Генеральний директор Hacken закликає до суворіших заходів безпеки блокчейну у 2025 році

Зі зростанням впровадження криптовалют і поширенням проектів на Web3, безпека блокчейну стала центральним стовпом для користувачів та розробників.

У розмові з BeInCrypto, генеральний директор Hacken Дима Будорін підкреслив необхідність комплексних рішень для дотримання вимог у 2025 році.

Потреба у вищих заходах безпеки

З наближенням 2025 року експерти оцінюють частоту витоків даних, які зазнали блокчейни, та їх негативний вплив на досвід користувачів. Цього року порушення безпеки криптовалют зросли, з втратами, що перевищують 2,9 мільярда USD у різних секторах, згідно з нещодавнім звітом про безпеку Web3, розробленим Hacken, компанією з кібербезпеки.

Уразливості контролю доступу стали домінуючим вектором загроз, що сприяє 75% усіх зломів. Ця тенденція, спостережена в DeFi, CeFi та платформах ігор/метавсесвіту, підкреслила поширене виникнення слабких місць у безпеці, пов’язаних з операційною безпекою та управлінням доступом. Фішингові шахрайства також завдали значної шкоди, що призвело до втрат, що перевищують 600 мільйонів USD.

”Очевидно, що індустрія більше не може ігнорувати операційну безпеку. Комплексні аудити, суворі протоколи контролю доступу та надійні системи управління ключами повинні стати стандартними практиками,” сказав Будорін в інтерв’ю з BeInCrypto.

Значні втрати, зазнані у 2024 році, підкреслюють критичну необхідність для криптоіндустрії пріоритизувати всеосяжні заходи безпеки та комплексні аудити, щоб зменшити майбутні порушення та захистити активи користувачів.

Поганий рік для систем контролю доступу

Будорін визначив проблеми контролю доступу як найважливіший виклик, з яким стикається безпека блокчейну сьогодні, особливо втрата приватних ключів у командах проектів, що впливає на генеральних директорів та розробників.

Згідно зі звітом Hacken, у 2024 році експлуатація контролю доступу, в основному пов’язана з компрометацією приватних ключів, призвела до втрат, що перевищують 1,7 мільярда USD. Це значне збільшення порівняно з 1 мільярдом USD, зареєстрованим попереднього року.

“Зокрема, великі інциденти, такі як Radiant Capital та Orbit Bridge, підкреслюють наслідки слабкого управління ключами та відсутності рішень з мульти-підписом або регулярних аудитів,” додав Будорін.

У жовтні великий злом, націлений на Radiant Capital, призвів до втрат у 55 мільйонів USD і вплинув на понад 10 000 користувачів. Порушення включало хакерів, які експлуатували вразливості, щоб отримати контроль над трьома приватними ключами Radiant, що дозволило їм вивести кошти з платформи.

Атакуючі експлуатували вразливості, впроваджуючи шкідливе програмне забезпечення на пристрої розробників, що дозволяло їм перехоплювати та маніпулювати легітимними підтвердженнями транзакцій, незважаючи на використання апаратних гаманців.

Orbit Bridge, сервіс міжланцюгового мосту, зазнав більш значного злому в новорічну ніч минулого року, що призвело до втрат приблизно 82 мільйони USD. Згідно з Hacken, цей інцидент став найбільшим зломом DeFi у 2023 році.

Незважаючи на використання технології мульти-підпису, яка зазвичай вимагає авторизації транзакцій кількома сторонами, зловмисник скомпрометував сім з десяти підписантів, підкреслюючи критичну вразливість у системі.

Вкрадені кошти в основному були стейблкоїнами, включаючи 30 мільйонів USDT, 10 мільйонів USDC і 10 мільйонів DAI. Крім того, 231 WBTC (10 мільйонів USD) і 9 500 ETH (21,5 мільйона USD) були скомпрометовані. Хакери перевели вкрадені кошти через проміжну адресу перед тим, як відмити їх через криптовалютний міксер.

Пріоритет вищих стандартів кібербезпеки

У 2025 році обов’язкове дотримання вимог має стати реальністю для всіх проектів, що розробляються на блокчейні, сказав Будорін.

“Обов’язкове дотримання вимог у 2025 році стане поворотним моментом для криптоіндустрії, що приведе до необхідної прозорості, відповідальності та операційної стійкості. Регуляції, такі як MiCA (Ринки криптоактивів), DORA (Акт про цифрову операційну стійкість) та пакет AML вимагатимуть від централізованих криптосервісів, кастодіанів та інших гравців впровадження вищих стандартів кібербезпеки, надійних механізмів звітності та суворих операційних процедур,” сказав Будорін BeInCrypto.

Поза цими юрисдикційними регуляціями, Будорін закликає всі блокчейн-проекти вирішувати питання кібербезпеки, дотримуючись стандарту безпеки криптовалют (CCSS). CCSS надає комплексну структуру для підвищення безпеки криптовалютних систем.

Макет CCSS підкреслює ретельні практики управління ключами. Серед механізмів дотримання вимог CCSS контролює безпечне генерування ключів за допомогою стандартизованих генераторів випадкових бітів, щоб мінімізувати ризик компрометації ключів.

Шифроване зберігання та контрольовані механізми доступу впроваджуються для запобігання несанкціонованому використанню ключів. На противагу цьому, правильне впровадження налаштувань мульти-підпису та розподілене управління ключами знижують ризик експлуатації будь-якою окремою сутністю.

Ці стандарти рекомендують впровадження багаторівневих заходів безпеки, проведення регулярних аудитів безпеки та встановлення суворих керівних принципів контролю доступу.

Дотримуючись CCSS, організації можуть значно покращити захист приватних ключів. Це зменшить частоту та серйозність порушень безпеки, пов’язаних з уразливостями контролю доступу.

Будорін вважає, що таких втрат можна було б уникнути, якби Radiant Capital та Orbit Bridge дотримувалися рекомендацій CCSS.

ОАЕ позиціонує себе як лідер у безпеці блокчейну

Деякі країни прийняли розширені протоколи, щоб забезпечити дотримання акторами Web3 практик операційної безпеки.

«ОАЕ, і зокрема‬‭ Глобальний ринок Абу-Дабі‬‭ (ADGM)‬‭, стає світовим лідером у‬‭ безпеці та інноваціях блокчейну завдяки своєму‬‭ прогресивному‬‭ регуляторному середовищу‬‭,‬‭ стратегічному баченню та здатності сприяти розвитку технологічної екосистеми», сказав Будорін.

ADGM є фінансовою вільною зоною на острові Аль-Мар’я в Абу-Дабі. Заснована у 2013 році Федеральним указом, ADGM є фінансовим центром міста з незалежною правовою та регуляторною базою.

«ADGM зарекомендував себе як регуляторний піонер, балансуючи‬‭ інновації з‬‭ дотриманням вимог‬‭. Створюючи чіткі, прогресивні рекомендації‬‭ для блокчейну та цифрових активів,‬‭ ADGM приваблює бізнеси, які шукають безпечне, відповідне середовище для зростання», пояснив Будорін.

У квітні ADGM та Hacken підписали Меморандум про взаєморозуміння (MoU) для співпраці у покращенні безпеки блокчейну. Альянс має на меті розробити ефективні стандарти безпеки та рішення для моніторингу в рамках технології розподіленого реєстру (DLT) ADGM.

«Разом ми працюємо над встановленням глобальних стандартів безпеки Web3, надаючи‬‭ передові аудити безпеки‬‭,‭ тестування на проникнення‬‭ та‬‭ рішення для дотримання вимог‬‭ для блокчейн‬‭ проектів в ОАЕ та за їх межами», сказав Будорін.

Будорін сподівається побачити більше спільних зусиль у майбутньому, які пріоритетно ставлять безпеку та сприяють сталому розвитку екосистеми Web3.