巨头毕马威的法国分公司发表了一份报告,其中强调了在我们的生态系统中应给予安全的重要性。它特别坚持智能合约审计和需要招聘更多专家来应对该行业的短缺问题
。
毕马威强调安全的重要性
。
毕马威,世界领先的会计和咨询公司,发布了一份报告,强调了Web 3.0应用中安全的重要性。事实上,虽然主要的公共区块链是以这样一种方式构建的,即正面攻击是困难的,但对于嫁接在上面的应用程序来说,情况并非如此。
这一观察与以太坊(ETH)创始人Vitalik Buterin上个月在Twitter上分享的一个想法相呼应。他说,他希望以太坊具有弹性,甚至能应对最严重的威胁,而建立在其上的应用程序的缺陷与他希望的标准相去甚远:
我希望看到以太坊成为一个可以在真正的极端情况下生存的L1,而我意识到以太坊上的许多关键应用程序已经依赖于比我们认为在以太坊协议设计中可以接受的任何东西更脆弱的安全假设。
– vitalik.eth(@VitalikButerin)5月17日,2022
智能合约的脆弱性对于黑客来说确实是一个有利可图的攻击角度。这一点尤其正确,因为理论上任何人都可以在以太坊等区块链上部署自己的dApp。这意味着所有可能的问题。
毕马威指出的主要是智能合约的这些安全缺陷。该公司指出,如果我们将2022年第一季度与去年相比,分散金融协议(DeFi)中被盗的资金爆炸性地增长了692%,带来的损失达到12亿美元。
几周前,在Chainalysis的一份报告之后,我们也报道了类似的金额。这些数字主要是由于罗宁和虫洞的黑客攻击
。
审计专家的短缺
毕马威的调查结果很清楚:在5个最大的DeFi黑客中,4个涉及未经审计的智能合约。
在全球范围内,该公司估计有1,000至1,500名专家专门从事Web3应用程序的安全工作。 同时,该报告表明,每月有18,000名活跃的开发人员。虽然很难确定确切的数字,但很明显,这意味着每10个开发者中能够进行审计的人还不到一个。
然而,根据Immunify的数据,在2022年初,加密货币总资本额的10.6%被存入了DeFi协议。如果我们今天参考Defi Llama,我们会发现一个相对接近的数字,即8%左右。这个高数字说明了必须重视安全问题。
根据KPMG的数据,全球安全专家的数量
上表显示了网络安全专家的地理分布3 。我们看到,美国和中国在市场上占主导地位,印度的情况较差。
考虑到我们生态系统的雄心,这些数字仍然太低。此外,大多数专业公司仍然年轻,在2017年才成立。
根据Trail of Bits的数据,78%的最关键的漏洞可以用自动工具发现。尽管该公司同时指出,所有这些缺陷中的50%可能会被同一个工具所忽略。因此,我们理解寻找和培训人才的需要。
由毕马威会计师事务所确定的其他重要安全问题
成为专家需要时间,即使如此,也不能保证能找到一个应用程序中的所有缺陷。然而,审计应该成为一个行业标准,而且安全很可能在未来成为一个增长领域。
除了智能合约,毕马威还强调了嫁接在第一层区块链之上的所有元素。侧链,以及第二层,如ZK和乐观的滚动,也可以成为攻击的载体。就像一般的网络钓鱼攻击。
因此,安全是我们的生态系统必须面对的主要挑战之一,以便变得更加民主。这是每一项新技术的正常过程。但与所有领域一样,金钱有时会吸引坏人,这就需要该部门的所有参与者特别注意。
