区块链需要标准
摘要: 如果没有安全审核标准,基于区块链构建的应用程序将继续遭受黑客攻击和攻击。
来源:Blockworks
编译: Techub News -Junge
编辑: Techub News -Junge
如果没有安全审核标准,基于区块链构建的应用程序将继续遭受黑客攻击和攻击
2023 年的加密货币冬天对许多人来说都是充满挑战的,尤其是针对加密钱包、平台和代币协议的窃贼。今年到目前为止,他们仅窃取了 10 亿美元的加密资产,与 2022 年创纪录的 38 亿美元相比大幅下降。
不幸的是,这种下降似乎更多地与可用资本的减少有关,而不是与防御能力更强有关。尽管攻击规模有所下降,但攻击频率实际上却急剧上升:从 2022 年的 60 起黑客攻击增加到截至 10 月底的 75 起。而且这一年还没有结束。
如果去中心化金融要被散户和机构投资者广泛接受,那么它需要实现全球金融民主化的目标。
我们必须共同努力,堵住恶意行为者一直想钻的漏洞。
阻止不良行为者的关键是什么?我们需要大幅改进安全审计,目前安全审计往好里说是不一致的,往坏了说就是橡皮图章式的做法。
具体来说,我们整个行业需要对去中心化技术采用一致的审计方法,该方法是严格的、标准化的和可重复的——与保护传统金融的方法一样强大。
这样的审计标准,加上审计公司对负责任披露原则的公开承诺——愿意指出拒绝听取建议或按建议采取行动的项目——将鼓励项目本身提高安全标准。
Atomic Wallet 拒绝留意审计机构 Least Authority 于 2022 年 2 月公开披露的严重安全漏洞,导致2023 年 6 月黑客 损失超过 1 亿美元。
最好的情况是,第三方安全审核是由熟练团队进行的彻底调查,分析系统设计和实施的各个方面,找出可能影响操作或用户的弱点和缺陷,或者为不良行为者提供对敏感数据或敏感数据的访问权限。资产。
良好的审计还可以仔细评估开发人员和设计人员是否在系统的创建和推出过程中遵循了最佳实践。
漏洞有多种形式;加密技术不正确或不够安全、敏感信息泄露、系统部件不受保护、系统设计文档与实现中使用的代码之间不一致。
此类缺陷可能会导致各种后果,从敏感和秘密用户数据的暴露到用户和系统资产的丢失。
因此,审计尽可能详细且一致对于项目及其用户的安全至关重要。
有数十家公司提供审计服务,但由于没有行业标准,质量可能而且确实存在巨大差异。即使在信誉良好的公司内部,对于应该审计的内容也没有达成共识,也没有一套一致的标准。
当然,即使是最有经验的审计员也不能保证能够找出系统中的每个弱点或保护每个用户免受损失。但事实证明,如果彻底、定期地进行安全审计,可以大幅降低严重漏洞未被发现的风险。
然而,审计无法阻止社会工程攻击(涉及操纵人类的攻击),例如今年早些时候,朝鲜组织 Lazarus说服一家身份不明的加密货币交易所的工程师下载伪装成套利机器人的恶意软件。防止此类攻击只能依靠警惕和团队培训。
确实,每次审计都会有所不同,就像每个项目都不同一样。
按照安全审计领域的长期经验,审计师必须采取一些具体步骤,才能最大限度地提高安全审计的有效性,从而造福于客户、用户和生态系统。
这些要求是什么?旨在使去中心化系统更具弹性并保护用户免受潜在损失的审计标准必须包括对以下内容的详尽评估:
- 项目的威胁模型
- 设计的安全性
- 实施的安全性
- 使用依赖项
- 测试
- 项目文档
- 审核范围以及是否充分。
为了确保标准的任何改进都有利于整个区块链,我们还提倡知识共享和公共产品的创建,例如研究、工具和培训。
通过共同努力提高整个安全审计行业的标准,从而提高去中心化技术领域的标准,我们可以在阻止区块链黑帽黑客打破 2022 年加密资产被盗记录方面大有帮助。
这是我们不希望看到再次被打破的一项记录。
作者:TechubNews;来自链得得内容开放平台“得得号”,本文仅代表作者观点,不代表链得得官方立场凡“得得号”文章,原创性和内容的真实性由投稿人保证,如果稿件因抄袭、作假等行为导致的法律后果,由投稿人本人负责得得号平台发布文章,如有侵权、违规及其他不当言论内容,请广大读者监督,一经证实,平台会立即下线。如遇文章内容问题,请联系微信:chaindd123
评论(0)
Oh! no
您是否确认要删除该条评论吗?