Ричард Ма, генеральный директор и основатель Quantstamp, находится в авангарде аудита криптовалют.
Поскольку его фирма признана одной из ведущих организаций по аудиту смарт-контрактов, точка зрения Ма предлагает бесценную информацию о развивающихся проблемах и парадигмах криптобезопасности.
В интервью CryptoPotato, которое состоялось на Token2049 в Сингапуре, Ма глубоко углубляется в текущие ограничения аудита смарт-контрактов, разнообразную природу крипто-хаков, выходящих за рамки просто смарт-контрактов, и предлагает проницательное руководство по оценке достоверности аудита безопасности.
Путешествие Ричарда Ма в мир криптовалют началось с прямого и личного знакомства с их уязвимостями.
«Когда я открыл для себя Ethereum… я инвестировал в DAO (2016). Несколько недель спустя он был взломан и украдено более 50 миллионов долларов. Именно поэтому я запустил Quantstamp».
Эта неудачная встреча превратила Ма из инвестора в светила, стремящегося укрепить ландшафт цифровых финансов.
Недостаточно: ограничения аудита смарт-контрактов
Мир криптовалют быстро расширяется, и проекты появляются каждый день. Инвесторы и пользователи постоянно ищут проекты, которые не только обещают высокую прибыль, но и безопасны. Здесь на сцену выходит тег «проверено». Проекты продвигают этот тег как знак безопасности и уверенности. Но достаточно ли этого?
«Да, аудита определенно недостаточно, — начинает Ма, — и просто сказать «проверено» также недостаточно, потому что около трети всех проектов, которые проверяются, не устраняют некоторые серьезные проблемы, которые у них есть».
Он подробно остановился на разрыве между тем, что предлагают аудиторы, и тем, что решают реализовать проекты. Это было поразительное открытие: хотя аудиторы могут выявить уязвимости, ответственность за их устранение ложится на проекты.
Но на этом опасения не заканчиваются. «Для многих проектов они выпускают множество вещей без проверки, а затем ждут, пока у них появится куча обновлений, а затем все сразу проверяют. И поэтому в период между проверками это может быть рискованно. " Ма проиллюстрировал это, сославшись, среди прочего, на Nomad Bridge, где небольшие правки, внесенные между проверками, стали центром злоупотреблений.
Из МТ. Gox: хаки – далеко за пределами смарт-контрактов
Глубина познаний Ма в области криптографии была очевидна, когда он углублялся в многогранную природу хаков в криптопространстве.
«Многие из крупнейших взломов в криптовалюте не являются взломами смарт-контрактов. Это взломы бирж или кражи у депозитарных провайдеров. Одним из первых крупных взломов был Mt. Gox, и это был эксплойт обмена».
Еще больше расширяя горизонт разговора, он затронул угрозы, лежащие за пределами уязвимостей смарт-контрактов. «Есть много способов взломать эти биржи и депозитарные службы. Кроме того, люди, использующие Metamask, часто теряют свои личные ключи».
Эксплуатация, несмотря на проверку: определение достоверности аудита
Когда Ма спросили о достоверности проверок, его идеи оказались проницательными и заставили задуматься.
«Лучший способ получить представление о достоверности аудита — это просто взять пять предыдущих отчетов о аудите и прочитать их».
Хороший аудит, с точки зрения Ма, — это не тот аудит, который просто указывает на общие проблемы, а анализ глубины дизайна и функциональности проекта.
Он подчеркнул уникальные обстоятельства каждого проекта. «Для каждого отдельного проекта всегда существуют некоторые особенности проектирования и всегда есть какие-то уникальные обстоятельства, которые следует объяснить в аудиторском отчете».
Проведено более 700 аудитов
Траектория Quantstamp под руководством Ма подчеркивает важность понимания и решения этих проблем. Проведя более 700 аудитов и обслужив 600 активных клиентов, Quantstamp возглавляет усилия по обеспечению будущего цифровых активов.
Источник«Я думаю, важно помнить, что безопасность — это не разовая вещь, а непрерывный процесс. Нам нужно постоянно развиваться, адаптироваться и быть бдительными. В Quantstamp мы привержены этому видению», — сказал он. Ричард Ма, намекая на более широкую картину криптобезопасности в ближайшие годы.
