Nedavno kršenje sigurnosti za oko 1,5 milijardi dolara na BEYBIT-u, drugoj najvećoj svjetskoj razmjeni kripto valuta trgovinskim volumenom, poslao je Ripples putem zajednice digitalne imovine. S 20 milijardi dolara imovine kupaca u skladu s pritvorom, BITIT se suočio s značajnim izazovom kada je napadač iskorištavao sigurnosne kontrole tijekom rutinskog prijenosa iz izvanmrežnog “hladnog” novčanika u “topli” novčanik koji se koristi za svakodnevno trgovanje.
Početna izvješća sugeriraju da je ranjivost uključivala kućnu implementaciju Web3 pomoću GNOSIS-a Safe-novčanik s više signala koji koristi tehnike skaliranja izvan lanca, sadrži centraliziranu nadogradnju arhitekturu i korisničko sučelje za potpisivanje. Zlonamjerni kôd raspoređen pomoću nadogradljive arhitekture napravio je ono što je izgledalo kao rutinski prijenos zapravo izmijenjeni ugovor. Incident je pokrenuo oko 350.000 zahtjeva za povlačenje dok su korisnici požurili osigurati svoja sredstva.
Iako je u apsolutnom smislu znatno, ovo kršenje – procijenjeno na manje od 0,01% ukupne kapitalizacije kripto valute – pokazuje kako je ono što bi nekada bila egzistencijalna kriza postala upravljani operativni incident. Brza sigurnost BITIT -a da će sva nepokoludana sredstva biti pokrivena kroz svoje rezerve ili partnerske zajmove dodatno pokazuju njegovo sazrijevanje.
Od početka kripto valuta, ljudska pogreška – a ne tehnički nedostaci u blockchain protokolima – dosljedno su bila glavna ranjivost. Naše istraživanje koje je ispitivalo više od desetljeća velikih kršenja kriptovaluta pokazuje da su ljudski čimbenici uvijek dominirali. Samo 2024. ukradeno je oko 2,2 milijarde dolara.
Ono što je upečatljivo jest da se ta kršenja i dalje događaju iz sličnih razloga: organizacije ne osiguravaju sustave jer neće izričito priznati odgovornost za njih ili se oslanjati na rješenja u izradi prilagođenih ugrađenih koja čuvaju iluziju da se njihovi zahtjevi jedinstveno razlikuju od utvrđenih sigurnosnih okvira. Ovaj obrazac izmišljanja sigurnosnih pristupa, a ne prilagođavanje dokazanih metodologija, održava ranjivosti.
Iako su blockchain i kriptografske tehnologije pokazale kriptografski robusne, najslabija veza u sigurnosti nije tehnologija, već ljudski element koji se povezuje s njom. Ovaj je obrazac ostao nevjerojatno dosljedan od najranijih dana kriptovaluta do današnjih sofisticiranih institucionalnih okruženja i odjekuje brige o kibernetičkoj sigurnosti u drugim – tradicionalnijim – domenama.
Te ljudske pogreške uključuju loše upravljanje privatnim ključevima, gdje gubitak, pogrešno rješavanje ili izlaganje privatnih ključeva ugrožava sigurnost. Napadi socijalnog inženjerstva ostaju glavna prijetnja jer hakeri manipuliraju žrtvama u otkrivanje osjetljivih podataka kroz krađu identiteta, lažno predstavljanje i obmanu.
Human-centrična sigurnosna rješenja
Čisto tehnička rješenja ne mogu riješiti ono što je u osnovi ljudski problem. Iako je industrija uložila milijarde u mjere tehnološke sigurnosti, relativno je malo uloženo u rješavanje ljudskih čimbenika koji dosljedno omogućuju kršenje.
Prepreka učinkovitoj sigurnosti je nevoljkost priznavanja vlasništva i odgovornosti za ranjive sustave. Organizacije koje ne uspijevaju jasno ocijeniti ono što kontroliraju – ili inzistiraju na njihovom okruženju previše su jedinstvene da bi se utvrdile sigurnosne principe za primjenu – stvaraju slijepe točke koje napadači lako iskorištavaju.
To odražava ono što je stručnjak za sigurnost Bruce Schneier nazvao zakonom o sigurnosti: sustavi koji su izolirano dizajnirali timovi uvjereni u njihovu jedinstvenost gotovo uvijek sadrže kritične ranjivosti koje bi uspostavljene sigurnosne prakse riješile. Sektor kriptovaluta više je puta pao u ovu zamku, često obnavljajući sigurnosne okvire ispočetka, umjesto da prilagođava dokazane pristupe tradicionalne financije i informacijske sigurnosti.
Prebacivanje paradigme prema sigurnosnom dizajnu usredotočenom na čovjek je neophodan. Ironično je da su se tradicionalne financije razvijale od jednofaktora (lozinka) do višefaktorne provjere autentičnosti (MFA), rana kripto-valuta pojednostavila je sigurnost natrag na autentifikaciju s jednofaktorom putem privatnih ključeva ili sjemenih fraza pod velom sigurnosti samo kroz šifriranje. Ovo pojednostavljenje bilo je opasno, što je dovelo do brzine industrije različitih ranjivosti i podviga. Kasnije milijarde dolara gubitaka, stižemo do sofisticiranijih sigurnosnih pristupa na kojima su se nastanile tradicionalne financije.
Moderna rješenja i regulatorna tehnologija trebali bi priznati da je ljudska pogreška neizbježna i dizajnerski sustavi koji ostaju sigurni unatoč tim pogreškama, a ne da pretpostavljaju savršeno poštivanje ljudi sa sigurnosnim protokolima. Važno je da tehnologija ne mijenja temeljne poticaje. Provedba to dolazi s izravnim troškovima i izbjegavanje riskira štetu ugled.
Sigurnosni mehanizmi moraju se razvijati izvan samo zaštite tehničkih sustava do predviđanja ljudskih pogrešaka i otpornih na uobičajene zamke. Statičke vjerodajnice, poput lozinki i tokena za provjeru autentičnosti, nisu dovoljne protiv napadača koji iskorištavaju predvidljivo ljudsko ponašanje. Sigurnosni sustavi trebali bi integrirati otkrivanje anomalije u ponašanju kako bi označili sumnjive aktivnosti.
Privatni ključevi pohranjeni u jednom, lako dostupnom mjestu predstavljaju veliki sigurnosni rizik. Razdvajanje pohrane ključeva između izvanmrežnog i internetskog okruženja ublažava kompromis u potpunom ključu. Na primjer, skladištenje dijela ključa na sigurnosni modul hardvera, a istovremeno održavanje drugog dijela izvanmrežno povećava sigurnost zahtijevajući više provjere za potpuni pristup-ponovno uvođenje višefaktornih načela provjere autentičnosti u sigurnost kripto-valute.
Djelotvorni koraci za sigurnosni pristup usredotočenom na čovjeka
Sveobuhvatni sigurnosni okvir usredotočen na čovjek mora se baviti ranjivostima kripto-valute na više razina, s koordiniranim pristupima u ekosustavu, a ne izoliranim rješenjima.
Za pojedinačne korisnike rješenja hardverskog novčanika ostaju najbolji standard. Međutim, mnogi korisnici preferiraju praktičnost nad sigurnošću, tako da je drugi najbolji za razmjenu provedbe prakse iz tradicionalnih financija: zadana (ali podesiva) razdoblja čekanja za velike transfere, slojeni sustavi računa s različitim razinama autorizacije i kontekstualno osjetljivo sigurnosno obrazovanje koje se aktivira na kritičnim točkama odlučivanja.
Razmjene i institucije moraju se prebaciti s pretpostavke savršene usklađenosti korisnika na dizajn sustava koji predviđaju ljudsku pogrešku. To započinje s izričito priznavanjem koje komponente i procese koje kontroliraju i stoga su odgovorni za osiguranje.
Odbijanje ili dvosmislenost o granicama odgovornosti izravno potkopava sigurnosne napore. Nakon što se utvrdi ova odgovornost, organizacije bi trebale provesti analitiku ponašanja kako bi otkrile anomalne obrasce, zahtijevali višestranačku autorizaciju za transfere visoke vrijednosti i rasporediti automatske “prekidače” koji ograničavaju potencijalnu štetu ako su ugroženi.
Pored toga, složenost Web3 alata stvara velike površine napada. Pojednostavljenje i usvajanje utvrđenih sigurnosnih obrazaca smanjilo bi ranjivosti bez žrtvovanja funkcionalnosti.
Na razini industrije, regulatori i čelnici mogu uspostaviti standardizirane zahtjeve za ljudskim čimbenicima u sigurnosnim certifikatima, ali postoje kompromovi između inovacija i sigurnosti. Incident BITIT -a pokazuje kako se ekosustav kriptovaluta razvijao od krhkih ranih dana do otpornije financijske infrastrukture. Dok se kršenja sigurnosti nastavljaju – i vjerojatno uvijek hoće – njihova se priroda promijenila od egzistencijalnih prijetnji koje bi mogle uništiti povjerenje u kripto valutu kao koncept u operativne izazove koji zahtijevaju tekuća inženjerska rješenja.
Budućnost kriptovaluta ne leži u ostvarenju nemogućeg cilja uklanjanja svih ljudskih pogrešaka, već u dizajniranju sustava koji ostaju sigurni usprkos neizbježnim ljudskim pogreškama. To zahtijeva prvo priznavanje koji aspekti sustava spadaju pod odgovornost organizacije, a ne za održavanje nejasnoće što dovodi do sigurnosnih nedostataka.
Priznajući ograničenja ljudskih ograničenja i građevinskih sustava koji ih smještaju, ekosustav kripto -valute može se nastaviti razvijati od špekulativne znatiželje do robusne financijske infrastrukture, a ne pretpostaviti savršeno usklađenost sa sigurnosnim protokolima.
Ključ učinkovite kripto-sigurnosne sigurnosti na ovom sazrijevanju tržišta ne leži u složenijim tehničkim rješenjima, već u promišljenijem dizajnu usredotočenom na čovjek. Prioritizirajući sigurnosne arhitekture koje uzimaju u obzir stvarnosti ponašanja i ljudska ograničenja, možemo izgraditi otporniji digitalni financijski ekosustav koji i dalje sigurno funkcionira kada – a ne ako – ljudske pogreške.
