區塊鏈需要標准

來源：Blockworks

編譯：Techub News-Junge

編輯：Techub News-Junge

如果沒有安全審核標准，基於區塊鏈構建的應用程序將繼續遭受黑客攻擊和攻擊

2023 年的加密貨幣冬天對許多人來說都是充滿挑战的，尤其是針對加密錢包、平臺和代幣協議的竊賊。今年到目前為止，他們僅竊取了 10 億美元的加密資產，與 2022 年創紀錄的 38 億美元相比大幅下降。 

不幸的是，這種下降似乎更多地與可用資本的減少有關，而不是與防御能力更強有關。盡管攻擊規模有所下降，但攻擊頻率實際上卻急劇上升：從 2022 年的 60 起黑客攻擊增加到截至 10 月底的 75 起。而且這一年還沒有結束。

如果去中心化金融要被散戶和機構投資者廣泛接受，那么它需要實現全球金融民主化的目標。 

我們必須共同努力，堵住惡意行為者一直想鑽的漏洞。 

阻止不良行為者的關鍵是什么？我們需要大幅改進安全審計，目前安全審計往好裏說是不一致的，往壞了說就是橡皮圖章式的做法。 

具體來說，我們整個行業需要對去中心化技術採用一致的審計方法，該方法是嚴格的、標准化的和可重復的——與保護傳統金融的方法一樣強大。

這樣的審計標准，加上審計公司對負責任披露原則的公开承諾——愿意指出拒絕聽取建議或按建議採取行動的項目——將鼓勵項目本身提高安全標准。

Atomic Wallet 拒絕留意審計機構 Least Authority 於 2022 年 2 月公开披露的嚴重安全漏洞，導致2023 年 6 月黑客 損失超過 1 億美元。

最好的情況是，第三方安全審核是由熟練團隊進行的徹底調查，分析系統設計和實施的各個方面，找出可能影響操作或用戶的弱點和缺陷，或者為不良行為者提供對敏感數據或敏感數據的訪問權限。資產。 

良好的審計還可以仔細評估开發人員和設計人員是否在系統的創建和推出過程中遵循了最佳實踐。

漏洞有多種形式；加密技術不正確或不夠安全、敏感信息泄露、系統部件不受保護、系統設計文檔與實現中使用的代碼之間不一致。

此類缺陷可能會導致各種後果，從敏感和祕密用戶數據的暴露到用戶和系統資產的丟失。

因此，審計盡可能詳細且一致對於項目及其用戶的安全至關重要。

有數十家公司提供審計服務，但由於沒有行業標准，質量可能而且確實存在巨大差異。即使在信譽良好的公司內部，對於應該審計的內容也沒有達成共識，也沒有一套一致的標准。

當然，即使是最有經驗的審計員也不能保證能夠找出系統中的每個弱點或保護每個用戶免受損失。但事實證明，如果徹底、定期地進行安全審計，可以大幅降低嚴重漏洞未被發現的風險。

然而，審計無法阻止社會工程攻擊（涉及操縱人類的攻擊），例如今年早些時候，朝鮮組織 Lazarus說服一家身份不明的加密貨幣交易所的工程師下載僞裝成套利機器人的惡意軟件。防止此類攻擊只能依靠警惕和團隊培訓。 

確實，每次審計都會有所不同，就像每個項目都不同一樣。 

按照安全審計領域的長期經驗，審計師必須採取一些具體步驟，才能最大限度地提高安全審計的有效性，從而造福於客戶、用戶和生態系統。  

這些要求是什么？旨在使去中心化系統更具彈性並保護用戶免受潛在損失的審計標准必須包括對以下內容的詳盡評估： 

• 項目的威脅模型 

• 設計的安全性 

• 實施的安全性

• 使用依賴項

• 測試 

• 項目文檔

• 審核範圍以及是否充分。

為了確保標准的任何改進都有利於整個區塊鏈，我們還提倡知識共享和公共產品的創建，例如研究、工具和培訓。

通過共同努力提高整個安全審計行業的標准，從而提高去中心化技術領域的標准，我們可以在阻止區塊鏈黑帽黑客打破 2022 年加密資產被盜記錄方面大有幫助。

這是我們不希望看到再次被打破的一項記錄。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。