De Franse tak van de reus KPMG heeft een rapport gepubliceerd waarin wordt gewezen op het belang dat in ons ecosysteem aan veiligheid moet worden gehecht. Zij dringt met name aan op audits van slimme contracten en op de noodzaak om meer deskundigen aan te werven om het tekort in de sector op te vangen
KPMG benadrukt het belang van veiligheid
KPMG, ’s werelds grootste accountants- en adviesbureau, heeft een rapport uitgebracht waarin het belang van veiligheid in Web 3.0-toepassingen wordt benadrukt. Hoewel de belangrijkste publieke blockchains zodanig zijn gebouwd dat een frontale aanval moeilijk is, geldt dit niet voor de toepassingen die erop worden geënt.
Deze observatie sluit aan bij een gedachte die Ethereum (ETH) oprichter Vitalik Buterin vorige maand deelde op Twitter. Hij zei dat hij wilde dat Ethereum veerkrachtig zou zijn, zelfs tegen de ergste bedreigingen, terwijl de toepassingen die erop gebouwd zijn gebreken vertonen die ver verwijderd zijn van de standaarden waar hij op hoopt:
Contradictie tussen mijn verlangen om Ethereum een L1 te zien worden dat echt extreme omstandigheden kan overleven en mijn realisatie dat veel belangrijke apps op Ethereum al vertrouwen op veel kwetsbaardere veiligheidsaannames dan alles wat we acceptabel vinden in het Ethereum protocolontwerp.
– vitalik.eth (@VitalikButerin) mei 17, 2022
De kwetsbaarheid van slimme contracten is inderdaad een lucratieve aanvalshoek voor hackers. Dit is vooral waar omdat iedereen, in theorie, zijn eigen dApp kan implementeren op blockchains zoals Ethereum. Met alle mogelijke problemen die dat met zich meebrengt.
Het zijn vooral deze beveiligingslekken in slimme contracten waar KPMG op wijst. Het bedrijf wijst erop dat als we het eerste kwartaal van 2022 vergelijken met dat van vorig jaar, de fondsen die zijn gestolen in gedecentraliseerde financieringsprotocollen (DeFi) met 692% zijn geëxplodeerd, wat verliezen heeft opgeleverd van 1,2 miljard dollar.
Een paar weken geleden hebben we ook over soortgelijke bedragen bericht, naar aanleiding van een verslag van Chainalysis. Deze cijfers zijn vooral te danken aan de Ronin en Wormhole hacks
Een tekort aan auditexperts
De bevindingen van KPMG zijn duidelijk: van de 5 grootste DeFi hacks, waren er 4 betrokken bij niet-geauditeerde slimme contracten.
Op mondiaal niveau schat het bedrijf dat er tussen de 1.000 en 1.500 deskundigen zijn die gespecialiseerd zijn in de beveiliging van Web3-toepassingen. Tegelijkertijd zijn er volgens het rapport elke maand 18.000 actieve ontwikkelaars. Hoewel het moeilijk is exacte cijfers vast te stellen, is het duidelijk dat dit neerkomt op minder dan één persoon per tien ontwikkelaars die in staat is een audit uit te voeren.
Toch is volgens Immunify begin 2022 10,6% van de totale kapitalisatie van cryptocurrency gestort in DeFi-protocollen. Als we vandaag naar Defi Llama kijken, vinden we een relatief dicht cijfer van ongeveer 8%. Dit hoge cijfer illustreert het belang dat aan veiligheid moet worden gehecht.
Aantal beveiligingsexperts wereldwijd volgens KPMG
De bovenstaande tabel toont de geografische spreiding van webbeveiligingsdeskundigen3 . Wij zien dat de VS en China de markt domineren, met India in mindere mate.
Deze aantallen zijn nog te laag, gezien de ambities van ons ecosysteem. Bovendien is het merendeel van de gespecialiseerde bedrijven nog jong: zij zijn pas in 2017 opgericht.
Volgens Trail of Bits kon 78% van de meest kritieke kwetsbaarheden worden gevonden met een geautomatiseerd hulpmiddel. Ook al wijst het bedrijf er tegelijkertijd op dat 50% van al deze gebreken onopgemerkt zouden kunnen blijven met hetzelfde instrument. Wij begrijpen dus de noodzaak om talent te vinden en op te leiden.
Andere belangrijke veiligheidskwesties geïdentificeerd door KPMG
Een expert worden kost tijd en zelfs dan is er geen garantie dat alle fouten in een applicatie gevonden kunnen worden. Audits moeten echter een industrienorm worden en het is waarschijnlijk dat beveiliging in de toekomst een groeigebied zal worden.
Naast slimme contracten legt KPMG ook de nadruk op alle elementen die bovenop een laag 1 blockchain worden geënt. Sidechains, maar ook laag 2’s zoals ZK’s en Optimistic Rollups, kunnen ook aanvalsvectoren zijn. Net als phishing aanvallen in het algemeen.
Veiligheid is dan ook een van de grote uitdagingen waaraan ons ecosysteem het hoofd moet bieden om democratischer te worden. Dit is een normaal proces voor elke nieuwe technologie. Maar zoals op alle gebieden, trekt geld soms slechte mensen aan, wat dan speciale aandacht vereist van alle spelers in de sector.
