Криптo для людей: уроки взлома Bybit

Theнедавнее нарушение безопасности на сумму около 1,5 млрд долларов на Bybit, второй по величине в мире Криптовалюта бирже по объему торгов, вызвала резонанс в сообществе цифровых активов. Имея под стражей активы клиентов на сумму $20 млрд, Bybit столкнулась с серьезной проблемой, когда злоумышленник воспользовался средствами контроля безопасности во время обычного перевода из офлайнового «холодного» кошелька в «теплый» кошелек, используемый для ежедневной торговли.

Первоначальные отчеты предполагают, что уязвимость была связана с самодельной реализацией Web3 с использованием Gnosis Safe — кошелька с несколькими подписями, который использует методы масштабирования вне цепочки, содержит централизованную обновляемую архитектуру и пользовательский интерфейс для подписи. Вредоносный код, развернутый с использованием обновляемой архитектуры, сделал то, что выглядело как обычный перевод, на самом деле измененным контрактом. Инцидент спровоцировал около 350 000 запросов на вывод средств, поскольку пользователи поспешили защитить свои средства.

Хотя это нарушение и является значительным в абсолютном выражении, оно оценивается менее чем в 0,01% от общей капитализации рынка Криптовалюта и демонстрирует, как то, что когда-то было бы экзистенциальным кризисом, стало управляемым операционным инцидентом. Быстрое заверение Bybit в том, что все невозвращенные средства будут покрыты за счет его резервов или партнерских кредитов, еще раз иллюстрирует его зрелость.

С момента появления криптовалют именно Human фактор, а не технические недостатки протоколов блокчейна, неизменно являлся основной уязвимостью. Наши исследование, изучающее Более десяти лет крупных взломов Криптовалюта показывают, что Human фактор всегда доминировал. Только в 2024 году было украдено около 2,2 млрд долларов.

Поразительно, что эти нарушения продолжают происходить по схожим причинам: организации не защищают системы, потому что они T признают свою ответственность за них явно или полагаются на индивидуальные решения, которые сохраняют иллюзию того, что их требования уникально отличаются от устоявшихся фреймворков безопасности. Такая модель переосмысления подходов к безопасности вместо адаптации проверенных методологий увековечивает уязвимости.

Хотя блокчейн и криптографические технологии доказали свою криптографическую надежность, самым слабым LINK в безопасности является не Технологии , а Human элемент, взаимодействующий с ней. Эта модель оставалась удивительно последовательной с самых первых дней криптовалюты до сегодняшних сложных институциональных сред, и перекликается с проблемами кибербезопасности в других—более традиционный—домены.

К таким Human ошибкам относится неправильное управление закрытыми ключами, когда проигрыш, неправильное обращение или раскрытие закрытых ключей ставит под угрозу безопасность. Атаки с использованием социальной инженерии остаются серьезной угрозой, поскольку хакеры манипулируют жертвами, заставляя их раскрывать конфиденциальные данные с помощью фишинга, выдачи себя за другое лицо и обмана.

Решения по безопасности, ориентированные на человека

Чисто технические решения не могут решить то, что по сути является Human проблемой. В то время как отрасль инвестировала миллиарды в технологические меры безопасности, сравнительно мало было инвестировано в устранение Human фактора, который постоянно способствует нарушениям.

Препятствием к эффективной безопасности является нежелание признавать право собственности и ответственность за уязвимые системы. Организации, которые не могут четко разграничить то, что они контролируют, или настаивают на том, что их среда слишком уникальна для применения установленных принципов безопасности, создают слепые зоны, которые легко используют злоумышленники.

Это отражает то, что эксперт по безопасности Брюс Шнайер назвал законом безопасности:Системы, разработанные изолированно командами, убежденными в своей уникальности, почти всегда содержат критические уязвимости, которые были бы устранены с помощью общепринятых методов обеспечения безопасности.. Криптовалюта сектор неоднократно попадал в эту ловушку, часто перестраивая структуры безопасности с нуля вместо того, чтобы адаптировать проверенные подходы из традиционных Финансы и информационной безопасности.

Сдвиг парадигмы в сторону проектирования безопасности, ориентированной на человека, имеет важное значение. По иронии судьбы, в то время как традиционные Финансы эволюционировали от однофакторной (пароль) к многофакторной аутентификации (MFA), ранние Криптовалюта упростили безопасность обратно к однофакторной аутентификации через закрытые ключи или начальные фразы под завесой безопасности посредством одного лишь шифрования. Это упрощение было опасным, приводя к скоростному прохождению в отрасли различных уязвимостей и эксплойтов. Спустя миллиарды долларов потерь мы приходим к более сложным подходам к безопасности, на которых остановились традиционные Финансы .

Современные решения и Технологии регулирования должны признавать неизбежность Human ошибок и проектировать системы, которые остаются безопасными, несмотря на эти ошибки, а не предполагать идеальное соблюдение Human протоколов безопасности. Важно то, что Технологии не меняет фундаментальных стимулов.Его реализация влечет за собой прямые затраты, а его отсутствие грозит репутационным ущербом.

Механизмы безопасности должны развиваться не только для защиты технических систем, но и для прогнозирования Human ошибок и устойчивости к распространенным ловушкам. Статические учетные данные, такие как пароли и токены аутентификации, недостаточны против злоумышленников, которые эксплуатируют предсказуемое Human поведение. Системы безопасности должны интегрировать обнаружение поведенческих аномалий для маркировки подозрительных действий.

Закрытые ключи, хранящиеся в одном легкодоступном месте, представляют собой серьезную угрозу безопасности. Разделение хранилища ключей между офлайн- и онлайн-средами смягчает полную компрометацию ключа. Например, хранение части ключа на аппаратном модуле безопасности при сохранении другой части офлайн повышает безопасность, требуя множественных проверок для полного доступа — повторное введение принципов многофакторной аутентификации в безопасность Криптовалюта .

Действенные шаги для подхода к безопасности, ориентированного на человека

Комплексная система безопасности, ориентированная на человека, должна устранять уязвимости Криптовалюта на нескольких уровнях, используя скоординированные подходы в рамках всей экосистемы, а не изолированные решения.

Для индивидуальных пользователей лучшим стандартом остаются аппаратные кошельки.Однако многие пользователи предпочитают удобство безопасности., поэтому вторым лучшим вариантом для бирж является внедрение практик традиционных Финансы: периоды ожидания по умолчанию (но регулируемые) для крупных переводов, многоуровневые системы счетов с различными уровнями авторизации и контекстно-зависимое обучение безопасности, активируемое в критических точках принятия решений.

Биржи и учреждения должны перейти от предположения идеального соответствия пользователей к проектированию систем, которые предвидят Human ошибки. Это начинается с явного признания того, какие компоненты и процессы они контролируют и, следовательно, несут ответственность за обеспечение безопасности.

Отрицание или двусмысленность в отношении границ ответственности напрямую подрывают усилия по обеспечению безопасности. После того, как эта подотчетность установлена, организации должны внедрить поведенческую аналитику для обнаружения аномальных моделей, требовать многостороннюю авторизацию для переводов с высокой стоимостью и развертывать автоматические «выключатели», которые ограничивают потенциальный ущерб в случае компрометации.

Кроме того, сложность инструментов Web3 создает большие поверхности атак. Упрощение и принятие устоявшихся шаблонов безопасности снизит уязвимости без ущерба для функциональности.

На отраслевом уровне,Регуляторы и руководители могут установить стандартизированные требования к Human фактору в сертификации по безопасности, но есть и компромиссы между инновациями и безопасностью. Инцидент с Bybit является примером того, как экосистема Криптовалюта эволюционировала от своих хрупких ранних дней до более устойчивой финансовой инфраструктуры. Хотя нарушения безопасности продолжаются — и, вероятно, всегда будут — их характер изменился от экзистенциальных угроз, которые могут разрушить доверие к Криптовалюта как концепции, до операционных проблем, которые требуют постоянных инженерных решений.

Будущее криптобезопасности заключается не в достижении невозможной цели устранения всех Human ошибок, а в проектировании систем, которые остаются безопасными, несмотря на неизбежные Human ошибки. Для этого необходимо сначала признать, какие аспекты системы попадают под ответственность организации, а не поддерживать двусмысленность, которая приводит к пробелам в безопасности.

Признавая Human ограничения и создавая системы, которые их учитывают, экосистема Криптовалюта может продолжить свое развитие от спекулятивного любопытства к надежной финансовой инфраструктуре, а не предполагать идеальное соответствие протоколам безопасности.

Ключ к эффективной криптобезопасности на этом развивающемся рынке лежит не в более сложных технических решениях, а в более продуманном дизайне, ориентированном на человека. Отдавая приоритет архитектурам безопасности, которые учитывают поведенческие реалии и Human ограничения, мы можем построить более устойчивую цифровую финансовую экосистему, которая продолжает безопасно функционировать, когда — а не если — происходят Human ошибки.