Французское отделение гиганта KPMG опубликовало отчет, в котором подчеркивается важность безопасности в нашей экосистеме. В частности, он настаивает на аудите смарт-контрактов и необходимости нанимать больше экспертов, чтобы справиться с нехваткой в секторе
KPMG подчеркивает важность безопасности
KPMG, ведущая мировая бухгалтерская и консалтинговая компания, выпустила отчет, подчеркивающий важность безопасности в приложениях Web 3.0. Действительно, хотя основные публичные блокчейны построены таким образом, что лобовая атака на них затруднена, это не относится к приложениям, которые к ним прививаются.
Это наблюдение перекликается с мыслью, которой основатель Ethereum (ETH) Виталик Бутерин поделился в прошлом месяце в Twitter. Он сказал, что хочет, чтобы Ethereum был устойчив даже к самым страшным угрозам, в то время как приложения, созданные на его основе, имеют недостатки, далекие от стандартов, на которые он надеется:
Противоречие между моим желанием, чтобы Ethereum стал L1, способным выжить в действительно экстремальных обстоятельствах, и осознанием того, что многие ключевые приложения на Ethereum уже полагаются на гораздо более хрупкие предположения о безопасности, чем те, которые мы считаем приемлемыми при разработке протокола Ethereum.
— vitalik.eth (@VitalikButerin) May 17, 2022
Уязвимость смарт-контрактов действительно является выгодным углом атаки для хакеров. Это особенно актуально, поскольку любой желающий теоретически может развернуть свой собственный dApp на блокчейне, таком как Ethereum. Со всеми вытекающими отсюда возможными проблемами.
Именно на эти недостатки безопасности смарт-контрактов в основном и указывает KPMG. Компания отмечает, что если сравнить первый квартал 2022 года с прошлым годом, то объем средств, похищенных в протоколах децентрализованного финансирования (DeFi), вырос на 692%, принеся убытки в размере $1,2 млрд.
Мы также сообщали о подобных суммах несколько недель назад, после отчета Chainalysis. Эти показатели в основном обусловлены хаками Ronin и Wormhole
Нехватка экспертов по аудиту
Выводы KPMG очевидны: из 5 крупнейших взломов DeFi, 4 были связаны с неаудированными смарт-контрактами.
На глобальном уровне, по оценкам компании, насчитывается от 1 000 до 1 500 экспертов, специализирующихся на безопасности приложений Web3. В то же время, согласно отчету, ежемесячно насчитывается 18 000 активных разработчиков. Хотя точные цифры назвать сложно, очевидно, что это меньше, чем один человек, способный провести аудит, на каждые десять разработчиков.
Тем не менее, по данным Immunify, в начале 2022 года 10,6% от общей капитализации криптовалюты было размещено в протоколах DeFi. Если мы обратимся к Defi Llama сегодня, то получим относительно близкий показатель — около 8%. Этот высокий показатель иллюстрирует то значение, которое необходимо придавать безопасности.
Количество экспертов по безопасности в мире по данным KPMG
В таблице выше показано географическое распределение экспертов по веб-безопасности3 . Мы видим, что США и Китай доминируют на рынке, а Индия — в меньшей степени.
Эти цифры все еще слишком малы, учитывая амбиции нашей экосистемы. Более того, большинство специализированных компаний еще молоды, они были созданы только в 2017 году.
По данным Trail of Bits, 78% наиболее критических уязвимостей могут быть найдены с помощью автоматизированного инструмента. Хотя в то же время компания отмечает, что 50% всех этих недостатков могут остаться незамеченными при использовании одного и того же инструмента. Поэтому мы понимаем необходимость поиска и обучения талантливых сотрудников.
Другие важные проблемы безопасности, выявленные KPMG
Для того чтобы стать экспертом, требуется время, и даже тогда нет гарантии, что удастся найти все недостатки в приложении. Однако аудит должен стать отраслевым стандартом, и вполне вероятно, что в будущем безопасность станет одной из областей роста.
Помимо смарт-контрактов, KPMG также подчеркивает все элементы, которые прививаются поверх блокчейна первого уровня. Сайдчейны, а также уровни 2, такие как ZK и Optimistic Rollups, также могут быть векторами атак. Как и фишинговые атаки в целом.
Поэтому безопасность является одной из основных проблем, с которыми должна столкнуться наша экосистема, чтобы стать более демократичной. Это нормальный процесс для каждой новой технологии. Но, как и во всех сферах, деньги иногда привлекают плохих людей, что требует особого внимания со стороны всех игроков сектора.
