Divulgare: Punctele de vedere și opiniile exprimate aici aparțin exclusiv autorului și nu reprezintă punctele de vedere și opiniile editorialului crypto.news.
Pentru o mare parte din 2024, m-am simțit ca și cum aș trăi în viitor. Google a dezvăluit un cip de calcul cuantic care poate efectua cu ușurință calcule care ar dura unui computer tradițional mai mult decât a existat universul. Vehiculele autonome Waymo au transportat peste 150.000 de persoane săptămânal. Modelele AI precum AlphaFold au continuat să dezvăluie provocări biologice complexe cu precizie.
S-ar putea să îți placă și: Decentralizarea securității cibernetice: Audituri publice beneficiază industria web3 | Opinia
În ciuda progreselor tehnologice masive în alte părți, părți ale propriei noastre industrii s-au simțit ca și cum ar fi stat pe loc, mai ales în ceea ce privește securitatea. În timp ce tehnologiile avansate transformă aproape fiecare sector, securitatea web3 rămâne frustrant de ruptă.
Trecerea de la modelul centralizat al web2 la arhitectura descentralizată a web3 a extins dramatic suprafața de atac. În timp ce descentralizarea este coloana vertebrală a inovației web3, a creat un paradox de securitate inerent: aceeași natură deschisă și distribuită care oferă utilizatorilor libertate creează de asemenea o suprafață de atac vastă, expusă permanent. Cu sute de miliarde de volume de tranzacții anual, miza pentru obținerea securității corecte nu a fost niciodată mai mare.
Cu toate acestea, în ciuda creșterii seismice a suprafeței de atac și a miliardelor care circulă prin protocoale, industria noastră se agață de audituri manuale reactive ca fundament al securității sale. Această abordare – cândva considerată standardul de aur al securității web3 – s-a dovedit a fi extrem de insuficientă și depășită. Și datele confirmă această realitate; 90% din contractele exploatate au trecut prin audituri.
La fel cum dezvoltarea software-ului web2 a evoluat mult dincolo de testarea manuală pentru a include o serie de unelte și tehnici – integrare continuă, testare automată, monitorizare în timp real, pentru a numi câteva – web3 necesită acum o transformare similară în modul în care abordăm dezvoltarea și, în cele din urmă, desfășurăm la mase.
Provocările unice ale web3
Starea practicilor de securitate a contractelor inteligente este deosebit de alarmantă când este comparată cu nivelul de risc al unei breșe de securitate web3. Există trei motive cheie pentru aceasta:
Imutabilitate: Când desfășori un contract inteligent, codul său devine permanent – imutabilitatea este o caracteristică de bază, nu un bug. Aceasta înseamnă că, spre deosebire de aplicațiile web2, unde dezvoltatorii pot corecta rapid vulnerabilitățile, remedierea defectelor contractelor inteligente necesită o coordonare complexă pe întreaga protocol.
Vizibilitate: Complicând această provocare este natura publică a codului blockchain, unde atacatorii pot avea vizibilitate asupra codului sursă. Dacă există vulnerabilități, actorii răi pot (și vor) să le găsească.
Control direct asupra activelor: Cel mai critic, vulnerabilitățile web3 pun activele reale în pericol imediat. În timp ce atacurile web2 vizează de obicei datele, exploatările contractelor inteligente duc la pierderi financiare directe, adesea ireversibile.
Ce face web3 revoluționar – imutabilitatea sa, transparența și controlul direct al activelor – este exact ceea ce ne cere să regândim securitatea de la bază.
De ce auditurile singure nu sunt suficiente
Lasă-mă să fiu clar: Nu argumentez împotriva auditurilor. Ele joacă un rol esențial în desfășurarea de contracte inteligente sigure, dar nu ar trebui să fie prima și singura noastră linie de apărare. Când auditurile sunt tot ce avem, activele utilizatorilor rămân expuse. Ia exemplul hack-ului Euler Finance din 2023; pierderile au depășit 200 milioane de dolari, în ciuda faptului că protocolul a trecut prin zece audituri diferite.
Cea mai fundamentală problemă cu dependența de audituri manuale este că chiar și cei mai avansați auditori nu pot prinde totul; oamenii sunt supuși greșelii. Contractele inteligente devin din ce în ce mai complexe, iar fiecare nouă caracteristică multiplică vectorii de atac potențiali exponențial, făcând practic imposibil ca orice revizuire manuală să identifice fiecare slăbiciune potențială. Faptul că un proiect poate trece prin zece audituri diferite și totuși să fie hack-uit dovedește acest punct – nu este vorba despre abilitatea auditorilor individuali, ci mai degrabă despre limitările inerente ale revizuirii manuale.
Cazul pentru securitate proactivă
Pe scurt, dependența industriei noastre de audituri a creat ceea ce cred că este un status quo iresponsabil pentru securitatea web3 – unul în care securizarea proactivă a contractelor inteligente este excepția, mai degrabă decât regula. Realizarea că web3 a inovatorat în timp ce securitatea a rămas în trecut este exact ceea ce m-a determinat să încep Olympix, o platformă de securitate web3 axată pe dezvoltatori care împuternicește dezvoltatorii să asigure codul pe măsură ce îl scriu, în 2022.
Obiectivul nostru este de a automatiza cât mai mult din procesul de audit posibil, capturând în prezent 20-50% din vulnerabilități înainte ca proiectul să ajungă chiar la primul său audit. Aceasta permite experților în securitate să își concentreze timpul pe găsirea celor mai impactante și noi vulnerabilități, în loc de problemele de rutină. Și funcționează; o analiză internă a arătat că în T3 '24, 60 milioane de dolari în contracte exploatate, anterior auditate, ar fi fost prevenite dacă echipele ar fi folosit uneltele noastre. Acest lucru include hack-uri de înaltă vizibilitate precum Pendle (6,5 milioane de dolari) și LIFI (600.000 de dolari). Cu toate acestea, la fel ca auditurile, uneltele avansate precum Olympix nu sunt o soluție completă. Provocările unice ale web3 necesită o abordare sofisticată, stratificată, care combină uneltele proactive axate pe dezvoltatori cu audituri tradiționale, programe de recompensă pentru erori și monitorizare pe lanț pentru a crea mai multe straturi de protecție.
Calea de urmat: De la reacție la proactivitate
Aruncă o privire asupra abordării tale de securitate astăzi. Se bazează pe audituri unice? Sofisticarea practicilor tale de securitate se potrivește cu complexitatea și nivelul de risc al proiectului pe care l-ai implementat? Aș ghici că pentru o mare majoritate, gapul de securitate rămâne periculos de larg.
Realitatea este că în 2025, avem tot ce ne trebuie pentru a transforma securitatea web3. Tehnologia pentru a desfășura în siguranță contracte inteligente este aici, iar uneltele există – Olympix fiind una dintre ele.
Cred cu tărie că viitorul industriei noastre va fi determinat de încredere, începând cu capacitatea noastră de a proteja activele pe care colegii noștri ni le încredințează. Da, web3 este transformator, dar este și necruțător. Cu miliarde în joc, robustețea și longevitatea web3 sunt pe umerii noștri. Să ne securizăm viitorul proactiv.
Citește mai mult: Ce ne rezervă 2025 pentru crypto și activele digitale? | Opinia
Autor: Channi Greenwall
Channi Greenwall este fondatoarea Olympix, o companie de unelte de securitate proactivă pentru dezvoltarea web3 care a asigurat peste 10 miliarde de dolari în valoare totală blocată în protocoale. La doar câțiva ani de la înființare, platforma este deja utilizată de peste 30% dintre dezvoltatorii Solidity pentru securitatea contractelor inteligente. Înainte de Olympix, ea a proiectat infrastructura de securitate critică de misiune la JP Morgan Chase, urmată de un rol ca lider de produs la Security Scorecard. Deține o diplomă de licență în informatică și un master în inginerie de securitate de la NYU.