Криптовалютные компании тратят большие средства на аудит безопасности, но хакеры по-прежнему уносят миллиарды долларов. Согласно новому отчету Oak Security, многие из крупнейших атак больше не нацелены на недостатки в коде смарт-контрактов. Вместо этого злоумышленники используют украденные учетные данные, слабый внутренний контроль и операционные ошибки.
С 2022 года киберпреступники, в том числе северокорейская группа Lazarus, украли с криптоплатформ более 2,2 миллиарда долларов. За тот же период в отрасли резко увеличилось количество проверок кода. Однако многие серьезные нарушения безопасности возникли в областях, которые традиционные аудиты не предназначены для оценки, включая управление закрытыми ключами, механизмы управления и средства внутреннего контроля безопасности.
В отчете указывается на растущий разрыв между тем, что может защитить аудит, и тем, как сейчас действуют злоумышленники. В результате эксперты по безопасности говорят, что криптофирмам необходимо выйти за рамки кода и укрепить системы и процессы, которые защищают средства клиентов.
Злоумышленники выходят за рамки смарт-контрактов
Аудит кода стал гораздо более сложным, помогая разработчикам выявлять уязвимости до запуска проектов и уменьшая количество ошибок, обнаруживаемых в смарт-контрактах. Но по мере совершенствования технологий хакеры изменили свой подход.
Злоумышленники пытаются использовать людей и системы внутри организации, а не ошибки в коде. К таким типам атак относятся фишинговые атаки, кража закрытых ключей, использование обновлений системы и внутренние угрозы. Многие масштабные кражи в последнее время происходят именно из-за таких атак, а не изъянов в кодировании приложений.
Исследователи заявили, что проверки по-прежнему работают должным образом, выявляя проблемы безопасности еще до развертывания. Проблема в том, что аудит может только оценивать код. Они не могут помешать сотруднику передать учетные данные, одобрить мошенническую транзакцию или стать жертвой фишинговой атаки. В результате одного только надежного кода уже недостаточно для защиты криптоплатформы.
Связанный: Binance рискует потерять доступ в ЕС, поскольку Греция отклоняет лицензию MiCA
Ложная уверенность создает новые риски
Криптопроекты часто указывают на аудит безопасности как на доказательство безопасности своих платформ, подчеркивая завершенные проверки и отчеты аудиторских фирм. У многих пользователей такие проверки могут создать впечатление, что проект защищен от серьезных сбоев в системе безопасности.
Исследователи говорят, что это предположение может ввести в заблуждение. Аудит оценивает код проекта только в определенный момент времени. Новые риски могут возникнуть по мере того, как платформы обновляют свою инфраструктуру, меняют структуры управления или расширяют свою деятельность.
Недавний взлом KelpDAO подчеркивает эту проблему. Хотя атака не была связана с ошибкой в проверенном коде смарт-контракта, пользователи все же увидели, как другая криптоплатформа теряла средства. Эксперты по безопасности говорят, что большинство инвесторов не различают сбой кодирования и сбой в работе, когда деньги потеряны.
Согласно отчету, для снижения этих рисков потребуется нечто большее, чем просто проверка кода. Исследователи заявили, что проекты должны усилить безопасность закрытых ключей, улучшить системы мониторинга, расширить обучение сотрудников безопасности и добавить меры безопасности, которые могут обнаружить подозрительную активность до того, как убытки возрастут.
Связанный: SBF говорит, что может запустить новую монету после тюрьмы, поскольку потерянные инвестиции достигают миллиардов