Френският клон на гиганта KPMG публикува доклад, в който подчертава значението, което трябва да се отдава на сигурността в нашата екосистема. Той настоява по-специално за одити на интелигентни договори и за необходимостта от наемане на повече експерти, за да се справим с недостига в сектора
KPMG подчертава значението на сигурността
KPMG, водещата световна счетоводна и консултантска компания, публикува доклад, в който се подчертава значението на сигурността в приложенията Web 3.0. Всъщност, докато основните публични блокчейн вериги са изградени по такъв начин, че фронтална атака е трудна, това не важи за приложенията, които са присадени към тях.
Това наблюдение повтаря мисълта на основателя на Ethereum (ETH) Виталик Бутерин, която той сподели миналия месец в Twitter. Той заяви, че иска Етериум да бъде устойчив дори на най-лошите заплахи, докато изградените върху него приложения имат недостатъци, които са далеч от стандартите, на които той се надява:
Противоречие между желанието ми Етериум да се превърне в L1, който може да оцелее при наистина екстремни обстоятелства, и осъзнаването ми, че много ключови приложения на Етериум вече разчитат на много по-нестабилни предположения за сигурност от всичко, което смятаме за приемливо в дизайна на протоколите на Етериум.
– vitalik.eth (@VitalikButerin) May 17, 2022
Уязвимостта на интелигентните договори е наистина изгоден ъгъл на атака за хакерите. Това е особено вярно, тъй като на теория всеки може да внедри свой собствен dApp в блокчейн като Ethereum. С всички възможни проблеми, които това предполага.
KPMG обръща внимание главно на тези недостатъци в сигурността на интелигентните договори. Компанията посочва, че ако сравним първото тримесечие на 2022 г. с това на миналата година, средствата, откраднати от децентрализирани финансови протоколи (DeFi), са нараснали с 692%, което е довело до загуби в размер на 1,2 млрд. долара.
Преди няколко седмици също съобщихме за подобни суми след доклад на Chainalysis. Тези цифри се дължат главно на хаковете Ronin и Wormhole
Недостиг на експерти по одит
Констатациите на KPMG са ясни: от 5-те най-големи хакерски атаки на DeFi 4 са свързани с неодитирани интелигентни договори.
На глобално ниво компанията изчислява, че има между 1000 и 1500 експерти, специализирани в сигурността на Web3 приложенията. В същото време докладът сочи, че всеки месец има 18 000 активни разработчици. Макар че е трудно да се определят точни цифри, ясно е, че на всеки десет разработчици се пада по-малко от едно лице, способно да извърши одит.
И все пак, според Immunify, в началото на 2022 г. 10,6% от общата капитализация на криптовалутите е била депозирана в DeFi протоколи. Ако се обърнем към Defi Llama днес, ще открием сравнително близка цифра от около 8%. Тази висока цифра илюстрира значението, което трябва да се отдава на сигурността.
Брой на експертите по сигурността в света според KPMG
Таблицата по-горе показва географското разпределение на експертите по уеб сигурност3 . Виждаме, че САЩ и Китай доминират на пазара, а Индия – в по-малка степен.
Тези цифри все още са твърде ниски, като се имат предвид амбициите на нашата екосистема. Освен това по-голямата част от специализираните дружества са все още млади и са създадени едва през 2017 г.
Според Trail of Bits 78% от най-критичните уязвимости могат да бъдат открити с автоматичен инструмент. Въпреки че компанията посочва в същото време, че 50% от всички тези недостатъци могат да останат незабелязани със същия инструмент. Затова разбираме необходимостта от намиране и обучение на таланти.
Други важни проблеми със сигурността, идентифицирани от KPMG
Ставането на експерт отнема време и дори тогава няма гаранция, че ще бъдат открити всички недостатъци в дадено приложение. Въпреки това одитите трябва да се превърнат в индустриален стандарт и вероятно сигурността ще се превърне в област на растеж в бъдеще.
В допълнение към интелигентните договори KPMG набляга и на всички елементи, които са присадени върху блокчейн на първо ниво. Страничните вериги, както и тези от слой 2, като ZK и Optimistic Rollups, също могат да бъдат вектори на атака. Подобно на фишинг атаките като цяло.
Следователно сигурността е едно от основните предизвикателства, пред които трябва да се изправи нашата екосистема, за да стане по-демократична. Това е нормален процес за всяка нова технология. Но както във всички области, парите понякога привличат лоши хора, което изисква специално внимание от всички участници в сектора.
