Crypto for Humans: Mga Aral mula sa Bybit Hack

Ang kamakailang paglabag sa seguridad para sa humigit-kumulang $1.5 bilyon sa Bybit, ang pangalawang pinakamalaking Cryptocurrency exchange sa mundo ayon sa dami ng kalakalan, ay nagpadala ng mga ripples sa pamamagitan ng digital asset community. Sa $20 bilyon sa mga asset ng customer na nasa ilalim ng kustodiya, si Bybit ay nahaharap sa isang malaking hamon nang sinamantala ng isang umaatake ang mga kontrol sa seguridad sa panahon ng isang nakagawiang paglilipat mula sa isang offline na "malamig" na wallet patungo sa isang "mainit" na pitaka na ginagamit para sa pang-araw-araw na pangangalakal.

Iminumungkahi ng mga paunang ulat ang kahinaan na kinasasangkutan ng isang home-grown na pagpapatupad ng Web3 gamit ang Gnosis Safe — isang multi-signature na wallet na gumagamit ng off-chain scaling techniques, naglalaman ng isang sentralisadong naa-upgrade na arkitektura, at isang user interface para sa pag-sign. Ang nakakahamak na code na na-deploy gamit ang naa-upgrade na arkitektura ay ginawa ang mukhang isang nakagawiang paglilipat na talagang isang binagong kontrata. Nag-trigger ang insidente ng humigit-kumulang 350,000 kahilingan sa pag-withdraw habang nagmamadali ang mga user para ma-secure ang kanilang mga pondo.

Bagama't malaki sa ganap na mga termino, ang paglabag na ito - na tinatantya sa mas mababa sa 0.01% ng kabuuang capitalization ng merkado ng Cryptocurrency - ay nagpapakita kung paano naging isang napapamahalaang insidente sa pagpapatakbo ang dating isang umiiral na krisis. Ang agarang pagtitiyak ng Bybit na ang lahat ng hindi na-recover na pondo ay sasakupin sa pamamagitan ng mga reserba nito o mga pautang sa kasosyo ay higit na nagpapakita ng pagkahinog nito.

Mula nang magsimula ang mga cryptocurrencies, ang pagkakamali ng Human — hindi mga teknikal na depekto sa mga protocol ng blockchain — ay patuloy na naging pangunahing kahinaan. Ang aming pagsusuri ng pananaliksik sa loob ng isang dekada ng mga pangunahing paglabag sa Cryptocurrency ay nagpapakita na ang mga kadahilanan ng Human ay palaging nangingibabaw. Noong 2024 lamang, tinatayang $2.2 bilyon ang ninakaw.

Ang kapansin-pansin ay ang mga paglabag na ito ay patuloy na nagaganap para sa magkatulad na mga kadahilanan: ang mga organisasyon ay nabigo sa pag-secure ng mga system dahil T nila tahasan ang pananagutan para sa mga ito, o umaasa sa mga custom-built na solusyon na nagpapanatili ng ilusyon na ang kanilang mga kinakailangan ay kakaibang naiiba sa mga itinatag na balangkas ng seguridad. Ang pattern na ito ng muling pag-imbento ng mga diskarte sa seguridad kaysa sa pag-angkop ng mga napatunayang pamamaraan ay nagpapanatili ng mga kahinaan.

Habang ang mga teknolohiyang blockchain at cryptographic ay napatunayang matatag sa cryptographically, ang pinakamahinang LINK sa seguridad ay hindi ang Technology kundi ang elemento ng Human na nakikipag-ugnayan dito. Ang pattern na ito ay nanatiling kapansin-pansing pare-pareho mula sa mga unang araw ng cryptocurrency hanggang sa mga sopistikadong institusyonal na kapaligiran ngayon, at umaalingawngaw ang mga alalahanin sa cybersecurity sa iba — mas tradisyonal — mga domain.

Kasama sa mga pagkakamaling ito ng Human ang maling pamamahala sa mga pribadong key, kung saan natatalo, maling paghawak, o paglalantad ng mga pribadong key ay nakompromiso ang seguridad. Ang mga pag-atake sa social engineering ay nananatiling isang malaking banta habang minamanipula ng mga hacker ang mga biktima upang ibunyag ang sensitibong data sa pamamagitan ng phishing, pagpapanggap, at panlilinlang.

Human-Centric Security Solutions

Ang mga purong teknikal na solusyon ay hindi kayang lutasin kung ano ang pangunahing problema ng Human . Bagama't ang industriya ay namuhunan ng bilyun-bilyon sa mga teknolohikal na hakbang sa seguridad, medyo kakaunti ang namuhunan sa pagtugon sa mga salik ng Human na patuloy na nagbibigay-daan sa mga paglabag.

Ang isang hadlang sa epektibong seguridad ay ang pag-aatubili na kilalanin ang pagmamay-ari at responsibilidad para sa mga masusugatan na sistema. Ang mga organisasyong hindi malinaw na naglalarawan kung ano ang kanilang kinokontrol — o iginigiit na ang kanilang kapaligiran ay masyadong kakaiba para mailapat ang mga itinatag na mga prinsipyo sa seguridad — ay gumagawa ng mga blind spot na madaling sinasamantala ng mga umaatake.

Sinasalamin nito kung ano ang tinawag ng eksperto sa seguridad na si Bruce Schneier bilang batas ng seguridad: mga system na idinisenyo nang hiwalay ng mga koponan na kumbinsido sa kanilang pagiging natatangi halos palaging naglalaman ng mga kritikal na kahinaan na natugunan sana ng mga itinatag na kasanayan sa seguridad. Ang sektor ng Cryptocurrency ay paulit-ulit na nahulog sa bitag na ito, madalas na muling itinayo ang mga balangkas ng seguridad mula sa simula sa halip na iangkop ang mga napatunayang diskarte mula sa tradisyonal Finance at seguridad ng impormasyon.

Ang pagbabago ng paradigm patungo sa disenyo ng seguridad na nakasentro sa tao ay mahalaga. Kabalintunaan, habang ang tradisyonal Finance ay nagbago mula sa single-factor (password) hanggang sa multi-factor authentication (MFA), ang maagang Cryptocurrency ay pinasimple ang seguridad pabalik sa single-factor na pagpapatotoo sa pamamagitan ng mga pribadong key o seed na parirala sa ilalim ng belo ng seguridad sa pamamagitan ng pag-encrypt lamang. Ang sobrang pagpapasimpleng ito ay mapanganib, na humahantong sa mabilis na pagtakbo ng industriya ng iba't ibang mga kahinaan at pagsasamantala. Bilyon-bilyong dolyar na pagkalugi mamaya, nakarating tayo sa mas sopistikadong mga diskarte sa seguridad kung saan naayos ang tradisyonal Finance .

Dapat kilalanin ng mga modernong solusyon at Technology pang-regulasyon na ang pagkakamali ng Human ay hindi maiiwasan at ang mga sistema ng disenyo ay nananatiling ligtas sa kabila ng mga error na ito sa halip na ipagpalagay na ang perpektong pagsunod ng Human sa mga protocol ng seguridad. Ang mahalaga, hindi binabago ng Technology ang mga pangunahing insentibo. Ang pagpapatupad nito ay may mga direktang gastos, at ang pag-iwas dito ay nanganganib sa pinsala sa reputasyon.

Ang mga mekanismo ng seguridad ay dapat na umunlad nang higit pa sa pagprotekta sa mga teknikal na sistema hanggang sa pag-asa sa mga pagkakamali ng Human at pagiging matatag laban sa mga karaniwang patibong. Ang mga static na kredensyal, tulad ng mga password at mga token sa pagpapatotoo, ay hindi sapat laban sa mga umaatake na nagsasamantala sa predictable na gawi ng Human . Dapat isama ng mga sistema ng seguridad ang pagtukoy ng anomalya sa pag-uugali upang i-flag ang mga kahina-hinalang aktibidad.

Ang mga pribadong key na nakaimbak sa isang solong, madaling ma-access na lokasyon ay nagdudulot ng malaking panganib sa seguridad. Ang paghahati ng pangunahing storage sa pagitan ng offline at online na mga kapaligiran ay nagpapagaan ng ganap na kompromiso. Halimbawa, ang pag-iimbak ng bahagi ng isang susi sa isang module ng seguridad ng hardware habang pinananatiling offline ang isa pang bahagi ay nagpapahusay ng seguridad sa pamamagitan ng pag-aatas ng maraming pag-verify para sa ganap na pag-access — muling pagpapakilala ng mga prinsipyo ng multi-factor na pagpapatotoo sa seguridad ng Cryptocurrency .

Mga Naaaksyunan na Hakbang para sa Human-Centric Security Approach

Ang isang komprehensibong balangkas ng seguridad na nakasentro sa tao ay dapat tumugon sa mga kahinaan ng Cryptocurrency sa maraming antas, na may magkakaugnay na mga diskarte sa buong ecosystem kaysa sa mga nakahiwalay na solusyon.

Para sa mga indibidwal na gumagamit, ang mga solusyon sa hardware wallet ay nananatiling pinakamahusay na pamantayan. Gayunpaman, mas gusto ng maraming user ang kaginhawahan kaysa responsibilidad sa seguridad, kaya ang pangalawa sa pinakamahusay ay para sa mga palitan upang ipatupad ang mga kasanayan mula sa tradisyonal Finance: default (ngunit adjustable) na mga panahon ng paghihintay para sa malalaking paglilipat, mga tier na sistema ng account na may iba't ibang antas ng awtorisasyon, at edukasyon sa seguridad na sensitibo sa konteksto na nag-a-activate sa mga kritikal na punto ng pagpapasya.

Ang mga palitan at institusyon ay dapat lumipat mula sa pag-aakalang perpektong pagsunod ng user patungo sa pagdidisenyo ng mga system na umaasa sa pagkakamali ng Human . Nagsisimula ito sa tahasang pagkilala kung aling mga bahagi at proseso ang kanilang kinokontrol at samakatuwid ay responsable para sa pag-secure.

Ang pagtanggi o kalabuan tungkol sa mga hangganan ng responsibilidad ay direktang nagpapahina sa mga pagsisikap sa seguridad. Kapag naitatag na ang pananagutan na ito, dapat na ipatupad ng mga organisasyon ang behavioral analytics para makakita ng mga maanomalyang pattern, mangailangan ng multi-party na awtorisasyon para sa mga paglipat na may mataas na halaga, at mag-deploy ng mga awtomatikong "circuit breaker" na naglilimita sa potensyal na pinsala kung nakompromiso.

Bilang karagdagan, ang pagiging kumplikado ng mga tool sa Web3 ay lumilikha ng malalaking pag-atake sa ibabaw. Ang pagpapasimple at pagpapatibay ng mga naitatag na pattern ng seguridad ay magbabawas ng mga kahinaan nang hindi isinasakripisyo ang functionality.

Sa antas ng industriya, ang mga regulator at pinuno ay maaaring magtatag ng standardized Human factors na kinakailangan sa mga sertipikasyon ng seguridad, ngunit may mga tradeoffs sa pagitan ng pagbabago at kaligtasan. Ang insidente ng Bybit ay nagpapakita kung paano umunlad ang Cryptocurrency ecosystem mula sa marupok nitong mga unang araw tungo sa isang mas matatag na imprastraktura sa pananalapi. Habang nagpapatuloy ang mga paglabag sa seguridad - at malamang na palaging mangyayari - ang kanilang kalikasan ay nagbago mula sa mga umiiral na banta na maaaring makasira ng kumpiyansa sa Cryptocurrency bilang isang konsepto sa mga hamon sa pagpapatakbo na nangangailangan ng patuloy na mga solusyon sa engineering.

Ang kinabukasan ng cryptosecurity ay hindi nakasalalay sa pagtataguyod ng imposibleng layunin ng pag-aalis ng lahat ng pagkakamali ng Human ngunit sa pagdidisenyo ng mga sistema na nananatiling ligtas sa kabila ng hindi maiiwasang mga pagkakamali ng Human . Nangangailangan ito ng unang pagkilala kung anong mga aspeto ng system ang nasa ilalim ng responsibilidad ng isang organisasyon sa halip na panatilihin ang kalabuan na humahantong sa mga puwang sa seguridad.

Sa pamamagitan ng pagkilala sa mga limitasyon ng Human at pagbuo ng mga sistema na tumanggap sa kanila, ang Cryptocurrency ecosystem ay maaaring magpatuloy na umunlad mula sa speculative curiosity tungo sa matatag na imprastraktura sa pananalapi sa halip na ipagpalagay ang perpektong pagsunod sa mga protocol ng seguridad.

Ang susi sa epektibong cryptosecurity sa maturing market na ito ay wala sa mas kumplikadong teknikal na solusyon kundi sa mas maalalahaning human-centric na disenyo. Sa pamamagitan ng pagbibigay-priyoridad sa mga arkitektura ng seguridad na tumutukoy sa mga realidad sa pag-uugali at mga limitasyon ng Human , maaari tayong bumuo ng isang mas nababanat na digital financial ecosystem na patuloy na gagana nang ligtas kapag — hindi kung — nangyari ang mga pagkakamali ng Human .