Можно с уверенностью сказать, что 2020 год стал знаменательным для области цифровых активов. Биткойн (BTC) превысил свой предыдущий максимум, а многие другие известные криптовалюты достигли наивысшего уровня со времен расцвета 2017 и начала 2018 года. В индустрии финансовых услуг институциональные голоса вновь выражают интерес к цифровым активам. Невозможно игнорировать рост и развитие этого пространства, что вселяет большой оптимизм в тех, кто создает платформы и системы, на которых оно работает.
К сожалению, не все заголовки прошлого года были положительными. Были взломаны несколько известных криптобирж и других организаций, что привело к значительным убыткам. Подобные события не только наносят ущерб репутации фирмы и потенциально разрушительны для инвесторов, но и подрывают с трудом завоеванное доверие к пространству цифровых активов среди институциональных инвесторов и общественности.
Многих из этих взломов можно было бы избежать, если бы соответствующие компании предприняли активные шаги по модернизации своей технологической инфраструктуры. По мере того, как мы завершаем этот бурный год для цифровых активов, одной из главных задач отрасли на 2021 год должно стать пересмотр подхода к инфраструктуре и внесение изменений, чтобы инвесторы всех мастей могли торговать и совершать сделки с безопасностью, эффективностью и спокойствием.
Давайте рассмотрим три наиболее значимых хакерских события 2020 года и рассмотрим, как более интеллектуальный подход к инфраструктуре мог привести к другому результату.
Взлом KuCoin: украдено 275 миллионов долларов клиентских средств
25 сентября криптобиржа KuCoin подверглась серьезному взлому, который затронул ее горячие кошельки Bitcoin, Ether (ETH) и ERC-20. Хотя первоначальный анализ предполагал, что хакеры украли около 150 миллионов долларов, в последующие дни оценки начали расти, что в конечном итоге сделало это одним из крупнейших хакерских событий в истории цифровых активов.
Связанный: Взлом KuCoin: возможно, украдено больше криптовалюты, чем предполагалось
Как выяснилось, взлом был результатом кражи приватных ключей. Хотя закрытые ключи по-прежнему распространены в сфере цифровых активов, они означают, что всегда будет одна точка отказа, через которую злоумышленники могут потребовать неограниченный доступ к горячим кошелькам. Проще говоря, они представляют собой бизнес-риск.
Лучшим подходом было бы использование протоколов многосторонних вычислений, которые устраняют необходимость в закрытых ключах и подписывают каждую транзакцию безопасным распределенным способом в сочетании с принудительным механизмом управления и контроля.
В случае KuCoin, даже если обмен был успешно взломан, хакер не сможет выполнить транзакцию, не санкционированную механизмом политик, предоставляемым инфраструктурой.
Замораживание вывода OKEx
В течение пяти недель в октябре и ноябре инвесторы не могли выводить средства с биржи криптовалют OKEx. В письме клиентам OKEx показал что один из владельцев закрытого ключа сотрудничал с полицейским расследованием, которое не позволяло им связываться с компанией и не позволяло выполнить процесс авторизации с множественной подписью.
Для платформы, которую пользователи используют для принятия важных инвестиционных решений, идея о том, что взлом одного человека может привести к отключению критически важной функции более чем на месяц, явно несостоятельна.
Из этого можно извлечь урок: когда фирмы используют функции блокчейна, предназначенные для обеспечения безопасности, для реализации политики, результатом является подавляющая негибкость. Это один из парадоксов пространства цифровых активов – транзакции блокчейна безопасны и необратимы, но без правильного подхода такая же жесткость может обернуться катастрофой, если что-то пойдет не так.
Чтобы предотвратить это, компании должны обеспечить, чтобы их инфраструктура включала механизм политик, который, не ставя под угрозу безопасность, обеспечивает более гибкий контроль политик для нескольких утверждающих, включая разделение подписания и утверждения транзакций. Имея такое решение, способность OKEx полноценно работать не зависела бы от наличия какого-либо ключевого лица.
Взаимное нарушение Нексуса: украдено 8 миллионов долларов
Эти хакерские атаки не ограничивались биржами, о чем свидетельствует декабрьское нарушение Nexus Mutual, децентрализованной финансовой платформы, которая служит альтернативой страхованию. Хакеру удалось получить доступ к личному устройству генерального директора Хью Карпа и установить скомпрометированную версию MetaMask, в результате чего Карп случайно подписал транзакцию, которая отправила 370 000 NXM на сумму 8,2 миллиона долларов на адрес, контролируемый злоумышленником.
Проблема здесь связана с локальными кошельками. Эти локальные кошельки не могут обеспечить механизм политики вне канала, поэтому нет возможности проверить, что контракт и адрес контрагента внесены в белый список, что сумма и эмитент соответствуют политике компании или что есть дополнительные утверждающие лица для определенных параметры транзакции.
Привлечение третьей стороны с более гибким и безопасным подходом к инфраструктуре – способ устранить эти риски. Это особенно важно для уменьшения манипуляций с адресами контрагентов, что во многих сценариях является риском. Даже в маловероятном случае взлома такого провайдера, существуют меры предосторожности для проверки адресов контрагентов, что дает фирмам несколько линий защиты.
Заключение
Несмотря на то, что за последние несколько месяцев цифровые активы приобрели значительный импульс, многим организациям все еще необходимо улучшить свою инфраструктуру безопасности, прежде чем можно будет начать настоящее внедрение цифровых активов.
Это сделано не для того, чтобы наказать эти фирмы, которые продолжают выполнять важную работу для обслуживания отрасли, а для того, чтобы определить, на чем они должны сосредоточиться для достижения будущего роста и вывода цифровых активов на широкую публику.
Для всех этих проблем – безопасности закрытого ключа, структуры авторизации, локальных кошельков и многого другого – существуют подходы, которые могут привести к более эффективным, свободным от стресса транзакциям и меньшему количеству заголовков, которые вызывают тревогу у традиционных инвесторов, которых мы все хотим достичь.
Взгляды, мысли и мнения, выраженные здесь, принадлежат только автору и не обязательно отражают или отражают взгляды и мнения Cointelegraph.
Итай Малинджер является соучредителем и генеральным директором Curv, компании, занимающейся безопасностью цифровых активов. Он опирается на более чем 15-летний опыт работы в области кибербезопасности как в государственном, так и в частном секторах. Раньше Итай был директором по продуктам корпоративной безопасности в Akamai Technologies.