Технология блокчейна была частично построена на принципе безопасности высокого уровня, но становится все более очевидным, что это не всегда так, как отмечается в недавнем анализе DARPA, в котором отмечается, насколько технология криптовалюты уязвима для взлома.
На этом фоне пришло время для провайдеров блокчейнов, которые выходят далеко за рамки криптовалюты и NFT, предоставить своим пользователям уровень безопасности, которого они заслуживают, а в некоторых случаях думали, что уже имеют.
Как безопасность блокчейна оказалась там, где она есть
С точки зрения хакера криптовалюта оказалась золотой жилой. Последней тенденцией для хакеров являются «мосты» блокчейна, которые представляют собой инструменты, используемые для передачи токенов между блокчейнами. Только за первые семь месяцев 2022 года из этих мостов блокчейна было украдено более 1 миллиарда долларов.
Во многих случаях эти нарушения являются результатом неправильного управления ключами. Когда вы даете власть людям, что на первый взгляд делает блокчейн, это дает им определенную свободу, но также и ответственность. Например, даже если основы безопасности организации надежны, злоумышленники все равно могут выполнять трюки на уровне пользователя и обманывать пользователей, заставляя их подписываться или отказываться от закрытых ключей. Дело не столько в том, что в основе блокчейна как технологии лежат проблемы, а в том, что он создал среду, в которой люди, неискушенные в вопросах безопасности, обнаруживают, что контролируют ценные вещи и становятся цели опытных хакеров.
Пробел, который необходимо заполнить, заключается не в создании новых протоколов, а в добавлении большего количества элементов управления на уровне пользователя. Это будет варьироваться в зависимости от размера организации, но может быть пять уровней утверждения — транзакция определенного размера может потребовать подписания несколькими людьми в разных местах. У Ethereum есть децентрализованные приложения, которые обеспечивают уровень программируемости платформы, но они также создают проблемы, когда люди не знают, какие приложения они авторизуют или что они подписывают.
Повышение уровня безопасности блокчейна
Что могут сделать организации, особенно в отношении безопасности блокчейна? Технологии шифрования особенно хорошо сочетаются с тем, как блокчейн создавался с самого начала. Закрытые ключи используются для подписи транзакций, таких как передача биткойнов кому-то еще, а шифрование создает дополнительный уровень безопасности поверх любых протоколов, которые уже есть в организации.
В частности, жизненно важно шифровать данные во время их использования. После эксплойта стоимостью 100 миллионов долларов на мосте Horizon основатель Harmony Стивен Це написал в Твиттере: «Закрытые ключи хранились в зашифрованном виде в Harmony. Эти ключи были дважды зашифрованы с использованием парольной фразы и службы управления ключами… Система была разработана таким образом, чтобы избежать постоянного хранения открытого текста. секреты покоя».
Однако двойное шифрование ключей в состоянии покоя не имеет значения; когда ключи используются, они переносятся в основную память. И если память процесса, использующего ключ, в итоге будет сброшена, ее могут извлечь злоумышленники-хакеры.
Однако в дополнение к технологиям существует потребность в улучшении образования на уровне пользователей. У организаций есть возможность создавать платформы, которые можно использовать, но при этом не иметь слишком много «острых ножей», чтобы обычные пользователи могли чувствовать, что происходит.
С точки зрения образования, многое из этого является базовым, но все еще нуждается в повторении: не сообщайте пароли другим и, конечно же, не делитесь закрытыми ключами. Здравый смысл в теории должен работать, но проблема в том, что на кону могут быть миллионы долларов, а это означает, что хакеры сделают все возможное, чтобы обмануть пользователей.
Внутри технологии, которая проложит путь
Образование жизненно важно в стремлении к продвинутой безопасности блокчейна, но технологии, конечно, также будут играть значительную роль. Конфиденциальные вычисления, использующие безопасные анклавы для создания доверенной среды выполнения и шифрования данных во время их обработки, становятся все более важным инструментом безопасности блокчейна. Технологии и методы, поддерживаемые конфиденциальными вычислениями, дополняющие блокчейн и эпоху Web 3.0, включают:
Улучшенная безопасность за счет переноса процесса двухфакторной аутентификации в высоконадежную доверенную среду выполнения.
Снижение барьеров доверия за счет предоставления конечным пользователям полного контроля над доступом к своим цифровым активам, даже если базовая серверная система скомпрометирована.
Снижение операционного риска благодаря быстрому и легкому раскрытию регулирующим органам информации о том, что пользовательские активы не могут быть использованы без полностью проверяемого разрешения конечного пользователя.
Полностью поддерживаемое аварийное восстановление, помогающее избежать потери цифровых активов в случае компрометации системы злоумышленниками.
Конфиденциальные вычисления как технология имеют множество вариантов использования, и они все чаще используются для обеспечения безопасности блокчейна. По своей сути, технология конфиденциальных вычислений обеспечивает организациям сверхвысокий уровень безопасности, который не будет скомпрометирован, что является растущей потребностью в системах и платформах на основе блокчейна. Те, кто может эффективно использовать его, настраиваются на беспроигрышную ситуацию: значительное сокращение критических инцидентов, более плавное соблюдение нормативных требований и требований безопасности и, возможно, самое главное, высокий уровень удовлетворенности конечных пользователей и клиентов.