Глава службы безопасности Polygon Мудит Гупта призвал компании Web3 нанять традиционных экспертов по безопасности, чтобы положить конец легко предотвратимым взломам, утверждая, что совершенного кода и криптографии недостаточно.
В беседе с Гупта отметил, что несколько недавних взломов в криптографии в конечном итоге были результатом уязвимостей безопасности Web2, таких как управление закрытым ключом и фишинговые атаки для получения логинов, а не плохо разработанной технологии блокчейна.
В дополнение к своей точке зрения Гупта подчеркнул, что получить сертифицированный аудит безопасности смарт-контрактов без принятия стандартных методов кибербезопасности Web2 недостаточно для защиты протокола и кошельков пользователей от эксплуатации:
«Я настаивал, по крайней мере, во всех крупных компаниях, чтобы у них был специальный специалист по безопасности, который действительно знает, что управление ключами важно».
«У вас есть API-ключи, которые используются десятилетиями и десятилетиями. Таким образом, существуют надлежащие передовые методы и процедуры, которым следует следовать. Чтобы сохранить эти ключи в безопасности. В этих вещах должно быть надлежащее ведение журналов аудита и надлежащее управление рисками. Но, как мы видели, эти криптокомпании просто проигнорировали все это», — добавил он.
Хотя блокчейны часто децентрализованы на серверной части, «пользователи взаимодействуют с [applications] через централизованный веб-сайт», поэтому о внедрении традиционных мер кибербезопасности в отношении таких факторов, как система доменных имен (DNS), веб-хостинг и безопасность электронной почты, всегда следует «заботиться», — сказал Гупта.
Гупта также подчеркнул важность управления закрытыми ключами, сославшись на взлом моста Ronin за 600 миллионов долларов и взлом моста Horizon за 100 миллионов долларов в качестве хрестоматийных примеров необходимости ужесточения процедур безопасности закрытых ключей:
«Эти взломы не имели ничего общего с безопасностью блокчейна, код был в порядке. Криптография была в порядке, все было в порядке. Кроме управления ключами не было. Закрытые ключи […] не были надежно сохранены, и архитектура работала так, что если ключи были скомпрометированы, весь протокол был скомпрометирован».
Гупта предположил, что текущее мнение фирм, занимающихся блокчейном и Web3, заключается в том, что если «вы попадаете под фишинговую атаку, это ваша проблема», но утверждал, что «если мы хотим массового принятия», компании Web3 должны брать на себя больше ответственности, а не выполнять голую работу. минимум.
«Для нас […] нам не нужна минимальная безопасность, которая избавит от ответственности. Мы хотим, чтобы наш продукт был действительно безопасным для пользователей. […] поэтому мы думаем о том, в какие ловушки они могут попасть, и пытаемся защитить пользователей от них».
Polygon — это платформа взаимодействия и масштабирования для создания блокчейнов, совместимых с Ethereum, которая позволяет разработчикам создавать масштабируемые и удобные для пользователя децентрализованные приложения.
Связанный: Перекрёстные цепи в прицеле: взломы требуют более эффективных защитных механизмов
Теперь, когда в Polygon работает команда из 10 экспертов по безопасности, Mudit хочет, чтобы все компании Web3 применяли такой же подход.
По данным аналитической компании Chainalysis, после взлома моста Nomad на сумму 190 миллионов долларов в августе, крипто-взломы превысили отметку в 2 миллиарда долларов.
Источник: Сointеlеgrаph
