Перевод статьи https://cexplorer.io/article/higher-security-is-a-necessity-for-the-growth-of-adoption
Традиционная финансовая сфера обладает заметным преимуществом перед блокчейн сектором, аспект, который часто остается недостаточно обсуждаемым. Это преимущество заключается в превосходной устойчивости к кибератакам. Со временем ИТ-эксперты и правовая система эффективно боролись со взломами, аферами и мошенническими действиями. Хотя такие инциденты не исключены, они происходят значительно реже по сравнению с тем, что происходит в блокчейн индустрии. Чтобы децентрализованные финансы (DeFi) полностью раскрыли свой потенциал, они должны завоевать доверие своих пользователей. Это доверие может быть установлено только путем значительного сокращения числа инцидентов нарушения безопасности. Отчет о безопасности за 2023 год, опубликованный CERTIK, содержит углубленный анализ произошедших инцидентов и соответствующих потерь, тем самым предоставляя ценную информацию о состоянии безопасности в отрасли.
Отчет о безопасности за 2023 год от CERTIK
CERTIK рассматривает инциденты безопасности, произошедшие на 24 платформах (включая некоторые платформы слоев L2, такие как Arbitrum или Polygon). Cardano также входит в этот список.
Вы можете самостоятельно ознакомиться с отчетом о безопасности от CERTIK.
Давайте посмотрим на основные цифры.
В 2023 году в результате 751 инцидента с безопасностью было потеряно в общей сложности 1 840 879 064 доллара США.
Это представляет собой снижение на 51% по сравнению с общим объемом в 3,7 млрд долларов США в 2022 году. Однако это может быть результатом медвежьего рынка. На предстоящем бычьем рынке мы можем ожидать усиления активности мошенников и хакеров.
Когда бычий рынок привлекает новых пользователей, он, естественно, привлекает и злоумышленников.
В отчете говорится, что можно наблюдать умеренную положительную корреляцию между количеством взломов и TVL. Если TVL увеличивается, увеличивается и количество инцидентов. Важно отметить, что общие финансовые потери в долларах США увеличиваются по мере увеличения рыночной стоимости нативных монет.
Компрометация приватных ключей была самым дорогостоящим вектором атак, всего за 47 инцидентов было потеряно ~881 млн долларов США. Это составляет почти половину всех финансовых потерь, хотя на компрометацию приватных ключей приходилось всего 6,3% всех инцидентов безопасности.
Сеть BNB столкнулась с наибольшим количеством инцидентов безопасности: в общей сложности 387 взломов, мошенничеств и эксплойтов (уязвимостей) привели к убыткам в размере 134 миллионов долларов.
В Ethereum произошло в общей сложности 224 инцидента, но потери составили 686 миллионов долларов.
Можно заметить, что наибольшая частота инцидентов, как правило, происходит в наиболее интенсивно используемых экосистемах. Это логичная тенденция с точки зрения злоумышленника, поскольку эти экосистемы обычно имеют наибольшее количество пользователей и обычно хранят наибольшее количество средств в своих приложениях DeFi.
На следующем рисунке вы можете увидеть количество инцидентов на платформах и общий финансовый ущерб.
Посмотрите на представление типов инцидентов безопасности.
Было всего 47 инцидентов со взломом приватных ключей, но общий причиненный ущерб является самым высоким.
Было зафиксировано 306 экзит-скамов, но общий ущерб был самым низким по сравнению с другими инцидентами.
Было обнаружено 197 уязвимостей в коде, что является вторым по величине числом инцидентов. Общий ущерб относительно высок.
Давайте рассмотрим один из значимых инцидентов, связанных с компрометацией приватных ключей.
В июле Multichain подверглась значительному взлому, что привело к потере 125 миллионов долларов. Позже было обнаружено, что генеральный директор единолично контролировал серверы и приватные ключи предположительно децентрализованной платформы. Эта проблема всплыла, когда генеральный директор был арестован, что сделало 1,5 миллиарда долларов недоступными для пользователей. Ситуация обострилась, когда средства начали переводиться на неустановленные кошельки, что высветило риски централизованного контроля приватных ключей.
В отчете о безопасности вы найдете подробную информацию об утечке библиотеки Ledger, в результате которой пострадали активы на кошельках на сумму около 500 тыс. долларов. К сожалению, в некоторых случаях даже кошелек HW может оказаться недостаточной защитой активов пользователей.
Далее в отчете вы найдете подробности о взломе KyberSwap, в ходе которого злоумышленники злоупотребили печально известным мгновенным кредитованием.
Институциональное принятие
Может показаться удивительным, что, несмотря на большое количество инцидентов с безопасностью, финансовые организации продвигают принятие. В 2023 году был достигнут значительный прогресс в институциональном принятии технологии блокчейн, причем ведущую роль сыграли такие ключевые финансовые организации, как Swift, Управление денежного обращения Гонконга (HKMA) и Банковская группа Австралии и Новой Зеландии (ANZ).
Мы медленно переходим от концептуальных решений к реальному применению.
Swift сосредоточился на функциональной совместимости блокчейнов и расчетах токенизированными активами, демонстрируя способность подключать различные приватные и публичные блокчейны.
ANZ, которая управляет активами на сумму более 1 трлн долларов США, запустила первый приватный стейблкоин Австралии и торговала токенизированными углеродными кредитами.
HKMA выпустила токенизированные зеленые облигации на сумму 100 млн долларов США, подчеркнув соответствие токенизированных облигаций существующим правилам в области ценных бумаг.
Эти достижения свидетельствуют о растущем признании потенциала блокчейна в традиционных финансах, прокладывая путь для значительного притока капитала в блокчейн пространство, обусловленного токенизацией.
Может показаться, что финансовый мир наконец-то переходит на блокчейн. Однако оказывается, что взаимодействие с другими традиционными системами, такими как существующие системы сбережения и платежные системы, технологически сложно. Риски, связанные с этим начинанием, велики.
Преодоление технологических трудностей может привести к массовому принятию блокчейнов традиционными институциональными организациями и огромному притоку не только финансов, но и в основном пользователей.
В конечном счете, речь идет о возможности написания такого смарт контракта, который будет максимально безопасным, т.е. не будет содержать уязвимостей. Хотя мы можем радоваться тому, что было достигнуто на данный момент, мы должны быть осторожны. Количество инцидентов безопасности по-прежнему очень велико на двух наиболее часто используемых платформах SC, то есть Ethereum и BNB.
Принятие снизу вверх
Принятие DeFi касается не только институциональных организаций. Речь также идет о обычных людях, которые могут получать выгоду от использования стейблкоинов и децентрализованных финансовых приложений. Однако, чтобы это стало возможным, безопасность этих платформ должна быть значительно повышена, что позволит сократить количество инцидентов безопасности.
В традиционном финансовом мире инфраструктура имеет закрытый исходный код и централизована, управляется ИТ-специалистами и экспертами по безопасности. Большинство случаев мошенничества выявляются и разрешаются правовой системой. У этой структуры есть свои преимущества, такие как высокая степень контроля и способность быстро реагировать на угрозы. Однако у этого также есть свои недостатки, такие как отсутствие прозрачности и потенциальная возможность злоупотребления властью.
Блокчейн устраняет недостатки централизованной финансовой инфраструктуры, но не должен привносить другие. Децентрализация теряет смысл для большинства пользователей, если невозможно достичь такого же качества безопасности.
Пользователям DeFi следует отдавать предпочтение проектам с открытым исходным кодом. Природа открытого исходного кода обеспечивает большую прозрачность и вовлечение сообщества, что может привести к созданию более надежных и безопасных систем.
Однако это также создает уникальные проблемы с точки зрения безопасности. Код находится в открытом доступе, с которым может ознакомиться любой желающий, включая потенциальных злоумышленников. Поэтому смарт контракты должны проходить тщательный аудит и боевые испытания с течением времени, чтобы обеспечить их безопасность.
Как только эти приложения выдержат испытание временем и докажут свою безопасность, люди начнут использовать их чаще. Это постепенный процесс, поскольку доверие должно укрепляться с течением времени. Пользователи должны быть уверены, что их активы в безопасности и что платформа будет функционировать должным образом.
Чем меньше будет инцидентов, тем больше пользователи будут доверять платформе.
Принятие DeFi - это многогранный процесс, в котором участвуют не только институциональные организации, но и обычные пользователи. Это требует тонкого баланса открытости и безопасности. Поскольку DeFi продолжает развиваться, мы можем ожидать увеличения притока пользователей, которые видят преимущества децентрализации и потенциал технологии блокчейн.
Cardano и принятие по принципу “снизу вверх”
А как же Cardano вписывается в это сравнение? В отчете CERTIK он явно не упоминался в контексте инцидентов безопасности. Во многом это связано с более низким TVL по сравнению с Ethereum и BNB.
Если количество пользователей и TVL будет расти, Cardano начнет привлекать внимание злоумышленников.
Пока что Cardano имеет статус SC платформы, которая никогда не подвергалась взлому в DeFi. Это может быстро измениться. Экзит-скамы или различные типы атак невозможно предотвратить. Однако мы все ожидаем увидеть меньше уязвимостей в исходном коде.
Если вы посмотрите на проекты, в которых, согласно отчету о безопасности, произошло несколько серьезных инцидентов с безопасностью, вы обнаружите, что их TVL значительно меньше или аналогичен таковому у Cardano.
Например, у Base TVL составляет 400 млн, что почти идентично TVL Cardano. Однако у него произошло 4 инцидента.
Core, Fantom, Scroll и zkSync - это проекты, которые имеют значительно меньший TVL, чем Cardano, и злоумышленники добились успеха по крайней мере в одном случае. Из этого можно сделать вывод, что Cardano является привлекательной платформой SC для злоумышленников, но что им не удалось совершить какую-либо значительную атаку (о которой CERTIK упомянул бы в отчете).
Для злоумышленников платформа считается привлекательной, если на ней заблокированы десятки миллионов долларов. На Cardano заблокированы сотни миллионов долларов.
Мы можем констатировать, что у Cardano, скорее всего, 0 взломов, в том числе по той причине, что это безопасная платформа и сторонний код не содержит критических уязвимостей.
Вывод
В ближайшие годы количество инцидентов с безопасностью станет одним из ключевых факторов принятия. Сервисы DeFi часто очень похожи с точки зрения пользователей, но они могут принципиально отличаться с точки зрения безопасности. Если какая-либо платформа SC, будь то Cardano или любая другая, окажется значительно более безопасной, чем другие, у нее есть шанс завоевать значительную долю рынка.
Реальность такова, что как только TVL экосистемы превысит 1 млрд долларов США, каждый год будет происходить как минимум 2 серьезных инцидента. Это все еще очень плохой результат в контексте того, насколько огромным мог бы стать TVL, если бы началось массовое принятие. Проекты Tron, Avalanche, Solana и Optimism находятся на правильном пути, потому что их TVL составляет около 1 млрд долларов США или выше, но очень низкое количество инцидентов с безопасностью. Надеюсь, Cardano присоединится к ним.
// От переводчика: для получения дополнительных переведенных на русский язык статей о Cardano посетите русскоязычный раздел на форуме Cardano. Видеоролики о Cardano на русском языке можно найти на YouTube канале нашего замечательного амбасадора Тимура Сахабутдинова, а также на канале Чарльз Хоскинсон на русском. Хотите поговорить или задать вопрос о Cardano? Тогда приглашаем в наше уютное русскоязычное сообщество Cardano в Telegram. Оставайтесь на связи, все только начинается!