دروسی که صنعت باید از بزرگترین هک Bybit بیاموزد

از طرف مایکل اگوروف، بنیانگذار Curve Finance، یک مطلب مهم:

هک اخیر بایبیت باعث از دست دادن مجموعی $1.5 میلیارد دلار در دارایی‌های رمزارزی شد و به بزرگترین هک در تاریخ صنعت افتاد. یک نکته که این نقض را به خصوص نگران‌کننده می‌کند این است که هکرها به حافظه ذخیره سرد بایبیت حمله کردند — به طور معمول بخشی از امنیتی‌ترین بخش زیرساخت یک صرافی.

با وجود اقدام سریع بایبیت برای تأمین دوباره انباشته‌های خود با کمک شرکایش، همه این واقعه هنوز هم خیلی از افراد را تکان داد. این وضعیت به طور دوباره موضوع نگرانی‌های امنیتی را مطرح می‌کند. چقدر صرافی‌های رمزارز آسیب‌پذیر هستند و از این نقض چه درس‌هایی صنعت باید بگیرد؟

ریسک رو به افزایش برای پلتفرم‌های CEX

من این موضوع را به این شکل می‌بینم که این حوادث بیش از یک حمله معمولی هستند — یک تذکری برای بیرون آوردن نقص‌های امنیتی منظومه‌ای از صرافی‌های متمرکز است. علی‌رغم اجرای تدابیر امنیتی سخت، پلتفرم‌های CEX هدف اصلی هکرها هستند. چرا؟ دقیقا به خاطر طبیعت متمرکز آن‌ها.

برخلاف DeFi که دارایی‌های کاربر در کیف‌های خودنگهداری شده پخش شده‌اند، پلتفرم‌های متمرکز دارایی‌ها را در زیرساخت کنترل‌شده ذخیره می‌کنند. این امکان را ایجاد می‌کند که یک نقطه شکست واحد، که نفوذ به یک لایه از امنیت می‌تواند به هکرها دسترسی آسان به مقداری بزرگ از دارایی‌ها را بدهد. بعد از آن، تقریبا تمام شده است. برگرداندن هر دارایی به منابع درآمده باید به نظارت متمرکز، کمک عوامل خارجی و خیال‌ها بپردازد.

گزارش Chainalysis واضح نشان می‌دهد که در سال 2024، خدمات متمرکز مورد توجه بیشتری قرار گرفته‌اند، نشان‌دهنده یک جابجایی قابل توجه از هک‌های DeFi به CeFi. این امر توسط داده‌های Hacken که برخوردهای CeFi تقریبا دو برابر شدند در سال قبل تا دست دادن به از دست دادن تقریبا $700 میلیون را تأیید می‌کند. آسیب‌پذیری‌های کنترل دسترسی بین دلیل‌های اصلی نقض‌ها معرفی شدند.

این موضوع تأیید می‌کند که صرافی‌ها باید رویکردهای خود را نسبت به امنیت مرور کنند.

دیدگاه جایگزین DeFi درباره امنیت دارایی

چیز خوب درباره پلتفرم‌های DeFi این است که طبیعت خودشان ریسک‌هایی را که پوشش دادیم کمین می‌کند. به جای تکیه بر یک زیرساخت متمرکز، پروتکل‌های DeFi از قراردادهای هوشمند و مکانیزم‌های امنیت رمزنگاری‌ای برای محافظت از دارایی‌ها استفاده می‌کنند. این امر امکان وجود نقطه شکست واحد را حذف می‌کند — هیچ شخصیت تنها که می‌تواند به منظور خالی کردن دارایی‌های کاربرها بهره‌برداری شود نیست.

به هر حال، باید توجه داشت که DeFi بدون ریسک‌های خودش نیست. از آنجا که در محیطی بدون مجوز عمل می‌شود، هکرها همیشه حاضر هستند. و از آنجا که تراکنش‌ها غیرقابل برگشت هستند، تنها حفظیت واقعی کد بی‌نقص است. نوشته‌های بد نوشته می‌تواند به آسیب‌پذیری‌ها منجر شود، اما اگر خطاها وجود نداشته باشد، هکرها نمی‌توانند از آن به منظور نفوذ استفاده کنند.

گزارش امنیتی 2024 Hacken نشان می‌دهد که اجرای قراردادهای هوشمند تنها حدود 14% از از دست دادن‌های رمزارز در سال 2024 را تشکیل دادند. به همین دلیل معتقدم که بررسی‌های قراردادهای هوشمند برای اطمینان از بهترین استانداردهای امنیت ضروری است.

هوش مصنوعی در امنیت سایبری: شمشیر دو لبه

از آنجا که هوش مصنوعی روز به روز موضوع گرمتری می‌شود، بسیاری از بازار رمزارز که در حال تعجب از نقش آن در امنیت هستند. بنابراین من برایتان بررسی خود را ارائه خواهم کرد.

در ابتدا، ابزارهای هوش مصنوعی هنوز به مرحله‌ای که در آن در وظایف چنین موثر باشند توسعه نیافته‌اند. اما وقتی به آن سطح برسند، احتمالاً بسیار موثر خواهند بود.

ابزارهای هوش مصنوعی به‌طور صحیح توسعه داده شده ممکن است به طور قابل توجهی مفید باشند هنگام شبیه‌سازی و تجزیه و تحلیل اجرای قراردادهای هوشمند. به عبارت دیگر، آن‌ها می‌توانند به شناسایی آسیب‌پذیری‌ها در قراردادهای هوشمند کمک کنند، این امر به توسعه‌دهندگان امکان می‌دهد که قبل از آنکه هکرها درباره‌ی آنها بیایند، نقاط ضعف امنیتی را پوشش دهند.

تست‌های خودکار و بررسی‌های کمکی با هوش مصنوعی می‌توانند استانداردهای امنیت را قابل توجهی بهبود بخشند، دیگر سیستم‌های DeFi و CeFi را قوی‌تر کنند. اما خوب است که به‌طور کامل بر هوش مصنوعی در چنین مواردی اعتماد نکنیم — حتی این تکنولوژی می‌تواند نقصی را از دست دهد.

در همین حین ابزارهای هوش مصنوعی هم می‌توانند توسط هکرها به وسیله‌ی اسکن کردن سیستم‌ها و شناسایی نقاط آسیب‌پذیر برای بهره‌برداری سریع از هر زمان قبل‌تری استفاده شوند. این به طور ضروری یک دویدگاه به‌معنی یک رقابت در حال آن است که تیم‌های امنیتی و هکرها باید به‌طور مداوم یک گام پیش از دیگری باشند.

و یک چیز که قطعاً توصیه خواهم کرد از آن استفاده از هوش مصنوعی برای نوشتن قراردادهای هوشمند نیست. با توجه به سطح فعلی توسعه این تکنولوژی، کد نوشته شده توسط هوش مصنوعی هنوز نمی‌تواند با توسعه دهندگان انسانی در کیفیت یا امنیت هماهنگ شود.

چه کاری باید صرافی‌های رمزارز انجام دهند؟

اکنون تمام صرافی‌های مرکزی تدابیر بهترین عملکرد صنعتی مانند کیف‌های چندامضایی و پروتکل‌های امنیتی دیگر را پیاده کنند. با این وجود، همانطور که هک بایبیت نشان‌دهنده است، این اقدامات به تنهایی به نظر نمی‌رسند کافی باشند.

صرافی‌ها تولیدنقاط شکست واحد متمرکز هستند. در حالی که باید بسیار امن باشند، اندکی تا حمله، جایی برای هکرها ایجاد کنند، این امر باعث می‌شود هدف‌های جذابی برای هکرها باشند. یکی از راه‌حل‌های پتانسیلی به این مسئله این است که کیف‌های خودگهی نظارتی توسط صرافی به همراه لایه‌های اضافی از نظارت مدیریت شوند. با این حال، همچنین مطلع است که خودنگهداری و مدیریت کلید بسیار نامناسب است برای بیشتر کاربران. پس این یک روش امنیتی خاصانه نیست.

در این صورت، صرافی‌ها چطور باید روی موارد مختلف انجام دهند؟

اول از همه، باید شناخته شود که بسیاری از مکانیزم‌های امنیتی استفاده شده توسط این پلتفرم‌ها امروز، از جمله کیف‌های چندامضایی، بر تکنولوژی‌های وب 2.0 وابسته است. این به این معنی است که امنیت آن‌ها نه فقط به اینکه چقدر قوی قراردادهای هوشمند هستند بلکه به امنیت frontends مبتنی بر وبیکا بستگی دارد ک