资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
加密货币安全现状堪忧:Hacken分析师揭示行业隐患
Hacken分析师指出,许多加密货币公司甚至未能达到加密货币安全标准的基本要求,导致数十亿美元资产面临内部威胁和凭证泄露的风险。在加密货币领域,一次看似普通的智能合约更新就可能使数月来的安全努力付诸东流。然而,据区块链取证公司Hacken的分析师称,该行业仍将审计视为品牌工具,而非其应有的关键检查点。
审计不应流于形式
Hacken首席执行官Dyma Budorin在接受独家采访时表示:"审计不应被视为一个简单的复选框或主页上的标志。"在他看来,太多项目仅依赖其代码的静态快照就认为万事大吉。但一旦代码发生变化——这种情况经常发生——审计的相关性就会消失。"每次合约变更后,审计就会过时,"他警告道。
问题不仅在于缺乏审计,更在于缺乏部署后的代码监控系统。Hacken认为,如果没有持续的验证和重新审计,团队可能会陷入虚假的安全感中。
"一个被忽视的功能就可能引发灾难。真正的问题不仅是审计覆盖率,更是审计的相关性。我们需要能够跟踪每次变更、重新验证假设并在需要时触发重新审计的系统。否则,只需一次静默更新就可能破坏你认为安全的一切。"
标准化和自动化检查的必要性
该团队建议转向更标准化和自动化的检查。符号执行、模糊测试和形式验证等技术应成为发布清单的一部分,而不是可选的附加项。他们表示,任何智能合约在通过一系列自动化测试之前都不应上线。
但这还不够。合约生态系统会发生变化,升级也会发生。有时,即使应该升级,也没有进行。Hacken希望看到更好的可升级性控制。当发现风险时,协议应鼓励修补,甚至停用旧合约。正如Hacken团队所指出的:"修补往往被留给了机会——或者更糟,留给了黑客的怜悯。"
链下安全同样重要
代码并不总是问题所在。在一些最大的加密货币漏洞中,往往是链下部分首先出现问题。以Bybit为例,该交易所因多重签名设置被攻破而损失近15亿美元。这不是因为代码中的错误,而是因为看似糟糕的操作安全。
"许多加密货币平台忽视了基本的链下安全原则、安全操作实践以及加密货币安全标准中概述的具体要求,使自己容易受到类似威胁,"Hacken合规主管Dmytro Yasmanovych表示。
Yasmanovych表示,团队建议加密货币公司根据CCSS紧急实施或加强多项实际安全控制。例如,在所有关键的链下操作中部署使用安全、硬件支持的多因素认证(如生物识别解决方案或物理令牌),以防御基于凭证的攻击。
他还强调了明确交易授权政策的必要性,包括记录角色、批准门槛和程序,以防止未经授权的活动。此外,Yasmanovych建议公司为敏感操作(包括交易请求和批准)定义并强制执行安全、加密的通信渠道。
创新幌子下的退出流动性
但也许Hacken最具争议的见解是针对LIBRA代币的,这是一种被政治炒作的模因币,最终以教科书式的"拉地毯"骗局收场。据Hacken团队称,内部人士可能通过利用市场炒作抛售,带走了超过3亿美元。
LIBRA代币曾声称引入"集中流动性",但对Hacken的首席执行官来说,事实并非如此。
"对于新手来说,这听起来像是在加强市场或为代币增加价值,但实际上,这只是一种在特定价格点下大额卖单的复杂方式。当价格因炒作而飙升时,这些订单会立即将代币转换为现金,让内部人士带着巨额利润退出。这不是创新,这是退出流动性。永远不要投资类似的东西。这会破坏对该领域的信任,并将行业变成马戏团。"
借鉴传统金融经验
Hacken认为,加密货币可以——也应该——从传统金融中借鉴一些想法来避免这种情况。在受监管的市场中,内部人士必须披露主要持股和计划销售。也许加密货币项目也应该开始这样做。代币经济学、归属时间表和团队分配的信息披露应成为常态,而不是例外。
虽然全面监管仍是一个有争议的问题,但Hacken建议该领域至少需要监督机制。例如第三方监控平台、公共评级系统或能够及时标记异常代币行为或异常流动性事件的监督机构。在此之前,信任仍将岌岌可危。每一次退出骗局或秘密铸造都只会让加密货币离公众合法性越来越远。
