Безопасность крипторынка: почему традиционные аудиты не останавливают кражи

Криптовалютная индустрия на протяжении многих лет остается в эпицентре кибератак и цифровых краж. Несмотря на то, что за последние годы количество аудитов безопасности увеличилось втрое, объем потерь не снижается, что вызывает серьезную обеспокоенность отраслевых экспертов. Согласно исследованиям Оак Секуритй, проблема заключается не в самом коде, а в человеческом факторе и пробелах в операционных процессах. Об этом сообщает Coindesk.ком.

По имеющимся данным, с 2022 года хакерские группировки, в частности известная северокорейская команда Лазарус Груп, сумели похитить из криптопроектов более 2,2 млрд УСД. Хотя в этот период проекты резко увеличили количество обращений в аудиторские компании для обеспечения безопасности, киберпреступники также совершенствуют свои методы. На сегодняшний день возник серьезный дисбаланс между традиционными аудитами и реальными атаками.

Человеческий фактор и ограниченность аудита

В настоящее время большинство процессов аудита ограничиваются только проверкой кода смарт-контрактов. Однако большинство успешных атак осуществляется именно через те направления, которые не входят в рамки аудита. Хакеры предпочитают использовать методы социальной инженерии против администраторов систем, нежели искать технические ошибки. Это означает, что каким бы совершенным ни был код, система все равно остается уязвимой.

Для обеспечения безопасности криптопроекта недостаточно полагаться только на технический аудит. Злоумышленники часто получают доступ к средствам путем захвата аккаунтов сотрудников, фишинговых атак или кражи внутренних ключей управления. Исследование Оак Секуритй показывает, что пока меры безопасности не охватят человеческий и операционный векторы, крупные кражи, связанные с Bitcoin и другими криптовалютами, будут продолжаться.

Что ждет индустрию?

Стоит отметить, что за последние годы качество аудита кода значительно повысилось. Компании по безопасности используют самые современные инструменты и методы для выявления уязвимостей в смарт-контрактах перед их запуском. Качество кода в индустрии действительно улучшилось, но это не может гарантировать общую безопасность.

Криптовалютная экосистема должна обновить свою инфраструктуру безопасности. Для этого рекомендуются следующие меры:

• Проведение аудита не только кода, но и всего операционного процесса;
• Организация регулярных тренингов по кибербезопасности для сотрудников;
• Использование многоэтапных и децентрализованных методов хранения ключей управления;
• Создание систем быстрого реагирования при возникновении атаки.

Резюмируя, для сокращения потерь на крипторынке требуется коренное изменение подхода. Только при сочетании технического совершенства и человеческой бдительности можно будет вывести безопасность цифровых активов на новый уровень.