Francuski oddział giganta KPMG opublikował raport, w którym podkreśla wagę, jaką należy przywiązywać do bezpieczeństwa w naszym ekosystemie. Naciska w szczególności na audyty inteligentnych kontraktów i potrzebę zatrudnienia większej liczby ekspertów, aby poradzić sobie z niedoborem w sektorze
KPMG podkreśla znaczenie bezpieczeństwa
KPMG, wiodąca na świecie firma księgowa i doradcza, opublikowała raport podkreślający znaczenie bezpieczeństwa w aplikacjach Web 3.0. Rzeczywiście, podczas gdy główne publiczne blockchainy są zbudowane w taki sposób, że frontalny atak jest trudny, nie dotyczy to aplikacji, które są na nich zaszczepione.
Obserwacja ta jest echem myśli, którą założyciel Ethereum (ETH) Vitalik Buterin podzielił się w zeszłym miesiącu na Twitterze. Powiedział, że chce, aby Ethereum było odporne, nawet na najgorsze zagrożenia, podczas gdy zbudowane na nim aplikacje mają wady dalekie od standardów, na które liczy:
Sprzeczność między moim pragnieniem, aby Ethereum stało się L1, które może przetrwać naprawdę ekstremalne okoliczności, a moją świadomością, że wiele kluczowych aplikacji na Ethereum już teraz opiera się na znacznie bardziej kruchych założeniach bezpieczeństwa niż wszystko, co uważamy za dopuszczalne w projektowaniu protokołu Ethereum.
– vitalik.eth (@VitalikButerin) 17 maja 2022
Podatność inteligentnych kontraktów to rzeczywiście lukratywny kąt ataku dla hakerów. Tym bardziej, że każdy może teoretycznie wdrożyć swój własny dApp na blockchainach takich jak Ethereum. Ze wszystkimi możliwymi problemami, które to implikuje.
To właśnie głównie na te wady bezpieczeństwa w inteligentnych kontraktach wskazuje KPMG. Firma zwraca uwagę, że jeśli porównamy pierwszy kwartał 2022 roku, z tym z ubiegłego roku, to środki skradzione w zdecentralizowanych protokołach finansowych (DeFi) eksplodowały o 692%, przynosząc straty na poziomie 1,2 mld dolarów.
O podobnych kwotach informowaliśmy również kilka tygodni temu, po raporcie Chainalysis. Te liczby to głównie zasługa hacków Ronin i Wormhole
Brak ekspertów od audytu
Wnioski KPMG są jednoznaczne: z 5 największych hacków DeFi, 4 dotyczyły nieaudytowanych smart kontraktów.
W skali globalnej firma szacuje, że istnieje od 1000 do 1500 ekspertów specjalizujących się w bezpieczeństwie aplikacji Web3. Jednocześnie raport sugeruje, że każdego miesiąca przybywa 18 000 aktywnych deweloperów. O ile trudno jest ustalić dokładne liczby, to oczywiste jest, że stanowiłoby to mniej niż jedną osobę zdolną do przeprowadzenia audytu na każdych dziesięciu deweloperów.
Mimo to, według Immunify, 10,6% całkowitej kapitalizacji kryptowalut było zdeponowane w protokołach DeFi na początku 2022 roku. Jeśli odniesiemy się do Defi Llama dzisiaj, znajdziemy stosunkowo bliską liczbę około 8%. Ta wysoka liczba ilustruje znaczenie, jakie należy nadać bezpieczeństwu.
Liczba ekspertów ds. bezpieczeństwa na świecie według KPMG
Powyższa tabela przedstawia geograficzne rozmieszczenie ekspertów ds. bezpieczeństwa sieciowego3 . Widzimy, że na rynku dominują USA i Chiny, w mniejszym stopniu Indie.
Te liczby są wciąż zbyt niskie, biorąc pod uwagę ambicje naszego ekosystemu. Ponadto większość specjalistycznych firm jest jeszcze młoda, powstała dopiero w 2017 roku.
Według Trail of Bits, 78% najbardziej krytycznych podatności można było znaleźć za pomocą automatycznego narzędzia. Choć firma zaznacza jednocześnie, że 50% wszystkich tych wad mogłoby zostać niezauważone przy użyciu tego samego narzędzia. Rozumiemy więc potrzebę wyszukiwania i szkolenia talentów.
Inne ważne kwestie bezpieczeństwa zidentyfikowane przez KPMG
Zostanie ekspertem wymaga czasu, a nawet wtedy nie ma gwarancji, że uda się znaleźć wszystkie wady aplikacji. Audyty powinny jednak stać się standardem branżowym i prawdopodobnie w przyszłości bezpieczeństwo stanie się obszarem wzrostu.
Oprócz inteligentnych kontraktów KPMG podkreśla również wszystkie elementy, które są zaszczepione na szczycie warstwy 1 blockchaina. Wektorem ataku mogą być również sidechainy, a także warstwy 2, takie jak ZK czy Optimistic Rollups. Tak jak ataki phishingowe w ogóle.
Bezpieczeństwo jest zatem jednym z głównych wyzwań, z którymi nasz ekosystem musi się zmierzyć, aby stać się bardziej demokratycznym. Jest to normalny proces dla każdej nowej technologii. Ale jak we wszystkich dziedzinach, pieniądze czasem przyciągają złych ludzi, co wymaga wtedy szczególnej uwagi wszystkich graczy w tym sektorze.
