Люди принимают безопасность как должное, когда дело доходит до управления их активами, но это не их вина. Традиционные финансовые учреждения поощряют такое решение, предлагая снять с себя бремя обеспечения безопасности в обмен на плату и контроль над активами клиентов. Web3 предоставляет возможность изменить эту динамику, вернув контроль в руки пользователей и расширив доступ к цифровому владению. Но инфраструктура Web3 по-прежнему подвержена проблемам с безопасностью, от утерянных ключей до скомпрометированного оборудования и полномасштабных взломов.
В этом году было зафиксировано значительное количество эксплойтов, в результате которых было потеряно более 667 миллионов долларов США из-за взломов. Кажется, что каждую неделю мы сталкиваемся с очередным взломом или эксплойтом — таким, как тот, которому всего несколько дней назад подвергся децентрализованный обмен Curve Finance. Если Web3 собирается позиционировать себя как надежную альтернативу традиционным финансам, прокладывая путь к массовому внедрению, отрасли необходимо решить свою проблему безопасности и лучше защищать пользователей.
Создание надежной основы
В первую очередь, ответственность за создание и поддержку надежных платформ лежит на разработчиках. Реальность такова, что многие проекты Web3 стремительно выходят на рынок, ставя во главу угла целесообразность, а не безопасность. К сожалению, даже малейшая ошибка в коде может сделать экосистему уязвимой для злоумышленников. В результате отрасль страдает от широко распространенных нарушений безопасности, которые наносят значительный ущерб пользователям и со временем подрывают доверие к ней. Однако нет худа без добра: как разработчики, мы можем извлечь уроки из этих ошибок и разработать протоколы для предотвращения будущих эксплойтов.
Ответственная разработка требует значительных инвестиций в безопасность на ранних стадиях проекта, чтобы создать прочную основу для масштабируемости. Набор сильной команды разработчиков в команду аудита, проведение многочисленных тестов и аудитов перед запуском и предупреждение нарушений безопасности являются ключевыми шагами для предотвращения мошенничества и эксплойтов.
Поиск ресурсов
В мире Web3 доверие лучше всего создается проверкой временем. Хотя первоначальные аудиты и формальная проверка имеют решающее значение для создания основы доверия, важно отметить, что аудиты все равно не докажут отсутствие ошибок, и разработчикам необходимо постоянно проводить тесты для повышения безопасности. Это требует усилий всего сообщества с привлечением нескольких специалистов, обмена опытом и совместной работы для создания доверия к экосистеме.
Более того, команды разработчиков должны реагировать при обнаружении ошибок. В слишком многих сценариях на выявление этих проблем затрачиваются значительные ресурсы, за которыми следуют задержки с исправлением ошибок, что делает проект уязвимым для атак. В конечном счете, это сводится к наличию необходимых ресурсов, чтобы посвятить время безопасности.
Программы вознаграждения за ошибки представляют собой инновационное решение для обеспечения безопасности Web3, поощряющее любого заинтересованного разработчика попробовать свои силы во взломе системы за финансовое вознаграждение. Это эффективный метод для проектов без внутренних ресурсов, позволяющий использовать возможности внешних исследователей безопасности, которые могут просматривать код, выявлять потенциальные ошибки и разрабатывать исправления до того, как эти проблемы повлияют на пользовательский интерфейс или безопасность.
Помимо программ по исправлению ошибок, хакеры whitehat - еще одна новая группа в области безопасности Web3 по сравнению с устаревшими структурами безопасности. Эти “этичные хакеры” действуют без заранее установленного вознаграждения и ставят интересные задачи перед проектами, изучающими, как взаимодействовать с ними и мотивировать их. Они также создают юридические проблемы, действия, о которых вас никто не просил, могут считаться “незаконными” в текущей системе Web2. Выиграют те, кто может возглавить инициативы, которые создадут лучшую правовую основу, чтобы хакерам в белых шляпах было проще и привлекательнее уделять время своим проектам. Это может быть сделано путем выделения части “спасенных” средств в качестве вознаграждения. После разработки этот шаблон можно было бы легко применить к любому проекту, стимулируя более тесное сотрудничество в Web3.
Как насчет роботов-аудиторов?
С достижениями в области генеративного искусственного интеллекта, революционизирующими то, как мы работаем, хотелось бы надеяться, что эта технология сможет облегчить и работу разработчиков. В конце концов, круглосуточный мониторинг и реагирование на кризисные ситуации требуют значительного выделения ресурсов. К сожалению, технологии просто еще нет.
Многие взломы происходят из-за того, что разработчики повторяют одни и те же ошибки. Текущая задача заключается в том, как правильно передать код искусственному интеллекту, чтобы технология понимала все взаимодействия. Из-за сложности логических потоков в коде это стало невозможным. Пока эта технология не улучшится, разработчики должны укреплять доверие к своим собственным платформам.
Обучение пользователей остается первостепенным
В дополнение к созданию и обслуживанию безопасных платформ, улучшение доступности и обеспечение обучения пользователей остаются критически важными для предотвращения эксплуатации.
На данный момент в этом году пользователи потеряли более 40 миллионов долларов США в активах из-за мошеннических действий при выходе, что подчеркивает необходимость лучшего руководства в этой области. Когда дело доходит до самозащиты, “откатов” не бывает, и пользователи в конечном счете несут ответственность за свои собственные средства. Но это не значит, что разработчики не могут упростить работу пользователей, предоставив им инструменты для безопасного управления их собственными активами.
Многие проблемы с удобством использования Web3 носят поверхностный характер и сводятся к плохим пользовательским интерфейсам, запутанному копированию в Интернете и отсутствию четких рекомендаций. Улучшая пользовательский опыт, создавая интуитивно понятные интерфейсы, внедряя понятный и простой язык и предоставляя лучшую поддержку клиентов, платформы Web3 могут помочь предотвратить попадание своих пользователей в сети мошенничества или эксплойтов.
Кроме того, управление ключами является значительным препятствием для владения и самостоятельного хранения, при этом Chainalysis оценивает, что 23% биткойнов могут исчезнуть навсегда из-за утери ключей. Смарт-аккаунты уже улучшают пользовательский интерфейс, предоставляя такие функции, как восстановление ключей, которые позволяют пользователям восстанавливать утерянные ключи без использования централизованных сторонних хранителей. Кошельки с несколькими подписями, которые предоставляют доступ к кошельку нескольким пользователям, также помогают, позволяя другу или коллеге выступать в качестве дополнительного хранителя. Вооруженные этими инструментами, пользователи могут взять безопасность в свои руки, получая лучший опыт владения цифровыми ресурсами.
К многоуровневому подходу
Одним из ключевых преимуществ децентрализации является отсутствие единой точки отказа. Аналогично, подход любой платформы к безопасности должен быть многогранным. Начиная с прочного фундамента, проекты Web3 должны уделять приоритетное внимание безопасности при наборе персонала и разработке. Построение доверия требует времени, и поэтому мониторинг кода и непрерывное тестирование на наличие уязвимостей являются необходимостью. В то же время разработчики не могут забывать о важности обучения пользователей для предотвращения нарушений безопасности и потерь из-за ошибок пользователей. Создание доступных, удобных для пользователя платформ - лучший способ предотвратить эту проблему. Используя комбинацию тактик, разработчики могут бороться с проблемой безопасности Web3, обеспечивая путь к массовому внедрению.
" 
