samczsun: Bezpieczeństwo protokołów kryptowalutowych zależy kluczowo od proaktywnego ponownego audytu

Programy nagród za wykrycie luk to działania pasywne, podczas gdy ochrona bezpieczeństwa wymaga aktywnego podejścia.

Autor: samczsun, założyciel Security Alliance, były partner badawczy w Paradigm

Obecnie w branży panuje konsensus, że ochrona bezpieczeństwa kryptowalut powinna opierać się na trzech kluczowych krokach: pisaniu przypadków testowych na etapie rozwoju w celu wykrycia podstawowych błędów; przeprowadzaniu kompleksowych przeglądów przed wdrożeniem poprzez audyty i konkursy; ustanawianiu programów nagród za wykrycie luk, które nagradzają badaczy odpowiedzialnie ujawniających luki, aby zapobiec atakom. Upowszechnienie tych najlepszych praktyk znacznie zmniejszyło liczbę luk na łańcuchu, zmuszając atakujących do przeniesienia uwagi na kradzież kluczy prywatnych, włamania do infrastruktury i inne luki poza łańcuchem.

Jednak nawet protokoły, które przeszły kompleksowe audyty i oferują wysokie nagrody za wykrycie luk, nadal od czasu do czasu padają ofiarą ataków hakerskich. Takie incydenty wpływają nie tylko na sam protokół, ale także podważają zaufanie całego ekosystemu. Ostatnie ataki na Yearn, Balancer V2 oraz incydenty bezpieczeństwa Abracadabra i 1inch na początku roku pokazują, że nawet sprawdzone protokoły nie są całkowicie bezpieczne. Czy branża kryptowalut mogła uniknąć tych ataków? A może to po prostu nieunikniona cena zdecentralizowanych finansów?

Komentatorzy często twierdzą, że wyższe nagrody za wykrycie luk mogłyby ochronić te protokoły. Jednak nawet pomijając realia ekonomiczne, nagrody za wykrycie luk są z natury środkiem pasywnym, oddającym los protokołu w ręce białych kapeluszy, podczas gdy audyt to aktywne działanie samoobronne protokołu. Zwiększenie nagród za wykrycie luk nie powstrzyma ataków hakerskich, ponieważ to jakby podwoić stawkę, licząc na to, że biały kapelusz znajdzie lukę przed czarnym. Jeśli protokół chce się naprawdę chronić, musi aktywnie przeprowadzać ponowne audyty.

Środki w skarbcu a wartość zablokowana (TVL)

Czasami hakerzy zgadzają się zwrócić większość skradzionych środków, zatrzymując jedynie niewielką część (zwykle 10%) jako nagrodę. Niestety, branża nazywa tę część „nagrodą dla białego kapelusza”, co rodzi pytanie: dlaczego protokół nie oferuje tej samej kwoty bezpośrednio przez program nagród za wykrycie luk, unikając negocjacji? Takie myślenie myli jednak środki, które atakujący może ukraść, z tymi, którymi protokół może dysponować.

Chociaż na pierwszy rzut oka wydaje się, że protokół może wykorzystać oba rodzaje środków na ochronę bezpieczeństwa, w rzeczywistości ma on prawo dysponować jedynie własnym skarbcem, a nie środkami zdeponowanymi przez użytkowników. Użytkownicy raczej nie przyznają protokołowi takiego uprawnienia z wyprzedzeniem; jedynie w sytuacji kryzysowej (np. gdy deponent musi wybrać między utratą 10% a 100% środków) pozwolą protokołowi wykorzystać depozyty do negocjacji. Innymi słowy, ryzyko rośnie wraz z TVL, ale budżet na bezpieczeństwo nie może rosnąć proporcjonalnie.

Efektywność kapitałowa

Nawet jeśli protokół ma wystarczające środki (np. duży skarbiec, wysoką rentowność lub wdrożoną politykę opłat na bezpieczeństwo), właściwe rozdysponowanie tych środków na ochronę bezpieczeństwa pozostaje wyzwaniem. W porównaniu z inwestowaniem w ponowne audyty, zwiększanie nagród za wykrycie luk jest w najlepszym przypadku bardzo nieefektywne kapitałowo, a w najgorszym prowadzi do rozbieżności motywacji między protokołem a badaczami.

Jeśli nagrody za wykrycie luk są powiązane z TVL, to gdy badacz podejrzewa, że TVL protokołu wzrośnie, a prawdopodobieństwo powtórzenia się luki jest niskie, będzie miał większą motywację do ukrycia krytycznej luki. Ostatecznie prowadzi to do konfliktu interesów między badaczami a protokołem, szkodząc użytkownikom. Samo zwiększenie nagród za krytyczne luki również nie przynosi oczekiwanych rezultatów: społeczność niezależnych badaczy jest duża, ale niewielu z nich poświęca większość czasu na programy nagród i ma wystarczające umiejętności, by znaleźć luki w złożonych protokołach. Ci najlepsi badacze skupiają się na programach, które dają największą szansę na zwrot z inwestycji. W przypadku dużych, sprawdzonych protokołów, które są stale obserwowane przez hakerów i innych badaczy, szansa na znalezienie luki jest znikoma, więc nawet wysokie nagrody nie przyciągną ich uwagi.

Jednocześnie z perspektywy protokołu nagroda za wykrycie luki to środki zarezerwowane na pojedynczą krytyczną lukę. O ile protokół nie chce ryzykować, że taka luka nigdy się nie pojawi, jednocześnie ukrywając przed badaczami swoją sytuację płynnościową, tych środków nie można wykorzystać inaczej. Zamiast biernie czekać, aż badacz znajdzie krytyczną lukę, lepiej przeznaczyć te same środki na wielokrotne ponowne audyty w ciągu kilku lat. Każdy przegląd zapewnia uwagę najlepszych badaczy i nie ogranicza się do wykrycia jednej luki, a także utrzymuje zgodność interesów badaczy i protokołu: jeśli protokół zostanie wykorzystany, obie strony poniosą reputacyjne straty.

Istniejące precedensy

W branży oprogramowania i finansów coroczne audyty to sprawdzona i dojrzała praktyka oraz najlepszy sposób oceny, czy firma jest przygotowana na zmieniające się zagrożenia. Raport SOC 2 Type II jest wykorzystywany przez klientów B2B do oceny, czy dostawca utrzymuje odpowiednie środki bezpieczeństwa; certyfikat PCI DSS świadczy o tym, że firma chroni wrażliwe dane płatnicze; rząd USA wymaga, by podmioty mające dostęp do informacji rządowych posiadały certyfikat FedRAMP, aby utrzymać wysoki poziom ochrony.

Same smart kontrakty są niezmienne, ale środowisko ich działania już nie. Ustawienia konfiguracji mogą się zmieniać z czasem, zależności mogą być aktualizowane, a wzorce kodu uznawane wcześniej za bezpieczne mogą okazać się ryzykowne. Audyt protokołu to ocena stanu bezpieczeństwa w momencie audytu, a nie gwarancja bezpieczeństwa w przyszłości. Jedynym sposobem na aktualizację tej oceny jest przeprowadzenie nowego audytu.

W 2026 roku branża kryptowalut powinna uczynić coroczne audyty czwartym krokiem ochrony bezpieczeństwa protokołów. Istniejące protokoły z dużym TVL powinny przeprowadzać ponowne audyty swoich wdrożeń; firmy audytorskie powinny oferować wyspecjalizowane usługi ponownych audytów oceniających całość wdrożenia; cały ekosystem powinien zmienić swoje postrzeganie raportów z audytów – są one jedynie oceną bezpieczeństwa w określonym momencie, mogą się zdezaktualizować i nie stanowią wieczystej gwarancji bezpieczeństwa.