Konvenční finanční sféra má nad sektorem blockchainu pozoruhodnou výhodu, což je aspekt, který často zůstává nedostatečně diskutovaný. Tato výhoda spočívá v jeho vynikající odolnosti vůči kybernetickým útokům. Postupem času se IT experti a právní systém účinně vypořádal s hacky, podvody a podvodnými aktivitami. I když takové incidenty nechybí, jejich výskyt je výrazně méně častý ve srovnání s těmi v blockchainovém průmyslu. Aby decentralizované finance (DeFi) dosáhly svého plného potenciálu, musí si zajistit důvěru svých uživatelů. Tuto důvěru lze vybudovat pouze výrazným snížením počtu bezpečnostních incidentů. Zpráva o zabezpečení za rok 2023 vydaná společností CERTIK nabízí hloubkovou analýzu incidentů, které se staly, a odpovídajících ztrát, čímž poskytuje cenné informace o stavu zabezpečení v tomto odvětví.
Bezpečnostní zpráva 2023 od CERTIK
CERTIK se zabývá bezpečnostními incidenty, ke kterým došlo na 24 platformách (včetně některých L2 jako Arbitrum nebo Polygon). Cardano je také na tomto seznamu.
Můžete se sami podívat do security reportu od CERTIK.
Podívejme se na zásadní čísla.
V roce 2023 bylo při 751 bezpečnostních incidentech ztraceno celkem 1 840 879 064 USD.
To představuje pokles o 51 % z celkových 3,7 miliardy USD v roce 2022. To však může být důsledek medvědího trhu. Na nadcházejícím býčím trhu můžeme očekávat zvýšenou aktivitu podvodníků a hackerů.
Pokud býčí trh přitahuje nové uživatele, přirozeně přitahuje i útočníky.
Zpráva uvádí, že je možné pozorovat mírnou pozitivní korelaci mezi počtem hacků a TVL. Pokud se TVL zvýší, zvýší se i počet incidentů. Je důležité si uvědomit, že celková finanční ztráta v USD se zvyšuje s rostoucí tržní hodnotou nativních coinů.
Kompromitované privátní klíče byly nejnákladnějším vektorem útoku, se ztrátou ~881 milionů USD při pouhých 47 incidentech. To představuje téměř polovinu všech finančních ztrát, i když kompromitace soukromého klíče představovala pouze 6,3 % všech bezpečnostních incidentů.
BNB Chain zažil nejvyšší počet bezpečnostních incidentů, celkem 387 hacků, podvodů a exploitů vedlo ke ztrátám 134 milionů USD.
Ethereum zaznamenalo celkem 224 incidentů, ale ztráty 686 milionů USD.
Lze pozorovat, že k nejvyšší četnosti incidentů dochází v nejvíce využívaných ekosystémech. Z pohledu útočníka jde o logický trend, protože tyto ekosystémy mají obvykle největší počet uživatelů a obvykle drží nejvíce prostředků v rámci svých aplikací DeFi.
Na následujícím obrázku vidíte počet incidentů na platformu a celkovou finanční ztrátu.
Podívejte se na zastoupení typů bezpečnostních incidentů.
Došlo pouze ke 47 incidentům kompromitace soukromého klíče, ale celková způsobená ztráta je nejvyšší.
Došlo k 306 exit podvodům, ale celková ztráta byla ve srovnání s ostatními incidenty nejnižší.
Bylo zjištěno 197 zranitelností kódu, což je druhý nejvyšší počet incidentů. Celková ztráta je poměrně vysoká.
Podívejme se na jeden z významných incidentů spojený s kompromitací soukromých klíčů.
V červenci Multichain utrpěl významné prolomení vedoucí ke ztrátě 125 milionů USD. Později se zjistilo, že pouze generální ředitel ovládal servery a soukromé klíče údajně decentralizované platformy. Tento problém se objevil, když byl generální ředitel zatčen, což způsobilo, že 1,5 miliardy USD bylo pro uživatele nedostupné. Situace eskalovala, když se finanční prostředky začaly přesouvat do neidentifikovaných peněženek, což poukázalo na rizika centralizované kontroly soukromých klíčů.
V bezpečnostní zprávě najdete podrobnosti o zranitelnosti knihovny v Ledger HW, který měl za následek přibližně 500 tisíc vysátých peněženek. Bohužel v některých případech ani HW peněženka nemusí být dostatečnou ochranou majetku uživatelů.
Dále v reportáži najdete podrobnosti o hacku KyberSwap, při kterém útočníci zneužili nechvalně proslulou flash půjčku.
Institucionální přijetí
Překvapivé může být, že i přes velký počet bezpečnostních incidentů finanční subjekty na přijetí tlačí. V roce 2023 byl učiněn významný pokrok směrem k institucionálnímu přijetí technologie blockchain, přičemž klíčové finanční subjekty, jako je Swift, Hong Kong Monetary Authority (HKMA) a Australia and New Zealand Banking Group (ANZ), vedly cestu.
Pomalu přecházíme od proof-of-concept řešení k živé produkci.
Swift se zaměřil na interoperabilitu blockchainu a vypořádání tokenizovaných aktiv, což prokázalo schopnost propojit různé soukromé a veřejné blockchainy.
ANZ, s aktivy ve správě více než 1 T USD, uvedla na trh první soukromý stablecoin v Austrálii a obchodovala s tokenizovanými uhlíkovými kredity.
HKMA vydala 100 milionů USD v tokenizovaných zelených dluhopisech, s důrazem na sladění tokenizovaných dluhopisů se stávajícími předpisy o cenných papírech.
Tyto pokroky naznačují rostoucí akceptaci potenciálu blockchainu v tradičních financích a dláždí cestu pro významný příliv kapitálu do blockchainového prostoru, poháněný tokenizací.
Může se zdát, že finanční svět konečně přechází na blockchain. Ukazuje se však, že interoperabilita s jinými konvenčními systémy, jako jsou stávající systémy úschovy a platební systémy, je technologicky složitá. Rizika v tomto úsilí jsou velká.
Překonání technologických potíží může vést k masovému přijetí blockchainů tradičními institucemi a obrovskému přílivu nejen financí, ale hlavně uživatelů.
V konečném důsledku jde o možnost sepsat takovou chytrou smlouvu, která bude maximálně bezpečná, tedy nebude obsahovat zranitelnosti. I když můžeme mít radost z toho, čeho jsme dosud dosáhli, musíme být opatrní. Počet bezpečnostních incidentů je stále velmi vysoký na dvou nejpoužívanějších SC platformách, tedy Ethereum a BNB chain.
Adopce zdola nahoru
Přijetí DeFi není pouze o institucích. Je také o běžných lidech, kteří mohou těžit z používání stablecoinů a decentralizovaných finančních aplikací. Aby to však bylo možné, musí být výrazně zvýšena bezpečnost těchto platforem, čímž se sníží počet bezpečnostních incidentů.
V tradičním finančním světě je infrastruktura uzavřená a centralizovaná, spravovaná odborníky na IT a bezpečnost. Většinu podvodů odhaluje a řeší právní systém. Tato struktura má své výhody, jako je vysoký stupeň kontroly a schopnost rychle reagovat na hrozby. Má však i své nevýhody, jako je nedostatek transparentnosti a možnost zneužití moci.
Blockchain řeší nevýhody centralizované finanční infrastruktury, ale nesmí přinášet další. Decentralizace ztrácí pro většinu uživatelů smysl, pokud není možné dosáhnout stejné kvality zabezpečení.
Uživatelé DeFi by měli preferovat open-source projekty. Povaha open source umožňuje větší transparentnost a zapojení komunity, což může vést k robustnějším a bezpečnějším systémům.
Představuje však také jedinečné výzvy z hlediska bezpečnosti. Kód je veřejně dostupný pro každého, včetně potenciálních útočníků, ke kontrole. Proto musí být inteligentní smlouvy důkladně auditovány a testovány v průběhu času, aby byla zajištěna jejich bezpečnost.
Jakmile tyto aplikace obstojí ve zkoušce času a prokážou svou bezpečnost, lidé je začnou více používat. Jde o postupný proces, protože důvěru je třeba budovat v průběhu času. Uživatelé musí mít jistotu, že jejich aktiva jsou v bezpečí a že platforma bude fungovat podle očekávání.
Čím méně incidentů bude, tím větší důvěru budou mít uživatelé v platformu.
Přijetí DeFi je mnohostranný proces, který zahrnuje nejen instituce, ale také každodenní uživatele. Vyžaduje jemnou rovnováhu otevřenosti a bezpečí. Jak DeFi stále dospívá a vyvíjí se, můžeme očekávat větší příliv uživatelů, kteří vidí výhody decentralizace a potenciál technologie blockchain.
Cardano A Adopce zdola nahoru
Kam do rovnice zapadá Cardano? Ve zprávě CERTIKu to v souvislosti s bezpečnostními incidenty výslovně zmíněno nebylo. To je z velké části způsobeno nižší TVL ve srovnání s Ethereem a BNBChainem.
Pokud počet uživatelů a TVL poroste, Cardano si získá pozornost útočníků.
Cardano má zatím status SC platformy, která v DeFi nikdy nebyla hacknuta. To se může rychle změnit. Exit podvodům nebo různým typům útoků nelze zabránit. Všichni však očekáváme, že ve zdrojovém kódu uvidíme méně zranitelností.
Když se podíváte na projekty, na kterých podle bezpečnostní zprávy došlo k několika vážným bezpečnostním incidentům, zjistíte, že jejich TVL je výrazně menší nebo podobná jako u Cardana.
Například Base má TVL 400M, což je téměř totožné s TVL Cardano. Celkem došlo ke 4 incidentům.
Core, Fantom, Scroll a zkSync jsou projekty, které mají výrazně menší TVL než Cardano a útočníci byli úspěšní alespoň v jednom případě. Z toho lze usoudit, že Cardano je pro útočníky atraktivní SC platformou, ale nepodařilo se jim spáchat žádný výrazný útok (který by CERTIK ve zprávě zmínil).
Pro útočníky je to atraktivní platforma, na které jsou zavřeny desítky milionů USD. Na Cardano jsou zavřené stovky milionů USD.
Můžeme konstatovat, že Cardano má 0 hacků velmi pravděpodobně i z toho důvodu, že se jedná o bezpečenou platformu a kód třetích stran neobsahuje kritické zranitelnosti.
Závěr
V nadcházejících letech bude počet bezpečnostních incidentů jedním z klíčových faktorů přijetí. Služby DeFi jsou z pohledu uživatelů často velmi podobné, ale v zabezpečení se mohou zásadně lišit. Pokud se jakákoli SC platforma, ať už je to Cardano nebo jakákoli jiná, ukáže jako výrazně bezpečnější než ostatní, má šanci získat významný podíl na trhu.
Realita je taková, že jakmile TVL ekosystému přesáhne 1 miliardu USD, dojde každý rok k minimálně 2 vážným incidentům. To je stále velmi špatný výsledek v kontextu toho, jak obrovská by mohla být TVL, kdyby se masová adopce rozběhla. Projekty Tron, Avalanche, Solana a Optimism jsou na správné cestě, protože mají TVL kolem 1 miliardy USD nebo vyšší, ale velmi nízký počet bezpečnostních incidentů. Doufejme, že se k nim Cardano přidá.
Článek připravili Cardanians s podporou od Cexplorer.
Přečtěte si celý článek: https://cexplorer.io/article/higher-security-is-a-necessity-for-the-growth-of-adoption
1 post - 1 participant