Samodzielne przechowywanie kryptowalut odpowiada za straty 8,5 mld dolarów. Jak to naprawić?

Samodzielne przechowywanie kryptowalut, czyli możliwość pełnej kontroli nad swoimi aktywami bez udziału rządów lub banków, jest uznawane za największe osiągnięcie technologii blockchain. Jednak to właśnie ono stało się główną przyczyną kradzieży w branży kryptowalutowej. Według danych DefiLlama, utrata kluczy prywatnych, które kontrolują dostęp do portfeli cyfrowych, doprowadziła do strat o wartości 8,5 miliarda dolarów. Stanowi to niemal połowę wszystkich włamań z ostatnich dziesięciu lat.

Ta szokująca statystyka podważa nie tylko ideę samodzielnego zarządzania aktywami, ale także cały 2,7-bilionowy rynek kryptowalut. Mimo wad, eksperci podkreślają, że samodzielne przechowywanie może być bezpieczne – pod warunkiem wdrożenia odpowiednich środków ochrony.

Bezpieczeństwo zależy od ludzi, a nie technologii

David Schwed, dyrektor operacyjny firmy SVRN i ekspert ds. cyberbezpieczeństwa, który kierował rozwojem oferty aktywów cyfrowych w BNY Mellon, wyjaśnia, że problem tkwi w podejściu projektów kryptowalutowych. Większość z nich działa przy ograniczonym budżecie, dąży do szybkiego wprowadzenia produktu na rynek i unika „zbędnych” środków bezpieczeństwa, które mogłyby spowolnić rozwój.

„Aby zbudować bezpieczny system samodzielnego przechowywania, należy zatrudnić doświadczonego dyrektora ds. bezpieczeństwa informacji i powierzyć mu odpowiednie uprawnienia do wdrażania solidnych systemów ochronnych” – mówi Schwed. „To jedyny sposób, aby osiągnąć odpowiedni poziom bezpieczeństwa.”

Ataki na DeFi: brak innowacji, a zaniedbania w zabezpieczeniach

Branża kryptowalutowa została wstrząśnięta niedawno przez serię ataków hakerskich. Północnokoreańscy cyberprzestępcy ukradli łącznie 579 milionów dolarów z dwóch dużych projektów DeFi: Drift i Kelp DAO. Hakerzy nie wykorzystali nowych luk w kodzie, lecz zaatakowali słabe punkty w zabezpieczeniach samych projektów lub powiązanych z nimi systemów.

W przypadku Drift, hakerzy włamali się do wewnętrznych systemów projektu, podszywając się pod współpracowników i rozsyłając złośliwe oprogramowanie w ramach wielomiesięcznej kampanii socjotechnicznej. W Kelp DAO atakujący przejęli kontrolę nad dostawcami infrastruktury w zdecentralizowanej sieci weryfikacyjnej LayerZero, co pozwoliło im manipulować procesem wypłat środków.

Dlaczego bezpieczeństwo schodzi na drugi plan?

• Presja inwestorów i konkurencja: Wczesne projekty kryptowalutowe są pod ogromną presją, aby jak najszybciej wprowadzić produkt na rynek i zdobyć przewagę nad konkurencją. Przykładowo, Aave, największy protokół pożyczkowy DeFi, powstał w 2017 roku jako ETHLend, a Uniswap, największa zdecentralizowana giełda, był jednym z pierwszych projektów uruchomionych w 2018 roku.
• Koszty zatrudnienia ekspertów: Wdrożenie solidnego systemu bezpieczeństwa wymaga zatrudnienia dyrektora ds. bezpieczeństwa informacji oraz co najmniej trzech do pięciu dodatkowych specjalistów. To znaczne obciążenie finansowe, nawet dla dobrze finansowanych projektów.
• Kultura startupów kryptowalutowych: W wielu młodych firmach panuje podejście „szybkiego działania za wszelką cenę”. Doświadczony dyrektor ds. bezpieczeństwa często wprowadza tak wiele kontroli i ograniczeń, że deweloperzy czują się ograniczani w swojej pracy.

Jak zbudować bezpieczny system samodzielnego przechowywania?

Eksperci jednogłośnie wskazują, że kluczem do bezpieczeństwa jest zatrudnienie odpowiednich specjalistów i wdrożenie rygorystycznych procedur. Według Schweda, projekty muszą inwestować w:

• Doświadczonych dyrektorów ds. bezpieczeństwa informacji;
• Zespoły ekspertów ds. cyberbezpieczeństwa;
• Wielowarstwowe systemy ochrony, w tym kontrole dostępu i monitorowanie aktywności;
• Regularne audyty bezpieczeństwa i testy penetracyjne;
• Szkolenia dla zespołu w zakresie rozpoznawania zagrożeń i reagowania na incydenty.

„Bezpieczeństwo nie powinno być traktowane jako przeszkoda, lecz jako fundament, na którym buduje się zaufanie użytkowników” – podsumowuje Schwed.