Ethereum: Перший звіт про безпеку вказує на вразливості та шляхи їх вирішення для захисту трильйона доларів у мережі

Фонд Ethereum опублікував перший звіт про безпеку (1TS), який окреслює дорожню карту для вирішення проблем безпеки. Ця ініціатива є найвсебічнішою в історії фонду та включає критичні ризики, які Ethereum (ETH) має врахувати для підтримки трильйонів глобальної вартості в ланцюзі.

У першому звіті про безпеку на трильйони доларів (1TS) викладено, що потрібно індивідуумам, установам та урядам для того, щоб довірити мережі значно більші суми. Звіт слідує за низкою інших детальних ініціатив, які були здійснені фондом в останні тижні внаслідок реструктуризації.

На основі детального зворотного зв`язку від розробників, користувачів та фахівців з безпеки звіт визначає вразливості у шести основних сферах: досвід користувача, смарт-контракти, інфраструктура, консенсус, реагування на інциденти та управління.

Звіт слугуватиме основою для дорожньої карти наступного етапу покращення безпеки Ethereum.

Вразливості в екосистемі

Згідно зі звітом, більша частина тягаря безпеки Ethereum все ще лягає на кінцевих користувачів через поганий UX гаманців, сліпе підписання та неконтрольовані права доступу. Ці проблеми продовжують створювати постійні загрози, тоді як фрагментовані стандарти гаманців ускладнюють безпечне використання.

Крім того, інституційні користувачі стикаються з додатковими труднощами в управлінні ключами, записами аудитів та налаштованими робочими процесами, які погано підтримуються поточною інфраструктурою.

Звіт також підкреслив, що хоч безпека смарт-контрактів і покращилася, вона все ще страждає від ризиків оновлення, збоїв у контролі доступу та низької популярності формальної верифікації.

Залежності від централізованої інфраструктури, такої як постачальники RPC, DNS та хостинги в хмарах, підривають гарантії децентралізації Ethereum. Розв`язання другого рівня вводять нові складнощі, тоді як потенціал цензури на рівні провайдерів інтернету та угон DNS залишається недооціненим.

На рівні протоколу звіт зазначив, що централізація валідаторів та неясні процедури відновлення продовжують викликати занепокоєння щодо стійкості Ethereum у крайніх випадках аварій.

Він також вказав на необхідність довгострокового переходу на криптографію, стійку до квантових загроз.

Координація безпечного майбутнього

Згідно зі звітом, здатність Ethereum реагувати на загрози залишається обмеженою через прогалини в моніторингу, координації та відновленні.

Відповідачі часто стикаються з затримками, намагаючись зв`язатися з командами, які зазнали компрометації, або ескалувати проблеми на різних платформах. Без чітких каналів комунікації або попередньо встановлених контактів втрачається цінний час під час інцидентів.

Звіт також зазначив брак ефективних інструментів моніторингу для раннього виявлення загроз на ланцюзі та за його межами. У багатьох випадках порушення безпеки залишаються непоміченими до моменту заподіяння шкоди.

Страхове покриття залишається обмеженим. На відміну від традиційних фінансових систем, програми Ethereum мають обмежений доступ до страхування, що залишає користувачів і організації вразливими до повної втрати у випадку експлуатації.

Щодо управління, звіт застеріг, що соціальний елемент Ethereum, його мережа розробників, установ і культурних норм, є потенційним вектором атак. Він підкреслив ризики централізації ставків, регуляторного тиску та впливу організацій, які можуть змінити напрямок Ethereum у бік упередженості.

Брак встановлених процесів для `соціального знищення` також було зазначено як критичний недолік у разі змови валідаторів або захоплення протоколу.