החלטת קריפטו לשנה החדשה: מודרניזציה של תשתיות אבטחה

אפשר לומר ש -2020 הייתה שנת כרזה למרחב הנכסים הדיגיטליים. ביטקוין (BTC) זינק מעל לשיאו הקודם, ומטבעות קריפטוגרפיים רבים ובולטים אחרים הגיעו לרמות הגבוהות ביותר שלהם מאז תקופת הזוהר של 2017 ותחילת 2018. בכל ענף השירותים הפיננסיים, קולות מוסדיים מביעים עניין מחודש בנכסים הדיגיטליים. אי אפשר להתעלם מהצמיחה וההבשלה של מרחב זה, מה שגרם לאופטימיות רבה בקרב אלה שבונים את הפלטפורמות והמערכות שעליהן הוא פועל..

למרבה הצער, לא כל הכותרות מהשנה האחרונה היו חיוביות. מספר חילופי קריפטו ידועים וארגונים אחרים נפרצו, מה שהוביל להפסדים משמעותיים. אירועים כמו אלה לא רק פוגעים במוניטין של חברה ועשויים להרוס למשקיעים, אלא גם שוחקים אמון שקיבלת קשה במרחב הנכסים הדיגיטליים בקרב המשקיעים המוסדיים והציבור..

רבים מהפריצות הללו היו יכולים להימנע אם החברות המדוברות היו נוקטות בצעדים יזומים למודרניזציה של תשתית הטכנולוגיה שלהן. כאשר אנו סוגרים את שנת הסערה הזו לנכסים דיגיטליים, אחת ההחלטות המובילות בענף לשנת 2021 צריכה להיות לבחון מחדש את גישתה לתשתיות ולבצע שינויים בכדי להבטיח שמשקיעים מכל הפסים יוכלו לסחור ולבצע עסקי בביטחון, יעילות ושקט נפשי..

בואו נסקור שלושה מאירועי הפריצה התוצאתיים ביותר בשנת 2020 ונבחן כיצד גישה מושכלת יותר לתשתיות יכולה הייתה להביא לתוצאה אחרת.

פריצת KuCoin: גנבת כספי לקוחות של 275 מיליון דולר

ב -25 בספטמבר, חילופי הקריפטו של KuCoin היו בקצה המקביל של פריצה גדולה שהשפיעה על הארנקים החמים של Bitcoin, Ether (ETH) ו- ERC-20. בעוד שניתוח ראשוני הציע שההאקרים גנבו כ -150 מיליון דולר, ההערכות החלו לעלות בימים שלאחר מכן, ובסופו של דבר הפכו אותו לאחד מאירועי הפריצה הגדולים ביותר בתולדות הנכסים הדיגיטליים..

קָשׁוּר: פריצת KuCoin פרקה: יותר קריפטו אולי נגנב ממה שחששנו תחילה

כפי שמתברר, הפריצה הייתה תוצאה של גניבת מפתחות פרטיים. בעוד שהם עדיין נפוצים במרחב הנכסים הדיגיטליים, מפתחות פרטיים פירושם שתמיד תהיה נקודת כשל אחת שדרכה שחקנים גרועים יכולים לתבוע גישה בלתי מוגבלת לארנקים חמים. במילים פשוטות, הם מהווים סיכון עסקי.

גישה טובה יותר הייתה למנף פרוטוקולי חישוב מרובי-מפלגות, המבטלים את הצורך במפתחות פרטיים וחותמים על כל עסקה בצורה מאובטחת ומופצת, יחד עם מנגנון שליטה ובקרה נאכף..

במקרה של KuCoin, גם אם ההחלפה הופרה בהצלחה, ההאקר לא יוכל לבצע שום עסקה שאינה מורשית על ידי מנוע המדיניות המסופק על ידי התשתית..

הקפאת נסיגה של OKEx

במשך חמישה שבועות באוקטובר ובנובמבר, המשקיעים לא הצליחו לבצע משיכות מבורסת המטבעות OKSE. במכתב ללקוחות, OKEx גילה שאחד מבעלי המפתח הפרטיים שלה שיתף פעולה עם חקירת משטרה, שהרחיקה אותם מכל קשר עם החברה ומנעה את מימוש תהליך האישור הרב-חתימה שלה..

לפלטפורמה שמשתמשים ממנפים אותה לצורך ביצוע החלטות השקעה חשובות, הרעיון שאדם בודד שנפגע עלול לגרום לפונקציונליות קריטית להיות מושבתת במשך יותר מחודש הוא בלתי ניתן לעמידה..

יש כאן לקח: כאשר חברות משתמשות בתכונות בלוקצ’יין המיועדות לביטחון ליישום מדיניות, התוצאה היא חוסר גמישות מוחץ. זהו אחד הפרדוקסים של מרחב הנכסים הדיגיטליים – עסקאות בלוקצ’יין מאובטחות ובלתי הפיכות, אך ללא גישה נכונה, אותה נוקשות יכולה לאיית אסון אם הדברים משתבשים..

כדי למנוע זאת, על חברות להבטיח כי התשתית שלהן כוללת מנוע מדיניות שלמרות שאינו מתפשר על אבטחה, מאפשר בקרת מדיניות גמישה יותר עבור מספר מאשרים, כולל הפרדת כניסה ואישור עסקאות. עם פיתרון מסוג זה, יכולתו של OKEx לפעול באופן מלא לא הייתה תלויה בזמינותו של איש מפתח.

הפרה הדדית של נקסוס: 8 מיליון דולר גנובים

אירועי פריצה אלה לא היו מוגבלים לבורסות, כפי שעולה מהפרצה של נקסוס הדדי בדצמבר, פלטפורמת מימון מבוזרת המשמשת כחלופה לביטוח. ההאקר הצליח לגשת למכשירו האישי של המנכ”ל יו קארפ ולהתקין גרסה נפוצה של MetaMask, מה שהוביל לכך שקרפ חתמה בשוגג על עסקה ששלחה 370,000 NXM, בשווי 8.2 מיליון דולר, לכתובת שבשליטת התוקף..

הבעיה כאן קשורה לארנקים המופעלים באופן מקומי. ארנקים מקומיים אלה אינם יכולים לספק מנוע מדיניות מחוץ לתחום, ולכן אין דרך לוודא כי חוזה וכתובת של הצד הנגדי רשומים ברשימת היתרים, שהסכום והמנפיק מצייתים למדיניות החברה, או שישנם אישורים נוספים בוודאות. פרמטרים של עסקה.

גיוס צד שלישי בגישה מאובטחת יותר ותשתיתית הוא הדרך לטפל בסיכונים אלה. זה חשוב במיוחד כדי להפחית את המניפולציה בכתובת הצדדים, המהווה סיכון בתרחישים רבים. גם במקרה הבלתי סביר שהספק כזה יופר, קיימים אמצעי הגנה לאימות כתובות של הצד הנגדי, מה שמעניק לחברות קווי הגנה מרובים..

סיכום

בעוד שהנכסים הדיגיטליים צברו תאוצה מדהימה בחודשים האחרונים, ארגונים רבים עדיין צריכים לשפר את תשתית האבטחה שלהם לפני שיוכלו להתחיל אימוץ נכסים דיגיטליים..

זה לא נועד לבסס חברות אלה, שממשיכות לעשות עבודה חשובה לשרת את התעשייה, אלא לזהות היכן המוקד שלהן צריך להיות להשיג צמיחה עתידית ולהביא נכסים דיגיטליים למיינסטרים..

בכל הנושאים הללו – אבטחת מפתח פרטי, מבנה הרשאות, ארנקים מקומיים ועוד – ישנן גישות שיכולות להוביל לביצוע יעיל יותר, נטול מתח ופחות כותרות שמפעילות פעמוני אזעקה למשקיעים המסורתיים שכולנו רוצים להגיע אליהם..

הדעות, המחשבות והדעות המובעות כאן הן של המחבר בלבד ואינן בהכרח משקפות או מייצגות את דעותיו ודעותיו של Cointelegraph..

איתי מלינגר הוא מייסד ומנכ”ל משותף של Curv, חברת תשתיות אבטחה עם נכסים דיגיטליים. הוא מתבסס על ניסיון של יותר מ -15 שנה של אבטחת סייבר במגזר הציבורי והפרטי. בעבר איתי היה מנהל מוצרי אבטחה ארגוניים בחברת Akamai Technologies.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map