Платформа Immunefi запустила стандарт безопасности для Web 3.0-проектов
Стандарт представляет собой опросник из семи пунктов, который могут использовать в том числе инвесторы и конечные пользователи
27.07.2023 - 14:10
914
8 мин
0
Что произошло? Разработчики платформы Immunefi представили собственный стандарт, который позволит оценить безопасность Web 3.0-проектов как самим их создателям, так и инвесторам и конечным потребителям. По словам команды платформы, через Web 3.0-экосистему проходят огромные объемы капитала, однако ее низкие стандарты безопасности приводят к многомиллиардным потерям из-за кражи секретных ключей, социальной инженерии и отсутствия защитных функций. Все это может стать препятствием к привлечению следующего миллиарда пользователей, отмечают разработчики.
Подробности об инициативе. Разработанный платформой стандарт, получивший название Rekt Test, представляет собой опросник из семи пунктов.
Первым является наличие системной документации, в которой четко прописаны роли всех участников проекта и их возможности. Сюда относятся в том числе все внешние сервисы, контракты и оракулы, с которыми сотрудничает проект. Авторы отмечают, что многие эксплойты были совершены по причине использования сторонних библиотек или ценовых оракулов.
Ранее эксперты назвали возможными причинами банкротства криптолендинговой платформы Celsius отсутствие должного учета, в результате чего была утеряна информация о переводах на миллиарды долларов, а также вмешательство главы компании в торговлю.
Ко второму относятся управление закрытыми ключами и контроль доступа к средствам. Так, наличие аппаратных кошельков или сервисов с мультиподписью позволит защитить средства от злонамеренных действий или компрометации ключей участников команды. Авторы также рекомендуют использовать двухфакторную аутентификацию и аппаратные ключи безопасности, такие как YubiKey, и не хранить текстовые версии ключей в менеджере паролей с возможностью выхода в Интернет.
22 июля хакеры украли с горячих кошельков криптоплатежной платформы Alphapo 31 млн долларов. Эксперты компании De.Fi назвали возможной причиной утечку закрытых ключей.
Эксперты MistTrack допустили причастность Lazarus к взломам Atomic Wallet и Alphapo
Исследователи отметили типичные для взломщиков из КНДР методы отмыва украденных средств
Третьим пунктом является наличие плана реагирования на инциденты и антикризисного менеджмента. В нем должны быть распределены роли и принципы принятия решений, а также документирование событий в ходе инцидента. Авторы отмечают, что многие взломы выходили из-под контроля, поскольку в момент атаки ключевые лица, контролирующие активны или имеющие доступ к важной информации, были недоступны, либо вообще не предоставляли коллегам контакты для связи.
В апреле децентрализованная биржа Merlin была взломана ее собственными техническими сотрудниками. Платформа потеряла около 2 млн долларов. Компания признала, что допустила недосмотр в части предоставленных им полномочий.
К четвертому относится безопасность команды и персонала. Immunefi рекомендует проводить проверку личности и биографических данных сотрудников проекта, включая подтверждение их прошлого опыта работы, а также учредить отдельную должность специалиста по безопасности.
Криптолендинговый протокол Geist Finance объявил о закрытии из-за взлома Multichain
Работа контрактов платформы была приостановлена еще 6 июля
В мае разработчики DeFi-проекта Fintoch совершили экзит-скам, украв у своих пользователей 31,6 млн долларов. При этом у Fintoch существовал сайт, на котором были размещены фото «руководителей проекта». В качестве гендиректора был указан некий Боб Ламберт, который в действительности оказался актером рекламы и телесериалов по имени Майк Провензано.
Пятым пунктом является безопасность кода и тестирование. В Immunefi призывают проводить многочисленные тесты на каждой новой итерации кода.
К шестому относится внешний аудит кода и управление уязвимостями. Компания призывает подключать независимые стороны для проверки безопасности, а также запустить программу выплаты вознаграждений «белым» хакерам за найденные уязвимости (bug bounty).
В сентябре прошлого года Aurora Labs выплатила двум хакерам по 1 млн долларов за обнаружение критических уязвимостей. Программа bug bounty есть в том числе у Министерства внутренней безопасности США (DHS).
Седьмым пунктом являются предотвращение атак и защита пользователей. Разработчикам необходимо документировать информацию о критических уязвимостях проекта и устранять способы злоупотребления возможностями системы.
Все эти пункты, по мнению сотрудников Immunefi, облегчат инвесторам и пользователям оценку проекта перед вложением средств. В разработке стандарта приняли участие в том числе Solana Foundation, Fireblocks и Trail of Bits.
CoinGecko и 21Shares предложили единый метод классификации криптовалют
Что известно об Immunefi? Компания предлагает платформу для сотрудничества Web 3.0-компаний с «белыми» хакерами, которые могут получить выплаты за найденные в коде проектов уязвимости. С ней сотрудничают такие проекты, как Synthetix, Chainlink, SushiSwap, MakerDAO, Wormhole, GMX, Alchemix и Nexus Mutual.
По утверждению команды, Immunefi обеспечивает сохранность клиентских средств на сумму свыше 60 млрд долларов. Платформа не зависит от какого-либо блокчейна и держит средства для выплат вознаграждений в нескольких сетях. Общая сумма выплаченных вознаграждений превышает 80 млн долларов.
Полезный материал?
Рынки
Из-за дефицита предложения курс актива на премаркете поднимался выше $1000
16 дек. 2024 г.
Происшествия
Сообщения о взломе биржи с призывами выводить активы начали распространяться 13 декабря
13 дек. 2024 г.
Крипторегулирование
Изменения не затронут стейблкоины от эмитента Circle
12 дек. 2024 г.
Крипторегулирование
Платформа запустится после выполнения предварительных условий местного валютного управления
9 дек. 2024 г.
Рынки
Показатель в 1,1 млрд долларов был достигнут после коррекции биткоина
6 дек. 2024 г.
Крипторегулирование
К началу января все открытые позиции и займы местных пользователей будут закрыты и погашены в автоматическом режиме
5 дек. 2024 г.