Переосмысление безопасности Web3: от реактивных аудитов к проактивной защите смарт-контрактов

Наше слепое пятно в аудите: будущее Web3 зависит от переосмысления безопасности | Мнение

Объявление: Мнения и взгляды, изложенные здесь, принадлежат исключительно автору и не представляют мнения редакции crypto.news.

В течение большей части 2024 года мне казалось, что я живу в будущем. Google представила квантовый вычислительный чип, который может выполнять вычисления, требующие времени больше, чем существует вселенная, для традиционного компьютера. Автономные автомобили Waymo перевезли более 150 000 человек в неделю. Модели ИИ, такие как AlphaFold, продолжают решать сложные биологические задачи с высокой точностью.

Несмотря на огромные технологические прорывы в других сферах, в нашей отрасли, особенно в сфере безопасности, казалось, будто время остановилось. Хотя передовые технологии трансформируют почти каждый сектор, безопасность web3 остается разочаровывающе нарушенной.

Переход от централизованной модели web2 к децентрализованной архитектуре web3 значительно расширил поверхность атаки. Хотя децентрализация является основой инноваций web3, она создала внутренний парадокс безопасности: та же открытая, распределенная природа, которая дает пользователям свободу, также создает обширную, постоянно открытую поверхность атаки. С объемом транзакций в сотни миллиардов долларов ежегодно требования к безопасности стали как nunca высоки.

Тем не менее, несмотря на колоссальный рост поверхности атаки и миллиарды, проходящие через протоколы, наша отрасль продолжает полагаться на реактивные, ручные аудиты как на основу своей безопасности. Этот подход, когда-то считавшийся золотым стандартом безопасности web3, оказался невероятно недостаточным и устаревшим. И данные подтверждают эту реальность: 90% эксплуатируемых контрактов прошли аудит.

Точно так же, как разработка программного обеспечения web2 развивалась далеко за пределы ручного тестирования, включая множество инструментов и технологий — непрерывную интеграцию, автоматизированное тестирование, мониторинг во время выполнения, не говоря уже о других, — web3 теперь требует аналогичной трансформации в подходе к разработке и, в конечном счете, к его внедрению для масс.

Уникальные вызовы web3

Состояние практики безопасности смарт-контрактов особенно тревожно, когда его сравнивают с уровнем риска нарушения безопасности web3. Существует три ключевые причины:

• Неизменяемость: Когда вы развертываете смарт-контракт, его код становится постоянным — неизменяемость является основным признаком, а не ошибкой. Это означает, что, в отличие от приложений web2, где разработчики могут быстро исправить уязвимости, исправление ошибок смарт-контракта требует сложной координации по всему протоколу.
• Прозрачность: Усложняет эту задачу публичная природа кода блокчейна, где потенциальные злоумышленники имеют доступ к исходному коду. Если существуют уязвимости, недобросовестные элементы могут (и будут) их находить.
• Прямое управление активами: Наиболее критично, уязвимости web3 ставят реальные активы под непосредственный риск. В то время как атаки web2, как правило, нацелены на данные, эксплуатации смарт-контрактов приводят к прямым, зачастую необратимым финансовым потерям.

То, что делает web3 революционным — его неизменяемость, прозрачность и прямое управление активами — как раз и требует от нас переосмыслить безопасность с нуля.

Почему одного аудита недостаточно

Позвольте мне быть ясной: я не выступаю против аудитов. Они играют важную роль в развертывании безопасных смарт-контрактов, но они не должны быть нашей первой и единственной линией защиты. Когда единственное, на что мы полагаемся — это аудиты, активы пользователей остаются незащищенными. Возьмем, к примеру, хак Euler Finance в 2023 году; убытки превысили 200 миллионов долларов, несмотря на то, что протокол прошел десять различных аудитов.

Самая фундаментальная проблема с зависимостью от ручных аудитов в том, что даже самые продвинутые аудиторы не могут все поймать; люди могут ошибаться. Смарт-контракты становятся все более сложными, и каждая новая функция экспоненциально увеличивает потенциальные векторы атаки, что делает практически невозможным выявление каждой потенциальной слабости в любом ручном обзоре. Тот факт, что проект может пройти десять различных аудитов и все равно быть взломанным, подтверждает эту точку зрения — дело не в навыках отдельных аудитор, а в врожденных ограничениях ручного обзора.

Случай в пользу проактивной безопасности

В кратце, зависимость нашей отрасли от аудитов создала, на мой взгляд, безответственное положение дел в безопасности web3 — такую ситуацию, когда проактивная защита смарт-контрактов является исключением, а не правилом. Осознание того, что web3 преуспел в инновациях, пока безопасность осталась в прошлом, стало именно тем, что подтолкнуло меня к созданию Olympix, платформы безопасности web3 с акцентом на разработчиков, которая позволяет разработчикам защищать код по мере его написания, в 2022 году.

Наша цель — автоматизировать как можно больше процессов аудита, в настоящее время выявляя 20-50% уязвимостей до того, как проект даже дойдет до своего первого аудита. Это позволяет экспертам по безопасности сосредоточить свое время на поиске наиболее критичных и новых уязвимостей, а не на рутинных вопросах. И это работает; внутренний анализ показал, что только в третьем квартале 2024 года $60 миллионов в эксплуатируемых, ранее проверенных контрактах могло быть предотвращено, если бы команды использовали наши инструменты. Это включает в себя громкие взломы, такие как Pendle ($6.5M) и LIFI ($600K).

Тем не менее, как и аудиты, такие продвинутые инструменты, как Olympix, не являются полноценным решением. Уникальные вызовы web3 требуют сложного, многоуровневого подхода, который сочетает в себе проактивные инструменты для разработчиков с традиционными аудитами, программами по поиску ошибок и мониторингом в режиме реального времени для создания нескольких уровней защиты.

Путь вперед: от реактивного к проактивному

Посмотрите на ваш подход к безопасности сегодня. Зависите ли вы от одноразовых аудитов? Соответствует ли уровень сложности ваших практик безопасности сложности и уровню риска проекта, который вы развернули? Я предполагаю, что для подавляющего большинства разрыв в безопасности остается опасно широким.

Реальность заключается в том, что в 2025 году у нас есть все, что нужно, чтобы преобразовать безопасность web3. Технология для безопасного развертывания смарт-контрактов уже здесь, и инструменты существуют — Olympix является одним из них.

Я твердо верю, что будущее нашей отрасли будет определяться доверием, начиная с нашей способности защищать активы, которые нам доверяют наши коллеги. Да, web3 трансформативен, но он также и беспощаден. С миллиардами на кону надежность и долговечность web3 лежат на наших плечах. Давайте проактивно обеспечим наше будущее.

Чтение далее: Что ждет криптовалюту и цифровые активы в 2025 году? | Мнение

Чанни Гринволл является основателем Olympix, компании по проактивным инструментам безопасности для разработки web3, которая обеспечила более 10 миллиардов долларов в общей заблокированной стоимости на протоколах. Всего через несколько лет существования платформа уже используется более 30% разработчиков Solidity для безопасности смарт-контрактов. Прежде чем перейти к Olympix, она разрабатывала критически важную инфраструктуру безопасности в JP Morgan Chase, а затем занимала должность руководителя продукта в Security Scorecard. Она имеет степень бакалавра в области информатики и степень магистра в области инженерии безопасности, полученные в NYU.