Платформа Immunefi запустила стандарт безопасности для Web 3.0-проектов
This article has not been translated yet.
Стандарт представляет собой опросник из семи пунктов, который могут использовать в том числе инвесторы и конечные пользователи
27.07.2023 - 14:10
913
8 min
0
Что произошло? Разработчики платформы Immunefi представили собственный стандарт, который позволит оценить безопасность Web 3.0-проектов как самим их создателям, так и инвесторам и конечным потребителям. По словам команды платформы, через Web 3.0-экосистему проходят огромные объемы капитала, однако ее низкие стандарты безопасности приводят к многомиллиардным потерям из-за кражи секретных ключей, социальной инженерии и отсутствия защитных функций. Все это может стать препятствием к привлечению следующего миллиарда пользователей, отмечают разработчики.
Подробности об инициативе. Разработанный платформой стандарт, получивший название Rekt Test, представляет собой опросник из семи пунктов.
Первым является наличие системной документации, в которой четко прописаны роли всех участников проекта и их возможности. Сюда относятся в том числе все внешние сервисы, контракты и оракулы, с которыми сотрудничает проект. Авторы отмечают, что многие эксплойты были совершены по причине использования сторонних библиотек или ценовых оракулов.
Ранее эксперты назвали возможными причинами банкротства криптолендинговой платформы Celsius отсутствие должного учета, в результате чего была утеряна информация о переводах на миллиарды долларов, а также вмешательство главы компании в торговлю.
Ко второму относятся управление закрытыми ключами и контроль доступа к средствам. Так, наличие аппаратных кошельков или сервисов с мультиподписью позволит защитить средства от злонамеренных действий или компрометации ключей участников команды. Авторы также рекомендуют использовать двухфакторную аутентификацию и аппаратные ключи безопасности, такие как YubiKey, и не хранить текстовые версии ключей в менеджере паролей с возможностью выхода в Интернет.
22 июля хакеры украли с горячих кошельков криптоплатежной платформы Alphapo 31 млн долларов. Эксперты компании De.Fi назвали возможной причиной утечку закрытых ключей.
Эксперты MistTrack допустили причастность Lazarus к взломам Atomic Wallet и Alphapo
Исследователи отметили типичные для взломщиков из КНДР методы отмыва украденных средств
Третьим пунктом является наличие плана реагирования на инциденты и антикризисного менеджмента. В нем должны быть распределены роли и принципы принятия решений, а также документирование событий в ходе инцидента. Авторы отмечают, что многие взломы выходили из-под контроля, поскольку в момент атаки ключевые лица, контролирующие активны или имеющие доступ к важной информации, были недоступны, либо вообще не предоставляли коллегам контакты для связи.
В апреле децентрализованная биржа Merlin была взломана ее собственными техническими сотрудниками. Платформа потеряла около 2 млн долларов. Компания признала, что допустила недосмотр в части предоставленных им полномочий.
К четвертому относится безопасность команды и персонала. Immunefi рекомендует проводить проверку личности и биографических данных сотрудников проекта, включая подтверждение их прошлого опыта работы, а также учредить отдельную должность специалиста по безопасности.
Криптолендинговый протокол Geist Finance объявил о закрытии из-за взлома Multichain
Работа контрактов платформы была приостановлена еще 6 июля
В мае разработчики DeFi-проекта Fintoch совершили экзит-скам, украв у своих пользователей 31,6 млн долларов. При этом у Fintoch существовал сайт, на котором были размещены фото «руководителей проекта». В качестве гендиректора был указан некий Боб Ламберт, который в действительности оказался актером рекламы и телесериалов по имени Майк Провензано.
Пятым пунктом является безопасность кода и тестирование. В Immunefi призывают проводить многочисленные тесты на каждой новой итерации кода.
К шестому относится внешний аудит кода и управление уязвимостями. Компания призывает подключать независимые стороны для проверки безопасности, а также запустить программу выплаты вознаграждений «белым» хакерам за найденные уязвимости (bug bounty).
В сентябре прошлого года Aurora Labs выплатила двум хакерам по 1 млн долларов за обнаружение критических уязвимостей. Программа bug bounty есть в том числе у Министерства внутренней безопасности США (DHS).
Седьмым пунктом являются предотвращение атак и защита пользователей. Разработчикам необходимо документировать информацию о критических уязвимостях проекта и устранять способы злоупотребления возможностями системы.
Все эти пункты, по мнению сотрудников Immunefi, облегчат инвесторам и пользователям оценку проекта перед вложением средств. В разработке стандарта приняли участие в том числе Solana Foundation, Fireblocks и Trail of Bits.
CoinGecko и 21Shares предложили единый метод классификации криптовалют
Что известно об Immunefi? Компания предлагает платформу для сотрудничества Web 3.0-компаний с «белыми» хакерами, которые могут получить выплаты за найденные в коде проектов уязвимости. С ней сотрудничают такие проекты, как Synthetix, Chainlink, SushiSwap, MakerDAO, Wormhole, GMX, Alchemix и Nexus Mutual.
По утверждению команды, Immunefi обеспечивает сохранность клиентских средств на сумму свыше 60 млрд долларов. Платформа не зависит от какого-либо блокчейна и держит средства для выплат вознаграждений в нескольких сетях. Общая сумма выплаченных вознаграждений превышает 80 млн долларов.
Useful material?
Market
Due to supply shortages, the asset’s pre-market exchange rate was climbing above $1000
Dec 16, 2024
Incidents
Reports about the hacking of the exchange with calls to withdraw assets began to spread on December 13
Dec 13, 2024
Crypto regulations
Stablecoins from issuer Circle will not be affected by the changes
Dec 12, 2024
Crypto regulations
The platform will launch after meeting the preconditions of the local exchange authority
Dec 9, 2024
Market
The $1,1 billion figure was reached after the bitcoin correction
Dec 6, 2024
Crypto regulations
By early January, all open positions and loans of local users will be closed and repaid automatically
Dec 5, 2024