Засновник CertiK говорить про безпеку Блокчейн: втрати в першому кварталі склали 16,6 мільярда доларів, безпека має бути основним принципом
Нещодавно відомий технологічний медіа-ресурс провів інтерв'ю з співзасновником і CEO CertiK. Сторони глибоко обговорили останній випущений квартальний звіт про безпеку компанії, зокрема еволюцію методів хакерських атак та інновації в технологіях безпеки.
Цей CEO підкреслив, що безпека не повинна розглядатися як міра, що приймається після того, як проблеми виникають, а повинна бути основним принципом, який потрібно враховувати з самого початку запуску проекту. Він виступає за активне впровадження таких передових технологій, як формальна верифікація, нульові знання, багатосторонні обчислення, щоб всебічно підвищити безпеку Блокчейн-протоколів і смарт-контрактів. Це також є його причиною та баченням створення компанії — побудувати більш надійну безпеку для світу Web3.0 за допомогою строгих технологій формальної верифікації.
Ця прихильність до безпеки не є продуктом короткострокових ринкових тенденцій, а походить з його тривалого дослідження та практики технологічних ідеалів. Від участі в розробці операційної системи, яка стала відомою як "бездоганна", до сьогоднішнього дня, коли він забезпечує безпеку цифрових активів вартістю понад 5300 мільярдів доларів, він постійно прагне захистити безпеку галузі та підвищити загальний рівень довіри.
Цей CEO неодноразово підкреслював, що безпека не є конкурентною перевагою, а спільною відповідальністю. Він не лише перетворює академічні досягнення на практику в галузі, а й впроваджує концепцію "спільної відповідальності" в індустрійну співпрацю. Як технічний лідер, який вийшов з провідних навчальних закладів, він бореться з невизначеністю хакерських атак за допомогою верифіковності математичної логіки, вказуючи шлях для безпечного розвитку епохи Web3.0.
Ключові висновки звіту про безпеку за перший квартал
У першому кварталі 2025 року збитки від шахрайських схем на блокчейні склали близько 1,66 мільярда доларів США, що на 303% більше, ніж у попередньому кварталі. Це сталося в основному через хакерську атаку на одну з бірж наприкінці лютого, внаслідок якої було вкрадено близько 1,4 мільярда доларів активів. Ефір залишився головною мішенню для атак, три інциденти безпеки призвели до збитків у 1,54 мільярда доларів. Ще більш тривожним є те, що в цьому кварталі лише 0,38% вкрадених активів вдалося повернути.
Аналіз тенденцій атак
Перший квартал 2025 року продовжив тенденцію, що спостерігалася наприкінці 2024 року, де Ефіріум залишався зоною атак. У четвертому кварталі 2024 року на Ефіріумі відбулося 99 інцидентів безпеки, а в першому кварталі - 93. Ця тенденція була очевидною протягом усього 2024 року і, ймовірно, продовжиться в 2025 році.
Причина, чому ефір став об'єктом атак, полягає в тому, що в його екосистемі існує безліч DeFi-протоколів з величезним обсягом заблокованих активів; з іншого боку, в смарт-контрактах на ефірі існує чимало вразливостей.
Стратегії безпеки для протидії складним атакам
Стикаючись із дедалі складнішими методами атак, індустрія безпеки Блокчейн активно реагує. Зловмисники дедалі частіше використовують соціальну інженерію, технології ШІ, маніпуляції зі смарт-контрактами та інші складні стратегії для обходу існуючих механізмів безпеки. З розширенням сфери застосування цифрових активів та підвищенням їх оцінки галузь повинна йти в ногу з часом, щоб забезпечити цілісність проектів та безпеку активів користувачів.
Індустрія активно сприяє розвитку інноваційних технологій, таких як нульові знання (ZKP) та безпека на ланцюгу. Ці технології пропонують перспективні рішення для дедалі складніших проблем безпеки, які дозволяють забезпечити конфіденційність, здійснювати аудит транзакцій, відслідковувати атаки та відновлювати активи. Багатосторонні обчислення (MPC) ще більше підвищують безпеку управління ключами, розподіляючи контроль над приватними ключами, усуваючи ризик єдиної точки відмови та суттєво ускладнюючи несанкціонований доступ до гаманців.
Поради з безпеки для розробників
Безпека повинна бути пріоритетом і не підлягати компромісам. Включення безпеки на кожному етапі розробки, а не лікування після того, допомагає виявляти потенційні вразливості на ранніх стадіях, що в довгостроковій перспективі економить значну кількість часу та ресурсів. Ця проактивна стратегія "безпека на першому місці" є надзвичайно важливою для створення надійних Web3.0 додатків.
Крім того, звернення до професійних безпекових установ для проведення всебічного, неупередженого аудиту третьою стороною може надати незалежну точку зору, виявивши потенційні ризики, які можуть бути ігноровані внутрішньою командою. Такі зовнішні оцінки забезпечують ключовий етап перевірки, що допомагає своєчасно виявляти та усувати вразливості, тим самим підвищуючи загальну безпеку проекту та подальше зміцнюючи довіру користувачів.
AI в Блокчейн безпеці: двоїста роль
ШІ стала важливим інструментом у системі безпеки блокчейну. Деякі компанії використовують технології ШІ для аналізу вразливостей і потенційних недоліків безпеки в смарт-контрактах, допомагаючи більш ефективно проводити повні аудити, але вона не може повністю замінити команди аудиторів-експертів.
Однак зловмисники також можуть використовувати ШІ для посилення своїх атак. Наприклад, ШІ може бути використаний для виявлення вразливостей у коді, обходу механізмів консенсусу та систем захисту. Це означає, що поріг безпеки підвищується, і з поширенням застосування ШІ галузь повинна вкладати більше ресурсів у потужніші рішення безпеки.
Роль формальної верифікації
Формалізована верифікація — це метод, який дозволяє за допомогою математичних засобів довести, що комп'ютерна програма працює так, як очікується. Вона полягає у вираженні властивостей програми у вигляді математичних формул та перевірці їх за допомогою автоматизованих інструментів.
Ця технологія може бути широко застосована в різних сферах технічної індустрії, включаючи проектування апаратного забезпечення, програмну інженерію, кібербезпеку, штучний інтелект та аудит смарт-контрактів. Однак необхідно підкреслити, що формальна верифікація не покликана замінювати ручний аудит. Щодо смарт-контрактів, формальна верифікація покладається на автоматизовані методи для оцінки логіки та поведінки контракту, тоді як ручний аудит здійснюється фахівцями з безпеки для всебічної перевірки коду, дизайну та розгортання з метою виявлення потенційних ризиків безпеки. Обидва підходи доповнюють один одного, підвищуючи загальну безпеку смарт-контрактів.
Безпекові виклики, що виникають внаслідок входження традиційних фінансових установ
Зі входженням традиційних фінансових установ у сферу Блокчейн змінюються типи та складність загроз безпеці. У Web3.0 та на ранніх етапах індустрії Блокчейн зловмисники зазвичай націлювалися на окремих користувачів або малі проекти, використовуючи такі методи, як фішинг-атаки, RugPull та експлуатація вразливостей гаманців. Ці виклики все ще існують, але з приєднанням великих установ ризики безпеки мережевої цілісності також перейдуть у нову стадію.
Ця зміна стосується не лише зростання масштабів активів проекту, але й особливих вимог до безпеки корпоративних застосувань, регуляторних вимог, а також викликів, що виникають внаслідок глибокої інтеграції Блокчейн з традиційною фінансовою системою.
Враховуючи, що більшість традиційних установ мають досвід боротьби з кіберзагрозами, очікується, що зловмисники також підвищать складність своїх атак. Цілі атак можуть змінитися з уразливостей загальних гаманців на більш цілеспрямовані корпоративні вразливості, такі як помилки конфігурації, вразливості у користувацьких смарт-контрактах та безпекові дефекти в інтерфейсах інтеграції з традиційними системами.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
6
Поділіться
Прокоментувати
0/400
GateUser-ccc36bc5
· 19год тому
Занадто погано, що ці вкрадені проекти роблять?
Переглянути оригіналвідповісти на0
rekt_but_not_broke
· 07-31 12:40
Відчуваю, що я сильно програв.
Переглянути оригіналвідповісти на0
GateUser-3824aa38
· 07-31 12:38
Шахрайство – це ті, хто не подбав про безпеку.
Переглянути оригіналвідповісти на0
RektRecorder
· 07-31 12:29
Знову 1,6 мільярда на вітер
Переглянути оригіналвідповісти на0
BridgeNomad
· 07-31 12:27
ще один день, ще одна експлуатація... втомився бути тим, хто це передбачав, чесно кажучи
Засновник CertiK інтерпретує звіт про безпеку: втрати в Q1 складають 16,6 мільярда доларів США. Безпека має бути основою проекту.
Засновник CertiK говорить про безпеку Блокчейн: втрати в першому кварталі склали 16,6 мільярда доларів, безпека має бути основним принципом
Нещодавно відомий технологічний медіа-ресурс провів інтерв'ю з співзасновником і CEO CertiK. Сторони глибоко обговорили останній випущений квартальний звіт про безпеку компанії, зокрема еволюцію методів хакерських атак та інновації в технологіях безпеки.
Цей CEO підкреслив, що безпека не повинна розглядатися як міра, що приймається після того, як проблеми виникають, а повинна бути основним принципом, який потрібно враховувати з самого початку запуску проекту. Він виступає за активне впровадження таких передових технологій, як формальна верифікація, нульові знання, багатосторонні обчислення, щоб всебічно підвищити безпеку Блокчейн-протоколів і смарт-контрактів. Це також є його причиною та баченням створення компанії — побудувати більш надійну безпеку для світу Web3.0 за допомогою строгих технологій формальної верифікації.
Ця прихильність до безпеки не є продуктом короткострокових ринкових тенденцій, а походить з його тривалого дослідження та практики технологічних ідеалів. Від участі в розробці операційної системи, яка стала відомою як "бездоганна", до сьогоднішнього дня, коли він забезпечує безпеку цифрових активів вартістю понад 5300 мільярдів доларів, він постійно прагне захистити безпеку галузі та підвищити загальний рівень довіри.
Цей CEO неодноразово підкреслював, що безпека не є конкурентною перевагою, а спільною відповідальністю. Він не лише перетворює академічні досягнення на практику в галузі, а й впроваджує концепцію "спільної відповідальності" в індустрійну співпрацю. Як технічний лідер, який вийшов з провідних навчальних закладів, він бореться з невизначеністю хакерських атак за допомогою верифіковності математичної логіки, вказуючи шлях для безпечного розвитку епохи Web3.0.
Ключові висновки звіту про безпеку за перший квартал
У першому кварталі 2025 року збитки від шахрайських схем на блокчейні склали близько 1,66 мільярда доларів США, що на 303% більше, ніж у попередньому кварталі. Це сталося в основному через хакерську атаку на одну з бірж наприкінці лютого, внаслідок якої було вкрадено близько 1,4 мільярда доларів активів. Ефір залишився головною мішенню для атак, три інциденти безпеки призвели до збитків у 1,54 мільярда доларів. Ще більш тривожним є те, що в цьому кварталі лише 0,38% вкрадених активів вдалося повернути.
Аналіз тенденцій атак
Перший квартал 2025 року продовжив тенденцію, що спостерігалася наприкінці 2024 року, де Ефіріум залишався зоною атак. У четвертому кварталі 2024 року на Ефіріумі відбулося 99 інцидентів безпеки, а в першому кварталі - 93. Ця тенденція була очевидною протягом усього 2024 року і, ймовірно, продовжиться в 2025 році.
Причина, чому ефір став об'єктом атак, полягає в тому, що в його екосистемі існує безліч DeFi-протоколів з величезним обсягом заблокованих активів; з іншого боку, в смарт-контрактах на ефірі існує чимало вразливостей.
Стратегії безпеки для протидії складним атакам
Стикаючись із дедалі складнішими методами атак, індустрія безпеки Блокчейн активно реагує. Зловмисники дедалі частіше використовують соціальну інженерію, технології ШІ, маніпуляції зі смарт-контрактами та інші складні стратегії для обходу існуючих механізмів безпеки. З розширенням сфери застосування цифрових активів та підвищенням їх оцінки галузь повинна йти в ногу з часом, щоб забезпечити цілісність проектів та безпеку активів користувачів.
Індустрія активно сприяє розвитку інноваційних технологій, таких як нульові знання (ZKP) та безпека на ланцюгу. Ці технології пропонують перспективні рішення для дедалі складніших проблем безпеки, які дозволяють забезпечити конфіденційність, здійснювати аудит транзакцій, відслідковувати атаки та відновлювати активи. Багатосторонні обчислення (MPC) ще більше підвищують безпеку управління ключами, розподіляючи контроль над приватними ключами, усуваючи ризик єдиної точки відмови та суттєво ускладнюючи несанкціонований доступ до гаманців.
Поради з безпеки для розробників
Безпека повинна бути пріоритетом і не підлягати компромісам. Включення безпеки на кожному етапі розробки, а не лікування після того, допомагає виявляти потенційні вразливості на ранніх стадіях, що в довгостроковій перспективі економить значну кількість часу та ресурсів. Ця проактивна стратегія "безпека на першому місці" є надзвичайно важливою для створення надійних Web3.0 додатків.
Крім того, звернення до професійних безпекових установ для проведення всебічного, неупередженого аудиту третьою стороною може надати незалежну точку зору, виявивши потенційні ризики, які можуть бути ігноровані внутрішньою командою. Такі зовнішні оцінки забезпечують ключовий етап перевірки, що допомагає своєчасно виявляти та усувати вразливості, тим самим підвищуючи загальну безпеку проекту та подальше зміцнюючи довіру користувачів.
AI в Блокчейн безпеці: двоїста роль
ШІ стала важливим інструментом у системі безпеки блокчейну. Деякі компанії використовують технології ШІ для аналізу вразливостей і потенційних недоліків безпеки в смарт-контрактах, допомагаючи більш ефективно проводити повні аудити, але вона не може повністю замінити команди аудиторів-експертів.
Однак зловмисники також можуть використовувати ШІ для посилення своїх атак. Наприклад, ШІ може бути використаний для виявлення вразливостей у коді, обходу механізмів консенсусу та систем захисту. Це означає, що поріг безпеки підвищується, і з поширенням застосування ШІ галузь повинна вкладати більше ресурсів у потужніші рішення безпеки.
Роль формальної верифікації
Формалізована верифікація — це метод, який дозволяє за допомогою математичних засобів довести, що комп'ютерна програма працює так, як очікується. Вона полягає у вираженні властивостей програми у вигляді математичних формул та перевірці їх за допомогою автоматизованих інструментів.
Ця технологія може бути широко застосована в різних сферах технічної індустрії, включаючи проектування апаратного забезпечення, програмну інженерію, кібербезпеку, штучний інтелект та аудит смарт-контрактів. Однак необхідно підкреслити, що формальна верифікація не покликана замінювати ручний аудит. Щодо смарт-контрактів, формальна верифікація покладається на автоматизовані методи для оцінки логіки та поведінки контракту, тоді як ручний аудит здійснюється фахівцями з безпеки для всебічної перевірки коду, дизайну та розгортання з метою виявлення потенційних ризиків безпеки. Обидва підходи доповнюють один одного, підвищуючи загальну безпеку смарт-контрактів.
Безпекові виклики, що виникають внаслідок входження традиційних фінансових установ
Зі входженням традиційних фінансових установ у сферу Блокчейн змінюються типи та складність загроз безпеці. У Web3.0 та на ранніх етапах індустрії Блокчейн зловмисники зазвичай націлювалися на окремих користувачів або малі проекти, використовуючи такі методи, як фішинг-атаки, RugPull та експлуатація вразливостей гаманців. Ці виклики все ще існують, але з приєднанням великих установ ризики безпеки мережевої цілісності також перейдуть у нову стадію.
Ця зміна стосується не лише зростання масштабів активів проекту, але й особливих вимог до безпеки корпоративних застосувань, регуляторних вимог, а також викликів, що виникають внаслідок глибокої інтеграції Блокчейн з традиційною фінансовою системою.
Враховуючи, що більшість традиційних установ мають досвід боротьби з кіберзагрозами, очікується, що зловмисники також підвищать складність своїх атак. Цілі атак можуть змінитися з уразливостей загальних гаманців на більш цілеспрямовані корпоративні вразливості, такі як помилки конфігурації, вразливості у користувацьких смарт-контрактах та безпекові дефекти в інтерфейсах інтеграції з традиційними системами.