Kripto jaungada rezolūcija: modernizēt drošības infrastruktūru

Var droši teikt, ka 2020. gads ir bijis digitālo aktīvu telpas reklāmkarogs. Bitcoin (BTC) pacēlās pāri iepriekšējam augstākajam līmenim, un daudzas citas ievērojamas kriptovalūtas sasniedza augstāko līmeni kopš 2017. gada ziedu laikiem un 2018. gada sākuma. Visā finanšu pakalpojumu nozarē institucionālās balsis pauž pastiprinātu interesi par digitālajiem aktīviem. Šīs telpas izaugsmi un nobriešanu nav bijis iespējams ignorēt, izraisot daudz optimisma starp tiem, kas būvē platformas un sistēmas, uz kurām tā darbojas.

Diemžēl ne visi pagājušā gada virsraksti ir bijuši pozitīvi. Tika uzlauztas vairākas plaši pazīstamas kriptogrāfijas biržas un citas organizācijas, kas izraisīja ievērojamus zaudējumus. Šādi notikumi ne tikai kaitē firmas reputācijai un potenciāli graujoši ieguldītājiem, bet arī grauj institucionālo ieguldītāju un sabiedrības grūti iegūto uzticību digitālo aktīvu telpai..

No daudziem no šiem uzlaušanas gadījumiem varēja izvairīties, ja attiecīgie uzņēmumi būtu aktīvi rīkojušies, lai modernizētu savu tehnoloģiju infrastruktūru. Noslēdzot šo digitālo aktīvu viesuļvētras gadu, vienai no nozares galvenajām rezolūcijām 2021. gadam jābūt pārskatīt savu pieeju infrastruktūrai un veikt izmaiņas, lai nodrošinātu, ka visu sloksņu investori var tirgoties un veikt darījumus ar drošību, efektivitāti un mieru..

Apskatīsim trīs visbūtiskākos uzlaušanas gadījumus 2020. gadā un izpētīsim, kā saprātīgāka pieeja infrastruktūrai varēja novest pie cita iznākuma.

KuCoin uzlaušana: klientu nozagtie līdzekļi ir $ 275 miljoni

25. septembrī kriptogrāfijas apmaiņa KuCoin atradās galvenā hakera saņemšanas galā, kas ietekmēja tā Bitcoin, Ether (ETH) un ERC-20 karstos makus. Lai gan sākotnējā analīze liecināja, ka hakeri nozaga aptuveni 150 miljonus ASV dolāru, nākamajās dienās aprēķini sāka pieaugt, galu galā padarot to par vienu no lielākajiem hakeru notikumiem digitālo aktīvu vēsturē.

Saistīts: KuCoin uzlaušana izpakota: iespējams nozagts vairāk kriptogrāfijas, nekā sākotnēji baidījās

Kā izrādās, uzlaušana bija privāto atslēgu nozagšanas rezultāts. Kaut arī privātie taustiņi joprojām ir izplatīti digitālo aktīvu telpā, vienmēr būs viens kļūmes punkts, caur kuru sliktie dalībnieki var pieprasīt neierobežotu piekļuvi karstajiem seifiem. Vienkāršāk sakot, tie ir biznesa riski.

Labāka pieeja būtu bijusi vairāku pušu aprēķinu protokolu izmantošana, kas novērš nepieciešamību pēc privātajām atslēgām un katru darījumu paraksta drošā, sadalītā veidā, apvienojumā ar piespiedu pārvaldības un kontroles mehānismu..

KuCoin gadījumā, pat ja apmaiņa tika veiksmīgi pārkāpta, hakeris nevarētu izpildīt nevienu darījumu, kuru nav atļāvis iestādes infrastruktūras nodrošinātais politikas dzinējs.

OKEx izņemšanas iesaldēšana

Piecas nedēļas oktobrī un novembrī investori nespēja veikt izņemšanu no kriptovalūtas maiņas OKEx. Vēstulē klientiem OKEx atklāts ka viens no tās privātās atslēgas turētājiem sadarbojās ar policijas izmeklēšanu, kas viņus neļāva sazināties ar uzņēmumu un neļāva izpildīt tā daudzparakstu autorizācijas procesu.

Platformai, kuru lietotāji izmanto, lai veiktu svarīgus lēmumus par ieguldījumiem, ideja, ka viena persona var tikt apdraudēta, kritiskās funkcijas var atspējot vairāk nekā mēnesi, ir nepārprotami nepieņemama..

Šeit ir mācība: kad uzņēmumi politikas īstenošanai izmanto drošībai paredzētas blokķēdes funkcijas, rezultāts ir ārkārtīgi neelastīgs. Tas ir viens no digitālo aktīvu telpas paradoksiem – blokķēdes darījumi ir droši un neatgriezeniski, taču bez pareizas pieejas šī pati stingrība var izraisīt katastrofu, ja viss iet greizi..

Lai to novērstu, uzņēmumiem jānodrošina, lai to infrastruktūrā būtu iekļauts politikas dzinējs, kas, lai arī neapdraudētu drošību, ļauj elastīgāku politikas kontroli vairākiem apstiprinātājiem, tostarp nodalīšanas parakstīšanu un darījumu apstiprināšanu. Ja būtu ieviests šāda veida risinājums, OKEx spēja pilnībā darboties nebūtu atkarīga no kādas galvenās personas pieejamības.

Nexus abpusējs pārkāpums: nozagti 8 miljoni ASV dolāru

Šie uzlaušanas gadījumi neaprobežojās tikai ar apmaiņu, par ko liecina decembra pārkāpums Nexus Mutual, decentralizēta finanšu platforma, kas kalpo kā alternatīva apdrošināšanai. Hakerim izdevās piekļūt izpilddirektora Hjū Kārpa personālajai ierīcei un instalēt kompromitētu MetaMask versiju, kā rezultātā Karps netīši parakstīja darījumu, kas uz uzbrucēja kontrolētu adresi nosūtīja 370 000 NXM, 8,2 miljonu ASV dolāru vērtībā..

Šeit jautājums ir saistīts ar vietējiem makiem. Šie vietējie maki nespēj nodrošināt ārpus joslas izveidotu politikas modeli, tāpēc nav iespējas pārbaudīt, vai līguma un darījuma partnera adrese ir iekļauta baltajā sarakstā, vai summa un emitents atbilst uzņēmuma politikai vai vai ir papildu apstiprinātāji dažiem darījuma parametri.

Trešo personu piesaistīšana ar elastīgāku, drošāku pieeju infrastruktūrai ir veids, kā novērst šos riskus. Tas ir īpaši svarīgi, lai mazinātu manipulācijas ar adresātu adresēm, kas ir risks daudzos scenārijos. Pat maz ticamā gadījumā, ja tiek pārkāpts šāds pakalpojumu sniedzējs, ir ieviesti drošības pasākumi, lai pārbaudītu darījumu partneru adreses, piešķirot uzņēmumiem vairākas aizsardzības līnijas.

Secinājums

Lai gan pēdējos vairākos mēnešos digitālie aktīvi ir ieguvuši ievērojamu impulsu, daudzām organizācijām joprojām ir jāuzlabo drošības infrastruktūra, pirms var sākt digitālo aktīvu patiesu ieviešanu.

Tas nav domāts, lai apvainotu šos uzņēmumus, kas turpina darīt svarīgu darbu, lai kalpotu nozarei, bet gan lai noteiktu, kur viņiem jākoncentrējas, lai panāktu turpmāku izaugsmi un digitālo aktīvu nonākšanu vispārējā straumē.

Attiecībā uz visiem šiem jautājumiem – privātās atslēgas drošība, autorizācijas struktūra, vietējie maki un vēl vairāk – pastāv pieejas, kas var novest pie efektīvākas, bez stresa darījumiem un mazāk virsrakstu, kas izsauc trauksmes signālus tradicionālajiem investoriem, kurus mēs visi vēlamies sasniegt.

Šeit izteiktie viedokļi, domas un viedokļi ir tikai autora viedokļi, un tie ne vienmēr atspoguļo vai atspoguļo Cointelegraph uzskatus un viedokļus..

Itajs Malingers ir digitālo aktīvu drošības infrastruktūras uzņēmuma Curv līdzdibinātājs un izpilddirektors. Viņš izmanto vairāk nekā 15 gadu kiberdrošības pieredzi gan publiskajā, gan privātajā sektorā. Agrāk Itay bija Akamai Technologies uzņēmuma drošības produktu direktors.