Web3 имеет большие проблемы с безопасностью, и индустрия не делает достаточно для защиты пользователей: Мнение

Люди воспринимают безопасность как должное, когда речь идет об управлении их активами, но это не их вина. Традиционные финансовые институты поощряют такое отношение, предлагая взять на себя бремя обеспечения безопасности в обмен на вознаграждение и контроль над активами клиента. Web3 дает возможность изменить эту динамику, вернув контроль в руки пользователей и расширив доступ к цифровым активам. Однако инфраструктура Web3 по-прежнему сопряжена с проблемами безопасности - от потери ключей до взлома оборудования и полномасштабных хакерских атак.

В этом году было зафиксировано значительное количество эксплойтов: на сегодняшний день в результате взломов потеряно активов на сумму более 667 млн. долл. Кажется, что каждую неделю мы видим очередной взлом или эксплойт, как, например, тот, которому всего несколько дней назад подверглась децентрализованная биржа Curve Finance. Если Web3 собирается позиционировать себя в качестве надежной альтернативы традиционным финансовым системам, открывая путь к их массовому внедрению, индустрии необходимо решить проблему безопасности и лучше защищать пользователей.

Создание надежного фундамента

В первую очередь, ответственность за создание и поддержку надежных платформ ложится на разработчиков. Реальность такова, что многие проекты Web3 спешат выйти на рынок, ставя во главу угла целесообразность, а не безопасность. К сожалению, даже самая незначительная ошибка в коде может сделать экосистему уязвимой для злоумышленников. В результате отрасль страдает от широко распространенных нарушений безопасности, которые наносят значительный ущерб пользователям и со временем подрывают доверие к ним. Однако положительным моментом является то, что разработчики могут учиться на этих ошибках и создавать протоколы для предотвращения будущих эксплойтов.

Ответственная разработка требует значительных инвестиций в безопасность на ранних стадиях проекта, чтобы заложить прочный фундамент для масштабируемости. Привлечение сильной команды разработчиков в группу аудита, проведение многочисленных тестов и аудитов перед запуском, а также прогнозирование нарушений безопасности являются ключевыми шагами для предотвращения мошенничества и использования уязвимостей.

Поиск ресурсов

В мире Web3 авторитет лучше всего формируется проверкой временем. Хотя первоначальный аудит и формальная проверка очень важны для создания фундамента доверия, важно отметить, что аудит все равно не докажет отсутствие ошибок, и разработчикам необходимо постоянно проводить тесты для повышения уровня безопасности. Для этого необходимо объединить усилия всего сообщества, обменяться опытом и совместно работать над созданием доверия к экосистеме.

Кроме того, команды разработчиков должны оперативно реагировать на обнаруженные ошибки. Слишком часто значительные ресурсы направляются на выявление таких проблем, а затем происходят задержки с исправлением ошибок, что делает проект уязвимым для атак. В конечном итоге все сводится к тому, чтобы выделить необходимые ресурсы для обеспечения безопасности.

Программы "bug bounty" представляют собой инновационное решение в области безопасности Web3, поощряющее любого заинтересованного разработчика попробовать свои силы во взломе системы за денежное вознаграждение. Это эффективный метод, позволяющий проектам, не имеющим внутренних ресурсов, использовать возможности внешних исследователей безопасности, которые могут проанализировать код, выявить потенциальные ошибки и разработать исправления до того, как эти проблемы повлияют на работу пользователей или безопасность.

Помимо программ "bug bounty", еще одной новой группой в сфере безопасности Web3 по сравнению с традиционными структурами безопасности являются хакеры "whitehat". Эти "этичные хакеры" действуют без заранее установленного вознаграждения и ставят интересные задачи перед проектами, изучающими способы их взаимодействия и мотивации. Они также представляют собой юридические проблемы: действия, о которых вас никто не просил, могут считаться "незаконными" в нынешней системе Web2. Те, кто сможет возглавить инициативы, направленные на создание более совершенной правовой базы, которая облегчит и сделает более привлекательным для хакеров-белошляпников выделение времени на свои проекты, выиграют от этого. Это может быть связано с выделением части "спасенных" средств в качестве вознаграждения. После разработки такой шаблон может быть легко применен к любому проекту, стимулируя более активное сотрудничество в Web3.

А как же роботы-аудиторы?

Учитывая, что достижения в области генеративного искусственного интеллекта революционизируют наши методы работы, можно надеяться, что эта технология облегчит и работу разработчиков. Ведь круглосуточный мониторинг и реагирование на кризисные ситуации требуют значительного выделения ресурсов. К сожалению, пока таких технологий просто нет.

Многие взломы происходят потому, что разработчики повторяют одни и те же ошибки. В настоящее время проблема заключается в том, как правильно подать код искусственному интеллекту, чтобы технология понимала все взаимодействия. Из-за сложности логических потоков в коде это пока не удается сделать. Пока эта технология не будет усовершенствована, разработчики должны сами создавать доверие к своим платформам.

Обучение пользователей по-прежнему имеет первостепенное значение

Помимо создания и поддержки безопасных платформ, для предотвращения эксплуатации важнейшее значение имеет повышение доступности и обучение пользователей.

На данный момент в этом году пользователи потеряли более 40 млн. долларов США в результате мошенничества при выводе средств, что говорит о необходимости более эффективного руководства в этой области. Когда речь идет о самостоятельном выводе средств, "откатов" не бывает, и пользователи в конечном итоге несут ответственность за свои средства. Но это не означает, что разработчики не могут облегчить задачу пользователям, предоставив им инструменты для безопасного управления собственными средствами.

Многие проблемы юзабилити в Web3 носят поверхностный характер и сводятся к некачественному пользовательскому интерфейсу, запутанному веб-коду, отсутствию четких рекомендаций и указаний. Улучшая пользовательский опыт, создавая интуитивно понятные интерфейсы, используя простой и понятный язык, а также обеспечивая более качественную поддержку клиентов, платформы Web3 могут предотвратить попадание своих пользователей в сети мошенников и эксплуататоров.

Кроме того, управление ключами является существенным препятствием для владения и самостоятельного хранения: по оценкам Chainalysis, 23% биткойна может навсегда исчезнуть из-за потери ключей. Смарт-счета уже улучшают работу пользователей, предоставляя такие функции, как восстановление ключей, которое позволяет пользователям получать потерянные ключи без использования централизованных сторонних хранителей. Кошельки с несколькими подписями, предоставляющие доступ к кошельку нескольким пользователям, также помогают, позволяя другу или сотруднику выступать в качестве дополнительного хранителя. Вооружившись этими инструментами, пользователи могут взять безопасность в свои руки и получить больше удовольствия от владения цифровыми технологиями.

На пути к многоуровневому подходу

Одним из ключевых преимуществ децентрализации является отсутствие единой точки отказа. Поэтому подход к обеспечению безопасности любой платформы должен быть многогранным. Начиная с прочного фундамента, Web3-проекты должны уделять приоритетное внимание безопасности при найме и разработке. Создание доверия требует времени, поэтому мониторинг кода и постоянное тестирование на наличие уязвимостей просто необходимы. В то же время разработчики не должны забывать о важности обучения пользователей для предотвращения нарушений безопасности и потерь из-за ошибок пользователей. Создание доступных и удобных платформ - лучший способ предотвратить эту проблему. Сочетая эти тактики, разработчики смогут решить проблему безопасности Web3, обеспечив себе путь к массовому внедрению.