加密货币公司在安全审计上投入巨资,但黑客仍在窃取数十亿美元。根据 Oak Security 的一份新报告,许多最大的攻击不再针对智能合约代码中的缺陷。相反,攻击者正在利用被盗的凭据、薄弱的内部控制和操作错误。
自 2022 年以来,包括朝鲜 Lazarus Group 在内的网络犯罪分子已从加密平台窃取了超过 22 亿美元。同期,业界代码审核数量急剧增加。然而,许多重大安全漏洞源自传统审计无法评估的领域,包括私钥管理、治理机制和内部安全控制。
该报告指出,审计可以保护的内容与攻击者现在的操作方式之间的差距越来越大。因此,安全专家表示,加密货币公司需要超越代码,并加强保护客户资金的系统和流程。
攻击者不再局限于智能合约
代码审计变得更加复杂,可以帮助开发人员在项目上线之前发现漏洞,并减少智能合约中发现的缺陷数量。但随着技术的进步,黑客也改变了他们的方法。
攻击者试图利用组织内部的人员和系统,而不是编码中的错误。此类攻击包括网络钓鱼攻击、窃取私钥、利用系统更新和内部威胁。最近发生的许多大规模盗窃事件都是由此类攻击造成的,而不是应用程序编码中的缺陷。
研究人员表示,审计仍在按预期进行,在部署前确定安全问题。问题是审计只能评估代码。它们无法阻止员工交出凭证、批准欺诈交易或成为网络钓鱼攻击的受害者。因此,强大的代码本身已不足以保护加密平台。
相关:由于希腊拒绝 MiCA 许可证,币安面临失去欧盟准入的风险
错误的信心造成新的风险
加密项目通常将安全审计作为其平台安全的证据,并强调审计公司已完成的审查和报告。对于许多用户来说,这些审核会给人留下这样的印象:项目受到保护,不会出现重大安全故障。
研究人员表示,这种假设可能会产生误导。审计仅在特定时间点评估项目的代码。随着平台更新基础设施、改变治理结构或扩大运营,可能会出现新的风险。
最近的 KelpDAO 黑客事件凸显了这一挑战。尽管这次攻击与经过审计的智能合约代码中的缺陷无关,但用户仍然看到另一个加密平台损失了资金。安全专家表示,当资金损失时,大多数投资者不会区分编码故障和操作故障。
根据该报告,降低这些风险需要的不仅仅是代码审查。研究人员表示,项目应加强私钥安全、改进监控系统、扩大员工安全培训,并增加能够在损失升级之前检测可疑活动的保障措施。
相关:SBF 表示,由于投资损失达数十亿美元,他可能会在出狱后推出新代币