Платформа Immunefi запустила стандарт безопасности для Web 3.0-проектов

Что произошло? Разработчики платформы Immunefi представили собственный стандарт, который позволит оценить безопасность Web 3.0-проектов как самим их создателям, так и инвесторам и конечным потребителям. По словам команды платформы, через Web 3.0-экосистему проходят огромные объемы капитала, однако ее низкие стандарты безопасности приводят к многомиллиардным потерям из-за кражи секретных ключей, социальной инженерии и отсутствия защитных функций. Все это может стать препятствием к привлечению следующего миллиарда пользователей, отмечают разработчики.

Описание проекта

Подробности об инициативе. Разработанный платформой стандарт, получивший название Rekt Test, представляет собой опросник из семи пунктов.

Первым является наличие системной документации, в которой четко прописаны роли всех участников проекта и их возможности. Сюда относятся в том числе все внешние сервисы, контракты и оракулы, с которыми сотрудничает проект. Авторы отмечают, что многие эксплойты были совершены по причине использования сторонних библиотек или ценовых оракулов.

Ранее эксперты назвали возможными причинами банкротства криптолендинговой платформы Celsius отсутствие должного учета, в результате чего была утеряна информация о переводах на миллиарды долларов, а также вмешательство главы компании в торговлю.

Ко второму относятся управление закрытыми ключами и контроль доступа к средствам. Так, наличие аппаратных кошельков или сервисов с мультиподписью позволит защитить средства от злонамеренных действий или компрометации ключей участников команды. Авторы также рекомендуют использовать двухфакторную аутентификацию и аппаратные ключи безопасности, такие как YubiKey, и не хранить текстовые версии ключей в менеджере паролей с возможностью выхода в Интернет.

22 июля хакеры украли с горячих кошельков криптоплатежной платформы Alphapo 31 млн долларов. Эксперты компании De.Fi назвали возможной причиной утечку закрытых ключей.

Эксперты MistTrack допустили причастность Lazarus к взломам Atomic Wallet и Alphapo

Исследователи отметили типичные для взломщиков из КНДР методы отмыва украденных средств

Читать дальше

Третьим пунктом является наличие плана реагирования на инциденты и антикризисного менеджмента. В нем должны быть распределены роли и принципы принятия решений, а также документирование событий в ходе инцидента. Авторы отмечают, что многие взломы выходили из-под контроля, поскольку в момент атаки ключевые лица, контролирующие активны или имеющие доступ к важной информации, были недоступны, либо вообще не предоставляли коллегам контакты для связи.

В апреле децентрализованная биржа Merlin была взломана ее собственными техническими сотрудниками. Платформа потеряла около 2 млн долларов. Компания признала, что допустила недосмотр в части предоставленных им полномочий.

К четвертому относится безопасность команды и персонала. Immunefi рекомендует проводить проверку личности и биографических данных сотрудников проекта, включая подтверждение их прошлого опыта работы, а также учредить отдельную должность специалиста по безопасности.

Криптолендинговый протокол Geist Finance объявил о закрытии из-за взлома Multichain

Работа контрактов платформы была приостановлена еще 6 июля

Читать дальше

В мае разработчики DeFi-проекта Fintoch совершили экзит-скам, украв у своих пользователей 31,6 млн долларов. При этом у Fintoch существовал сайт, на котором были размещены фото «руководителей проекта». В качестве гендиректора был указан некий Боб Ламберт, который в действительности оказался актером рекламы и телесериалов по имени Майк Провензано.

Пятым пунктом является безопасность кода и тестирование. В Immunefi призывают проводить многочисленные тесты на каждой новой итерации кода.

К шестому относится внешний аудит кода и управление уязвимостями. Компания призывает подключать независимые стороны для проверки безопасности, а также запустить программу выплаты вознаграждений «белым» хакерам за найденные уязвимости (bug bounty).

В сентябре прошлого года Aurora Labs выплатила двум хакерам по 1 млн долларов за обнаружение критических уязвимостей. Программа bug bounty есть в том числе у Министерства внутренней безопасности США (DHS).

Седьмым пунктом являются предотвращение атак и защита пользователей. Разработчикам необходимо документировать информацию о критических уязвимостях проекта и устранять способы злоупотребления возможностями системы.

Все эти пункты, по мнению сотрудников Immunefi, облегчат инвесторам и пользователям оценку проекта перед вложением средств. В разработке стандарта приняли участие в том числе Solana Foundation, Fireblocks и Trail of Bits.

CoinGecko и 21Shares предложили единый метод классификации криптовалют

Что известно об Immunefi? Компания предлагает платформу для сотрудничества Web 3.0-компаний с «белыми» хакерами, которые могут получить выплаты за найденные в коде проектов уязвимости. С ней сотрудничают такие проекты, как Synthetix, Chainlink, SushiSwap, MakerDAO, Wormhole, GMX, Alchemix и Nexus Mutual.

По утверждению команды, Immunefi обеспечивает сохранность клиентских средств на сумму свыше 60 млрд долларов. Платформа не зависит от какого-либо блокчейна и держит средства для выплат вознаграждений в нескольких сетях. Общая сумма выплаченных вознаграждений превышает 80 млн долларов.