По мере того, как криптовалюта становится все более популярной, а создание проектов на основе Web3 становится все более распространенным, безопасность блокчейна становится центральной опорой для пользователей и разработчиков. В беседе с BeInCrypto генеральный директор Hacken Дима Будорин подчеркнул необходимость комплексных решений по обеспечению соответствия в 2025 году.
Необходимость более высоких мер безопасности
По мере приближения 2025 года эксперты оценивают частоту утечек данных, от которых пострадали блокчейны, и их негативное влияние на пользовательский опыт. В этом году участились случаи утечек криптобезопасности, а потери превысили 2,9 млрд долларов в различных секторах, согласно недавнему отчету по безопасности Web3, разработанному компанией Hacken, занимающейся кибербезопасностью.
Отчет о безопасности Web3 за 2024 год. Источник: Хак.
Уязвимости контроля доступа стали доминирующим вектором угроз, составив 75% всех взломов. Эта тенденция, наблюдаемая на платформах DeFi, CeFi и игровых/метаверсных платформах, выявила широкое распространение уязвимостей безопасности, связанных с операционной безопасностью и управлением доступом. Фишинговые мошенничества также нанесли значительный ущерб, в результате чего убытки превысили 600 миллионов долларов.
«Очевидно, что отрасль больше не может игнорировать операционную безопасность. Комплексные аудиты, строгие протоколы контроля доступа и надежные системы управления ключами должны стать стандартной практикой», — сказал Будорин в интервью BeInCrypto.
Значительные потери, понесенные в 2024 году, подчеркивают острую необходимость для криптоиндустрии уделять первостепенное внимание всеобъемлющим мерам безопасности и комплексным аудитам для сокращения будущих нарушений и защиты активов пользователей.
Плохой год для контроля доступа
Будорин назвал проблемы контроля доступа наиболее важной проблемой, с которой сталкивается безопасность блокчейна сегодня, особенно потерю закрытых ключей между проектными группами, что влияет на генеральных директоров и разработчиков. Согласно отчету Hacken, в 2024 году эксплойты контроля доступа, в основном связанные с компрометацией закрытых ключей, привели к потерям, превышающим $1,7 млрд. Это существенно больше, чем $1 млрд, о которых сообщалось в предыдущем году.
«В частности, такие крупные инциденты, как Radiant Capital и Orbit Bridge, подчеркивают последствия слабого управления ключами и отсутствия решений с несколькими подписями или регулярных аудитов», — добавил Будорин.
В октябре крупный взлом, нацеленный на Radiant Capital, привел к потерям в размере $55 млн и затронул более 10 000 пользователей. Взлом был связан с использованием хакерами уязвимостей для получения контроля над тремя закрытыми ключами Radiant, что позволило им вывести средства с платформы.
Отчет о безопасности Web3 за 2024 год. Источник: Хак.
Злоумышленники использовали уязвимости, внедряя вредоносное ПО на устройства разработчиков, что позволяло им перехватывать и манипулировать законными подтверждениями транзакций, несмотря на использование аппаратных кошельков. Orbit Bridge, кросс-чейновый сервис мостов, пострадал от более серьезного взлома в канун Нового года в прошлом году, что привело к потере примерно 82 миллионов долларов. По данным Hacken, этот инцидент стал крупнейшим взломом DeFi в 2023 году. Несмотря на использование технологии мультиподписи, которая обычно требует авторизации транзакций несколькими сторонами, злоумышленник скомпрометировал семь из десяти подписантов, что выявило критическую уязвимость в системе. Украденные средства в основном представляли собой стейблкоины, включая 30 миллионов долларов США USDT, 10 миллионов долларов США USDC и 10 миллионов долларов США DAI. Кроме того, были скомпрометированы 231 WBTC (10 миллионов долларов США) и 9500 ETH (21,5 миллиона долларов США). Хакеры перевели украденные средства через промежуточный адрес, прежде чем отмыть их через криптовалютный миксер.
Приоритет более высоких стандартов кибербезопасности
По словам Будорина, в 2025 году обязательное соблюдение требований должно стать реальностью для всех проектов, разрабатываемых на основе блокчейна.
«Обязательное соответствие в 2025 году станет поворотным моментом для криптоиндустрии, обеспечивая столь необходимую прозрачность, подотчетность и операционную устойчивость. Такие нормативные акты, как MiCA (Рынки криптоактивов), DORA (Закон о цифровой операционной устойчивости) и пакет AML, потребуют от поставщиков централизованных криптоуслуг, кастодианов и других игроков внедрения более высоких стандартов кибербезопасности, надежных механизмов отчетности и строгих операционных процедур», — сказал Будорин BeInCrypto.
Помимо этих юрисдикционных норм, Будорин призывает все блокчейн-проекты решать проблемы кибербезопасности, соблюдая Стандарт безопасности криптовалют (CCSS). CCSS обеспечивает всеобъемлющую структуру для повышения безопасности криптовалютных систем. Структура CCSS подчеркивает тщательные методы управления ключами. Среди механизмов соответствия, элементы управления CCSS требуют безопасной генерации ключей с использованием стандартизированных генераторов случайных битов для минимизации риска компрометации ключа.
Зашифрованное хранилище и механизмы контролируемого доступа применяются для предотвращения несанкционированного использования ключей. Напротив, правильное внедрение настроек с несколькими подписями и распределенного управления ключами снижает риск эксплуатации любым отдельным субъектом. Эти стандарты рекомендуют внедрять многоуровневые меры безопасности, проводить регулярные аудиты безопасности и устанавливать строгие правила контроля доступа.
Придерживаясь CCSS, организации могут значительно улучшить защиту закрытых ключей. Это снизит частоту и серьезность нарушений безопасности, связанных с уязвимостями контроля доступа.Будорин считает, что таких потерь можно было бы избежать, если бы Radiant Capital и Orbit Bridge соблюдали рекомендации CCSS.
ОАЭ позиционируют себя как лидера в области безопасности блокчейна
Некоторые страны приняли подробные протоколы, гарантирующие соблюдение участниками Web3 правил безопасности операций.
«ОАЭ, и в частности Abu Dhabi Global Market (ADGM), становятся мировым лидером в области безопасности и инноваций в сфере блокчейна благодаря своей дальновидной нормативно-правовой базе, стратегическому видению и способности содействовать развитию процветающей технологической экосистемы», — сказал Будорин.
ADGM — это финансовая свободная зона на острове Аль-Марья в Абу-Даби. Созданная в 2013 году Федеральным указом, ADGM является финансовым центром города с его независимой правовой и нормативной базой.
«ADGM зарекомендовал себя как пионер в области регулирования, балансирующий между инновациями и соответствием требованиям. Создавая четкие, прогрессивные руководящие принципы для блокчейна и цифровых активов, ADGM привлекает компании, ищущие безопасную, соответствующую требованиям среду для роста», — пояснил Будорин.
В апреле ADGM и Hacken подписали Меморандум о взаимопонимании (MoU) для сотрудничества в области повышения безопасности блокчейна. Целью альянса является разработка эффективных стандартов безопасности и решений для мониторинга в цепочке в рамках фреймворка ADGM Distributed Ledger Technology (DLT) Foundations.
«Вместе мы работаем над установлением мировых стандартов безопасности Web3, предоставляя передовые решения по аудиту безопасности, тестированию на проникновение и обеспечению соответствия для блокчейн-проектов в ОАЭ и за их пределами», — сказал Будорин.
Будорин надеется в будущем увидеть больше совместных усилий, в которых приоритет будет отдан безопасности и будет способствовать созданию устойчивой экосистемы Web3.