第三方數據洩露事件呈爆炸式增長。問題?包括加密貨幣交易所在內的公司不知道如何防範它們。當交易所簽下新的供應商時,大多數人天生就希望他們的供應商採用與他們相同級別的審查。其他人根本不考慮。在當今時代,測試供應鏈中的漏洞不僅是一種好習慣,而且是絕對必要的。
許多交易所得到了國際金融家和金融技術新手的支持。許多人甚至完全是技術新手,相反,他們得到了希望在新興行業中涉足的風險資本家的支持。就其本身而言,這不一定是個問題。然而,沒有在金融科技領域成長起來的公司往往沒有完全理解作為數億美元數字資產託管人所固有的安全風險的程度。
我們已經看到了在安全性不足的情況下會發生什麼,這超出了供應商管理範圍並延伸到了跨鏈橋樑。就在10 月,幣安面臨 價值九位數的橋牌. 然後還有 蟲洞橋破解,另一個九位數的違規行為。浪人橋被黑導致損失 資產超過5 億美元.
事實上,一份新報告顯示,在兩年內,超過25 億美元的資產被盜 多虧了跨鏈橋黑客,使與去中心化金融借貸和去中心化交易所相關的違規行為相結合的損失相形見絀。
不過,第三方違規不僅是加密行業的問題,而且它們當然不限於小玩家。今年早些時候,紐約市學校系統發生了涉及第三方供應商的違規事件,影響了超過800,000 人。第三方違規是不良行為者的新領域。
有關的: 除非加密貨幣開始自我監管,否則政府的打擊行動即將到來
當民族國家越來越依賴黑客作為外交政策時,這一點尤其正確。特別是,朝鮮和俄羅斯以外的團體正在尋找可以從中吸取資產的蜜罐。這使得加密貨幣行業成為主要目標。
在這些問題摧毀行業之前阻止這些問題的唯一方法是重新調整它對第三方安全計劃的看法。第三方在被允許訪問任何類型的機構數據之前需要進行全面徹底的審查。一旦他們被允許訪問,關鍵是限制他們僅訪問絕對必要的數據,並在不再需要時撤銷這些權限,這對參與Ronin 違規的人有利。除此之外,審查每個供應商的隱私實踐至關重要。
與橋樑一樣,第三方供應商的風險與機構系統有關。在代碼中引入錯誤或密鑰洩露後,大多數跨鏈橋都會被破壞。這些橋接攻擊可以得到緩解,並且在許多情況下可以防止。無論違規是由虛假存款還是驗證者問題引起的,人為錯誤通常都是一個問題。在黑客成為頭條新聞之後,調查表明這些代碼中的錯誤可以通過有遠見的方式修復。
特別是,哪些步驟可能對我們最近看到的像幣安這樣的跨橋黑客行為產生了影響?橋接代碼需要在發布前後定期進行審核和測試。最有效的方法之一是使用漏洞賞金。智能合約地址需要持續監控,虛假存款也是如此。應該有一個安全團隊,利用人工智能來標記潛在風險,以監督這些風險管理工作。
有關的: 從Axie Infinity 到Bored Apes,聯邦調查局正在為元宇宙而來
隨著對前端安全性的更多考慮,不良頭條新聞將會減少。僱用白帽黑客在不良行為者之前發現漏洞比等待不良行為者自己找到漏洞要便宜得多。
從歷史上看,該行業在頭條新聞中佔有相當大的份額。它甚至有相當一部分九位數的黑客攻擊。今年,它們似乎已成為數字資產行業幾乎被接受的一部分。然而,隨著政治與加密貨幣監管越來越交織在一起,從未有過更大的威脅。隨著有民族國家支持的黑客更多地利用這些第三方聯繫,他們將受到更嚴格的審查。毫無疑問。這只是什麼時候的問題。
一旦美國國會最終確定有關此事的新立法,這個問題可能會得到回答。監管將是合乎邏輯的下一步,這是有道理的——除非該行業迅速採取行動。
理查德·加德納 是Modulus 的首席執行官,該公司為NASA、納斯達克、高盛、美林、摩根大通、美國銀行、巴克萊、西門子、殼牌、微軟、康奈爾大學和芝加哥大學等機構構建技術。
本文僅供一般參考之用,並非旨在也不應被視為法律或投資建議。此處表達的觀點、想法和意見僅代表作者個人,並不一定反映或代表Cointelegraph 的觀點和意見。