CSO Polygon обвиняет бреши в безопасности Web2 в недавней волне взломов

Глава службы безопасности Polygon Мудит Гупта призвал компании Web3 нанимать традиционных экспертов по безопасности, чтобы положить конец легко предотвратимым взломам, утверждая, что совершенного кода и криптовалюты недостаточно.

В беседе с Cointelegraph Гупта отметил, что несколько недавних взломов криптовалюты в конечном итоге были результатом уязвимостей безопасности Web2, таких как управление закрытым ключом и фишинговые атаки для получения логинов, а не плохо разработанной технологии блокчейна.

В дополнение к своей точке зрения Гупта подчеркнул, что получить сертифицированный аудит безопасности смарт-контрактов без принятия стандартных методов кибербезопасности Web2 недостаточно для защиты протокола и кошельков пользователей от эксплуатации:

«Я настаивал, по крайней мере, на всех крупных компаниях, чтобы у них был специальный специалист по безопасности, который действительно знает, что управление ключами важно».

«У вас есть API-ключи, которые используются десятилетиями и десятилетиями. Таким образом, существуют надлежащие передовые методы и процедуры, которым следует следовать. Чтобы сохранить эти ключи в безопасности. В этих вещах должно быть надлежащее ведение журналов аудита и надлежащее управление рисками. Но, как мы видели, эти криптовалютные компании просто проигнорировали все это», — добавил он.

В то время как блокчейны часто децентрализованы на серверной части, «пользователи взаимодействуют с [приложениями] через централизованный веб-сайт», поэтому следует всегда «заботиться о реализации традиционных мер кибербезопасности в отношении таких факторов, как система доменных имен (DNS), веб-хостинг и безопасность электронной почты.— сказал Гупта.

Гупта также подчеркнул важность управления закрытыми ключами, сославшись на взлом моста Ronin за 600 миллионов долларов и взлом моста Horizon за 100 миллионов долларов в качестве хрестоматийных примеров необходимости ужесточения процедур безопасности закрытых ключей:

«Эти взломы не имели ничего общего с безопасностью блокчейна, код был в порядке. Криптография была в порядке, все было в порядке. Кроме управления ключами не было. Закрытые ключи […] не хранились в безопасности, и архитектура работала так, что если ключи были скомпрометированы, весь протокол был скомпрометирован».

Гупта предположил, что текущее мнение фирм, занимающихся блокчейном и Web3, заключается в том, что если «вы попадаете под фишинговую атаку, это ваша проблема», но утверждал, что «если мы хотим массового принятия», компании Web3 должны брать на себя больше ответственности, а не выполнять голую работу. минимум.

«Для нас […] мы не хотим просто минимальной безопасности, которая избавляет от ответственности. Мы хотим, чтобы наш продукт был на самом деле безопасным для пользователей […] поэтому мы думаем о том, в какие ловушки они могут попасть, и пытаемся защитить пользователей от них».

Polygon — это платформа взаимодействия и масштабирования для создания блокчейн, совместимых с Ethereum, которая позволяет разработчикам создавать масштабируемые и удобные для пользователя децентрализованные приложения.

Связанный: Перекрёстные цепи в прицеле: взломы требуют более эффективных защитных механизмов

Теперь, когда в Polygon работает команда из 10 экспертов по безопасности, Mudit хочет, чтобы все компании Web3 применяли такой же подход.

По данным аналитической компании Chainalysis, после взлома моста Nomad на 190 миллионов долларов в августе количество взломов криптовалют превысило отметку в 2 миллиарда долларов.