В постоянно меняющемся мире Web3 безопасность остается первоочередной задачей для криптокомпаний. Большинство из них сильно зависят от аудитов смарт-контрактов перед развертыванием, веря, что такие аудиты защитят их проекты и средства клиентов от взломов. Однако последние данные показывают суровую истину: 90% смарт-контрактов, которые были взломаны, прошли аудиты перед развертыванием. Эта статистика подчеркивает критический пробел в текущем подходе к безопасности Web3.
Аудировано, но взломано: Критическая роль мониторинга в реальном времени в Web3
Эта статья была опубликована более года назад. Некоторая информация может быть неактуальной.
АВТОР
ПОДЕЛИТЬСЯ
Следующее мнение было написано Майклом Пёрлом, вице-президентом по выходу на рынок, Cyvers.ai.
Роль аудитов смарт-контрактов
Аудиты смарт-контрактов, несомненно, являются важным элементом в безопасности любого криптопроекта. Эти аудиты помогают выявлять типичные уязвимости и ошибки безопасности до развертывания контракта. Проведение множества аудитов различными фирмами является обычной практикой, предназначенной для обеспечения того, чтобы любая возможная проблема была обнаружена и устранена.
Однако, хотя аудиты снижают количество конечных точек и вероятность взлома, они не делают систему неуязвимой. Аудиты — это лишь часть общей картины. Они могут найти общие уязвимости, но не могут учитывать новые, изощренные векторные атаки, которые могут возникнуть после развертывания. Поэтому полагаться исключительно на аудиты не означает, что сделано все возможное для обеспечения безопасности системы.
Примеры: Аудит пройден, затем взлом
Список проектов, которые были взломаны, несмотря на прохождение аудитов смарт-контрактов — часто более одного раза и несколькими аудиторами — к сожалению, очень длинен. Несколько последних примеров иллюстрируют несоответствие между ожиданиями и реальными результатами.
- Dough Finance был взломан 12 июля этого года и потерял $1.8M. Контракты проекта были проверены по крайней мере одной аудиторской компанией в ноябре 2023 года и даже были обозначены как «низкий риск» аудитором.
- UwU Lend был взломан дважды, 10 и 13 июня этого года, потеряв $19.3M. Смарт-контракты компании были проверены по крайней мере одной аудиторской фирмой.
- Radiant Capital был взломан 3 января этого года, потеряв $4.5M. Компания утверждала, что ее контракты прошли аудиты четырьмя различными аудиторскими компаниями, описанными в документации компании как «лучшие в мире».
- Смарт-контракты Euler Finance были эксплуатированы 13 мая прошлого года, что привело к потере $197M. По словам компании, их контракты были проверены четырьмя ведущими аудиторскими компаниями.
- Протокол DeFi LI.FI был эксплуатирован 16 июля этого года, потеряв около $11M. За два года до взлома компания опубликовала блог, гордо сообщая о том, что она прошла аудит у двух аудиторов.
Недостающий элемент: Мониторинг в реальном времени и предварительный отбор транзакций
Многие компании упускают из виду важность мониторинга в реальном времени и предварительного отбора транзакций для оценки рисков. Эти компоненты являются необходимыми для всесторонней стратегии безопасности.
Мониторинг в реальном времени обеспечивает постоянный контроль за развернутыми смарт-контрактами, выявляя и реагируя на проблемы с безопасностью, мошенничество и другие злонамеренные инциденты по мере их возникновения. Этот проактивный подход значительно сокращает окно возможностей для взломщиков и позволяет немедленно принять меры для снижения потенциального ущерба.
Предварительный отбор транзакций оценивает риск транзакций до их выполнения, помогая блокировать злоумышленников и предотвращать мошенничество. Интегрируя этот процесс отбора, компании могут убедиться, что обрабатываются только законные транзакции, что еще больше повышает их уровень безопасности.
Необходимость механизмов управления кризисами
В дополнение к мониторингу в реальном времени и предварительному отбору транзакций, важно внедрить механизмы управления кризисами, такие как функции паузы и другие предохранители. Эти механизмы могут быть автоматическими или ручными и имеют решающее значение для оперативного реагирования на оповещения от систем мониторинга и обнаружения.
Заключение
Аудиты смарт-контрактов являются важной частью безопасности Web3, но они не являются достаточными сами по себе. Чтобы действительно защитить криптопроекты, компании должны принять целостный подход, включающий мониторинг в реальном времени, предварительный отбор транзакций и надежные механизмы управления кризисами. Интегрируя эти передовые меры безопасности, криптокомпании могут значительно повысить свою безопасность, защищая свои проекты и средства клиентов от постоянно меняющихся угроз в пространстве Web3.
Что вы думаете о точке зрения и мнении руководителя Cyvers.ai? Поделитесь своими мыслями и мнениями по этой теме в разделе комментариев ниже.
