Polygon CSO винит пробелы в безопасности Web2 в недавней серии взломов

Директор по безопасности Polygon Мудит Гупта призвал компании Web3 нанять традиционных экспертов по безопасности, чтобы положить конец легко предотвратимым взломам, утверждая, что совершенного кода и криптографии недостаточно. 

В беседе с Cointelegraph Гупта отметил, что несколько недавних взломов криптовалют в конечном итоге были результатом уязвимостей безопасности Web2, таких как управление закрытыми ключами и фишинговые атаки для получения логинов, а не плохо продуманной технологии блокчейна.

В дополнение к этому Гупта подчеркнул, что получение сертифицированного аудита безопасности смарт-контрактов без применения стандартных методов кибербезопасности Web2 недостаточно для защиты протокола и кошельков пользователей от эксплуатации:

"Я настаиваю на том, чтобы по крайней мере во всех крупных компаниях появился специальный сотрудник по безопасности, который действительно знает, что управление ключами очень важно".

"У вас есть API-ключи, которые используются десятилетиями и десятилетиями. Поэтому существуют надлежащие лучшие практики и процедуры, которым необходимо следовать. Чтобы сохранить эти ключи в безопасности. Должны быть надлежащие журналы аудита и надлежащее управление рисками вокруг этих вещей. Но, как мы видим, эти криптовалютные компании просто игнорируют все это", - добавил он.

Хотя блокчейн часто децентрализован на внутренней стороне, "пользователи взаимодействуют с [приложениями] через централизованный веб-сайт", поэтому следует "всегда заботиться о применении традиционных мер кибербезопасности в отношении таких факторов, как система доменных имен (DNS), веб-хостинг и безопасность электронной почты", - сказал Гупта.

Гупта также подчеркнул важность управления закрытыми ключами, приведя взлом моста Ronin стоимостью 600 миллионов долларов и взлом моста Horizon стоимостью 100 миллионов долларов в качестве наглядных примеров необходимости ужесточения процедур защиты закрытых ключей:

"Эти взломы не имеют никакого отношения к безопасности блокчейна, код был в порядке. Криптография была в порядке, все было в порядке. Вот только управление ключами было не в порядке. Закрытые ключи [...] не были надежно сохранены, и архитектура работала так, что если ключи были скомпрометированы, весь протокол был скомпрометирован".

Гупта предположил, что в настоящее время блокчейн и компании Web3 настроены так: "Если вы попались на фишинговую атаку, это ваша проблема", но утверждает, что "если мы хотим массового внедрения", компании Web3 должны взять на себя больше ответственности, а не выполнять минимум.

"Для нас [...] мы не хотим просто минимальной безопасности, которая убережет от ответственности. Мы хотим, чтобы наш продукт был действительно безопасным для пользователей [...] поэтому мы думаем о том, в какие ловушки они могут попасть, и пытаемся защитить пользователей от них".

Polygon - это структура взаимодействия и масштабирования для создания Ethereum-совместимых блокчейнов, которая позволяет разработчикам создавать масштабируемые и удобные для пользователей децентрализованные приложения.

Сейчас в Polygon работает команда из 10 экспертов по безопасности, и Мудит хочет, чтобы все компании Web3 использовали такой же подход.

После взлома моста Nomad на сумму 190 миллионов долларов в августе, взломы криптовалют превысили отметку в 2 миллиарда долларов, по данным аналитической компании Chainalysis, специализирующейся на блокчейне.