)部署多因素身份验证,以抵御基于证书的攻击。
他还强调需要制定明确的交易授权政策,并制定有记录的角色、批准门槛和防止未经授权活动的程序。此外,Yasmanovych建议公司为敏感操作(包括交易请求和批准)定义和执行安全、加密的通信渠道。
打扮成创新的退出流动性
但哈肯最具争议的见解也许是针对LIBRA代币的,这是一种政治炒作的memecoin,最终以教科书般的地毯拉来告终。据哈肯团队称,内部人士可能通过市场炒作出售而获得了超过3亿美元的奖金。
LIBRA代币声称引入“集中流动性”,但对于哈肯的首席执行官来说,事实并非如此。
“对于新来者来说,听起来他们是在强化市场或为代币增值,但实际上,这只是一种在特定价格点下大额卖出订单的复杂方式。当价格因炒作而飙升时,这些订单立即将代币转换为现金,让内部人士带着巨额利润退出。这不是创新,而是退出流动性。永远不要投资这样的事情。这扼杀了人们对该领域的信任,并将该行业变成了马戏团。”
迪玛·布多林
哈肯认为,加密货币可以而且应该借鉴传统金融的一些想法来避免此类事情。在受监管的市场中,内部人士必须披露主要持股和计划出售。也许加密项目应该开始做同样的事情。披露代币组学、授予时间表和团队分配应该是常态,而不是例外。
虽然全面监管仍然是一个争论的问题,但Hacken建议该领域至少需要监督机制。想想第三方监控平台、公共评级系统或监管机构,它们可以在为时已晚之前标记奇怪的代币行为或异常的流动性事件。在那之前,信任将仍然不稳定。每一个退出骗局或秘密造币厂只会让加密货币进一步远离公共合法性。
