Переосмислення безпеки Web3: чому аудити недостатні для захисту смарт-контрактів

Наш сліпий кут аудиту: майбутнє Web3 залежить від переосмислення безпеки | Думка

Розкриття: Види та думки, що висловлені тут, належать виключно автору та не представляють погляди та думки редакції crypto.news.

Протягом більшої частини 2024 року, мені здавалося, що я живу в майбутньому. Google представив квантовий комп`ютерний чіп, який може легко виконувати обчислення, для яких традиційний комп’ютер знадобився б більше часу, ніж існує всесвіт. Автономні транспортні засоби Waymo транспортували понад 150 000 людей щотижня. Моделі штучного інтелекту, такі як AlphaFold, продовжували розкривати складні біологічні проблеми з точністю. Ви також можете бути зацікавлені в: Децентралізація кібербезпеки: публічні аудити вигідні для індустрії web3 | Думка

Незважаючи на величезний прогрес у технологіях в інших сферах, частини нашої індустрії виглядали так, ніби застрягли на місці, особливо коли мова йшла про безпеку. Хоча передові технології трансформують майже кожен сектор, безпека web3 залишається незадовільною.

Перехід від централізованої моделі web2 до децентралізованої архітектури web3 значно розширив поверхню атак. Хоча децентралізація є основою інновацій web3, вона створила внутрішній парадокс безпеки: та ж сама відкрита, розподілена природа, що надає користувачам свободу, також створює величезну, постійно відкриту поверхню атак. За рік об`єм транзакцій сягає сотень мільярдів, ставки на правильну безпеку ніколи не були вищими.

Проте, незважаючи на сейсмічний ріст площі атак і мільярди, що проходять через протоколи, наша індустрія досі покладається на реактивні, ручні аудити як свою основу безпеки. Цей підхід — який раніше вважався золотим стандартом безпеки web3 — виявився вкрай недостатнім і застарілим. І дані підтверджують цю реальність: 90% експлуатованих контрактів пройшли аудит.

Так само, як розвиток програмного забезпечення web2 еволюціонував далеко за межі ручного тестування, включаючи численні інструменти та техніки — безперервну інтеграцію, автоматичне тестування, моніторинг в реальному часі — web3 тепер вимагає подібної трансформації в тому, як ми підходимо до розробки і, зрештою, розгортаємо до мас.

Унікальні виклики Web3

Стан практик безпеки смарт-контрактів особливо тривожить, коли його порівнюють з рівнем ризику вразливості безпеки web3. Є три основні причини для цього:

• Незмінність: Коли ви розгортаєте смарт-контракт, його код стає постійним — незмінність є основною рисою, а не помилкою. Це означає, що на відміну від застосувань web2, де розробники можуть швидко виправити вразливості, виправлення недоліків смарт-контрактів вимагає складної координації через весь протокол.
• Видимість: Ускладнює це завдання публічна природа коду блокчейну, де потенційні зловмисники мають доступ до вихідного коду. Якщо вразливості існують, погані актори можуть (і знайдуть) їх.
• Прямий контроль над активами: Найважливіше, що вразливості web3 ставлять реальні активи під негайний ризик. Хоча атаки web2 зазвичай націлені на дані, експлойти смарт-контрактів призводять до прямих, часто незворотних, фінансових втрат.

Те, що робить web3 революційним — його незмінність, прозорість і прямий контроль активами — саме те, що змушує нас переосмислити безпеку з нуля.

Чому аудит сам по собі недостатній

Нехай я буду ясним: я не заперечую проти аудиту. Вони відіграють важливу роль у розгортанні безпечних смарт-контрактів, але не повинні бути нашою першою та єдиною лінією оборони. Коли аудити — це все, що у нас є, активи користувачів залишаються без захисту. Візьмемо, наприклад, хак Euler Finance у 2023 році; збитки перевищили 200 мільйонів доларів, незважаючи на те, що протокол пройшов десять різних аудитів.

Найосновніша проблема з покладанням на ручні аудити полягає в тому, що навіть найсучасніші аудитори не можуть виявити все; люди можуть помилятися. Смарт-контракти стають все більш складними, і кожна нова функція експоненціально множить потенційні вектори атак, що робить практично неможливим для будь-якого ручного перегляду виявити кожну потенційну слабкість. Той факт, що проект може пройти десять різних аудитів і все ще бути зламаним, доводить цю точку — справа не в майстерності окремих аудиторів, а в остаточних обмеженнях ручного перегляду.

Випадок проактивної безпеки

Коротко кажучи, довіра нашої індустрії до аудитів створила, на мою думку, безвідповідальний статус-кво для безпеки web3 — ситуацію, коли проактивне захист смарт-контрактів є винятком, а не правилом. Усвідомлення того, що web3 просунувся вперед, у той час як безпека залишалася в минулому, саме те, що змусило мене розпочати Olympix, платформу безпеки web3, орієнтовану на розробників, яка надає можливість захищати код в процесі його написання, у 2022 році.

Наша мета полягає в автоматизації якомога більшої кількості процесу аудиту, зараз ми фіксуємо 20-50% вразливостей до того, як проект навіть досягне свого першого аудиту. Це дозволяє експертам з безпеки зосередити свій час на виявленні найбільш впливових і нових вразливостей замість рутинних проблем. І це працює; внутрішній аналіз показав, що лише в третьому кварталі 2024 року $60 мільйонів у вразливих, раніше перевірених контрактах могли б бути запобігнуті, якби команди використовували наші інструменти. Це включає в себе високопрофільні зломи, такі як Pendle ($6,5 мільйона) і LIFI ($600 тисяч).

Однак, як і аудити, розвинуті інструменти, такі як Olympix, не є повним рішенням. Унікальні виклики web3 вимагають складного, багатошарового підходу, що поєднує проактивні інструменти для розробників з традиційними аудитами, програмами винагород за помилки та моніторингом у ланцюгу для створення множини рівнів захисту.

Шлях вперед: від реактивного до проактивного

Перегляньте свій підхід до безпеки сьогодні. Чи базується він на одноразових аудитах? Чи відповідає складність ваших практик безпеки ризику та складності проекту, який ви розгорнули? Я б здогадався, що для більшості безпековий розрив залишається небезпечно великим.

Реальність полягає в тому, що в 2025 році у нас є все необхідне для трансформації безпеки web3. Технологія для безпечного розгортання смарт-контрактів вже тут, і інструменти існують — Olympix є одним з них.

Я впевнений, що майбутнє нашої індустрії буде визначатися довірою, починаючи з нашої здатності захищати активи, якими наші колеги довіряють нам. Так, web3 є трансформаційним, але він також є безжальним. За мільярди на кону, міцність та довговічність web3 лежать на наших плечах. Давайте забезпечимо наше майбутнє проактивно.

Дізнайтеся більше: Що підготувала нам 2025 рік для криптовалюти та цифрових активів? | Думка

Чанні Грінволл є засновником Olympix, компанії з проактивних інструментів безпеки для розробки web3, яка забезпечила понад 10 мільярдів доларів у загальному обсязі заблокованих коштів через протоколи. Лише через кілька років існування платформа вже використовується більш ніж 30% розробників Solidity для забезпечення безпеки смарт-контрактів. Перед цим Чанні розробила критично важливу інфраструктуру безпеки в JP Morgan Chase, а пізніше працювала лідером продукту в Security Scorecard. Вона має ступінь бакалавра з комп`ютерних наук та магістерський ступінь в області інженерії безпеки від NYU.