Стандарт представляет собой опросник из семи пунктов, который могут использовать в том числе инвесторы и конечные пользователи

Платформа Immunefi запустила стандарт безопасности для Web 3.0-проектов

27.07.2023 - 14:10

913

8 min

Что произошло? Разработчики платформы Immunefi представили собственный стандарт, который позволит оценить безопасность Web 3.0-проектов как самим их создателям, так и инвесторам и конечным потребителям. По словам команды платформы, через Web 3.0-экосистему проходят огромные объемы капитала, однако ее низкие стандарты безопасности приводят к многомиллиардным потерям из-за кражи секретных ключей, социальной инженерии и отсутствия защитных функций. Все это может стать препятствием к привлечению следующего миллиарда пользователей, отмечают разработчики.

Описание проекта

Подробности об инициативе. Разработанный платформой стандарт, получивший название Rekt Test, представляет собой опросник из семи пунктов.

Первым является наличие системной документации, в которой четко прописаны роли всех участников проекта и их возможности. Сюда относятся в том числе все внешние сервисы, контракты и оракулы, с которыми сотрудничает проект. Авторы отмечают, что многие эксплойты были совершены по причине использования сторонних библиотек или ценовых оракулов.

Ранее эксперты назвали возможными причинами банкротства криптолендинговой платформы Celsius отсутствие должного учета, в результате чего была утеряна информация о переводах на миллиарды долларов, а также вмешательство главы компании в торговлю.

Ко второму относятся управление закрытыми ключами и контроль доступа к средствам. Так, наличие аппаратных кошельков или сервисов с мультиподписью позволит защитить средства от злонамеренных действий или компрометации ключей участников команды. Авторы также рекомендуют использовать двухфакторную аутентификацию и аппаратные ключи безопасности, такие как YubiKey, и не хранить текстовые версии ключей в менеджере паролей с возможностью выхода в Интернет.

22 июля хакеры украли с горячих кошельков криптоплатежной платформы Alphapo 31 млн долларов. Эксперты компании De.Fi назвали возможной причиной утечку закрытых ключей.

Эксперты MistTrack допустили причастность Lazarus к взломам Atomic Wallet и Alphapo

Эксперты MistTrack допустили причастность Lazarus к взломам Atomic Wallet и Alphapo

Исследователи отметили типичные для взломщиков из КНДР методы отмыва украденных средств

Читать дальше

Третьим пунктом является наличие плана реагирования на инциденты и антикризисного менеджмента. В нем должны быть распределены роли и принципы принятия решений, а также документирование событий в ходе инцидента. Авторы отмечают, что многие взломы выходили из-под контроля, поскольку в момент атаки ключевые лица, контролирующие активны или имеющие доступ к важной информации, были недоступны, либо вообще не предоставляли коллегам контакты для связи.

В апреле децентрализованная биржа Merlin была взломана ее собственными техническими сотрудниками. Платформа потеряла около 2 млн долларов. Компания признала, что допустила недосмотр в части предоставленных им полномочий.

К четвертому относится безопасность команды и персонала. Immunefi рекомендует проводить проверку личности и биографических данных сотрудников проекта, включая подтверждение их прошлого опыта работы, а также учредить отдельную должность специалиста по безопасности.

Криптолендинговый протокол Geist Finance объявил о закрытии из-за взлома Multichain

Криптолендинговый протокол Geist Finance объявил о закрытии из-за взлома Multichain

Работа контрактов платформы была приостановлена еще 6 июля

Читать дальше

В мае разработчики DeFi-проекта Fintoch совершили экзит-скам, украв у своих пользователей 31,6 млн долларов. При этом у Fintoch существовал сайт, на котором были размещены фото «руководителей проекта». В качестве гендиректора был указан некий Боб Ламберт, который в действительности оказался актером рекламы и телесериалов по имени Майк Провензано.

Пятым пунктом является безопасность кода и тестирование. В Immunefi призывают проводить многочисленные тесты на каждой новой итерации кода.

К шестому относится внешний аудит кода и управление уязвимостями. Компания призывает подключать независимые стороны для проверки безопасности, а также запустить программу выплаты вознаграждений «белым» хакерам за найденные уязвимости (bug bounty).

В сентябре прошлого года Aurora Labs выплатила двум хакерам по 1 млн долларов за обнаружение критических уязвимостей. Программа bug bounty есть в том числе у Министерства внутренней безопасности США (DHS).

Седьмым пунктом являются предотвращение атак и защита пользователей. Разработчикам необходимо документировать информацию о критических уязвимостях проекта и устранять способы злоупотребления возможностями системы.

Все эти пункты, по мнению сотрудников Immunefi, облегчат инвесторам и пользователям оценку проекта перед вложением средств. В разработке стандарта приняли участие в том числе Solana Foundation, Fireblocks и Trail of Bits.

CoinGecko и 21Shares предложили единый метод классификации криптовалют

Что известно об Immunefi? Компания предлагает платформу для сотрудничества Web 3.0-компаний с «белыми» хакерами, которые могут получить выплаты за найденные в коде проектов уязвимости. С ней сотрудничают такие проекты, как Synthetix, Chainlink, SushiSwap, MakerDAO, Wormhole, GMX, Alchemix и Nexus Mutual.

По утверждению команды, Immunefi обеспечивает сохранность клиентских средств на сумму свыше 60 млрд долларов. Платформа не зависит от какого-либо блокчейна и держит средства для выплат вознаграждений в нескольких сетях. Общая сумма выплаченных вознаграждений превышает 80 млн долларов.

Subscribe to Getblock Magazine and stay up to date with the latest news from the world of cryptocurrencies and the digital economy