Francouzská pobočka obří společnosti KPMG zveřejnila zprávu, ve které zdůrazňuje, jakou důležitost je třeba přikládat bezpečnosti v našem ekosystému. Trvá zejména na auditech chytrých smluv a na potřebě přijmout více odborníků, aby se vypořádali s nedostatkem v odvětví
KPMG zdůrazňuje význam bezpečnosti
KPMG, přední světová účetní a poradenská společnost, vydala zprávu, ve které zdůrazňuje důležitost zabezpečení aplikací Web 3.0. Zatímco hlavní veřejné blockchainy jsou postaveny tak, že frontální útok je obtížný, pro aplikace, které jsou na ně naroubovány, to neplatí.
Tento postřeh se shoduje s myšlenkou, kterou minulý měsíc na Twitteru sdílel zakladatel Etherea (ETH) Vitalik Buterin. Řekl, že chce, aby Ethereum bylo odolné i vůči těm nejhorším hrozbám, zatímco aplikace na něm postavené mají chyby, které zdaleka neodpovídají standardům, v něž doufá:
Rozpor mezi mým přáním, aby se Ethereum stalo L1, které dokáže přežít skutečně extrémní okolnosti, a mým uvědoměním, že mnoho klíčových aplikací na Ethereu již nyní spoléhá na mnohem křehčí bezpečnostní předpoklady, než jaké považujeme za přijatelné v návrhu protokolu Etherea.
– vitalik.eth (@VitalikButerin) 17. května 2022
Zranitelnost chytrých smluv je pro hackery skutečně lukrativním úhlem útoku. To platí zejména proto, že na blockchainech, jako je Ethereum, může teoreticky kdokoli nasadit vlastní dApp. Se všemi možnými problémy, které z toho vyplývají.
KPMG poukazuje především na tyto bezpečnostní nedostatky v chytrých smlouvách. Společnost poukazuje na to, že pokud porovnáme první čtvrtletí roku 2022 s loňským rokem, finanční prostředky odcizené v decentralizovaných finančních protokolech (DeFi) vzrostly o 692 % a přinesly ztráty ve výši 1,2 miliardy dolarů.
O podobných částkách jsme informovali také před několika týdny na základě zprávy společnosti Chainalysis. Tato čísla jsou způsobena hlavně hacky Ronin a Wormhole
Dostatek odborníků na audit
Zjištění KPMG jsou jasná: z 5 největších hackerských útoků na DeFi se 4 týkaly neauditovaných chytrých smluv.
Na celosvětové úrovni společnost odhaduje, že existuje 1 000 až 1 500 odborníků specializujících se na bezpečnost aplikací Web3. Zároveň zpráva uvádí, že každý měsíc je aktivních 18 000 vývojářů. I když je obtížné stanovit přesná čísla, je zřejmé, že na každých deset vývojářů připadá méně než jedna osoba schopná provést audit.
Přesto bylo podle společnosti Immunify na začátku roku 2022 v protokolech DeFi uloženo 10,6 % celkové kapitalizace kryptoměn. Pokud se odvoláme na dnešní Defi Llama, zjistíme, že se poměrně blíží hodnotě kolem 8 %. Toto vysoké číslo ukazuje, jak velký význam je třeba přikládat bezpečnosti.
Počet bezpečnostních expertů na světě podle KPMG
Výše uvedená tabulka ukazuje geografické rozložení odborníků na webovou bezpečnost3 . Vidíme, že trhu dominují USA a Čína, v menší míře Indie.
Vzhledem k ambicím našeho ekosystému jsou tato čísla stále příliš nízká. Většina specializovaných společností je navíc stále mladá, vznikla teprve v roce 2017.
Podle společnosti Trail of Bits lze 78 % nejkritičtějších zranitelností nalézt pomocí automatizovaného nástroje. I když společnost zároveň upozorňuje, že 50 % všech těchto nedostatků by mohlo zůstat nepovšimnuto stejným nástrojem. Proto chápeme, že je třeba vyhledávat a školit talenty.
Další důležité bezpečnostní problémy zjištěné společností KPMG
Stát se odborníkem vyžaduje čas a ani pak není zaručeno, že se podaří najít všechny chyby v aplikaci. Audity by se však měly stát průmyslovým standardem a je pravděpodobné, že bezpečnost se v budoucnu stane oblastí růstu.
Kromě chytrých smluv KPMG zdůrazňuje také všechny prvky, které jsou naroubovány na blockchain 1. vrstvy. Vektory útoku mohou být také postranní řetězce a vrstvy 2, jako jsou ZK a Optimistic Rollups. Stejně jako phishingové útoky obecně.
Bezpečnost je proto jednou z hlavních výzev, kterým musí náš ekosystém čelit, aby se stal demokratičtějším. To je běžný proces u každé nové technologie. Stejně jako ve všech oborech však peníze někdy přitahují špatné lidi, což pak vyžaduje zvláštní pozornost všech hráčů v tomto odvětví.
