Wprowadzenie
Sektor blockchain ma obsesję na punkcie wykrywania luk w zabezpieczeniach kodu inteligentnych kontraktów. Zespoły programistów inwestują w audyty, konkursy bug bounty, narzędzia fuzzingowe i formalne techniki weryfikacji, wierząc, że wykrycie wszystkich błędów w kodzie pozwoli zapewnić bezpieczeństwo.
Metoda ta jest ważna, ale nie uwzględnia jednego z najbardziej przerażających faktów, który wyszedł na jaw w 2024 roku. Najbardziej katastrofalną ścieżką ataku, która obecnie nęka protokoły kryptowalutowe, nie są złożone łańcuchy exploitów ani ukryte luki w kodzie. Jest to raczej znacznie głębsze i jeszcze rzadziej omawiane zagrożenie, które zdominowało krajobraz zagrożeń w ostatnich latach.
Naruszenie bezpieczeństwa klucza prywatnego dominuje w krajobrazie zagrożeń
Badanie z 2024 r. dostarcza alarmujących statystyk, które będą wymagały ponownego zdefiniowania naszego podejścia do bezpieczeństwa łańcucha bloków. Odsetek wszystkich skradzionych środków kryptowalutowych w ciągu roku, które zostały przejęte za pomocą klucza prywatnego, wynosi 43,8%, co czyni ten rodzaj ataku zdecydowanie najskuteczniejszym.
Słabe punkty architektury kontroli dostępu nie są zazwyczaj zgłaszane przez tradycyjne firmy audytowe zajmujące się łańcuchami bloków jako formalne ustalenia, a konkurencyjne platformy audytowe wyraźnie zniechęcają do zgłaszania problemów dotyczących takich kwestii systemowych.
Takie ukierunkowane myślenie stanowi wyraźny kontrast w stosunku do najlepszych praktyk audytów bezpieczeństwa w innych branżach, gdzie eskalacja uprawnień i projektowanie kontroli dostępu są kluczowymi kwestiami, które należy rozważyć na wcześniejszym etapie cyklu rozwoju, w momencie, gdy często jest już za późno, aby zmienić ogólny charakter problemów związanych z kontrolą dostępu w systemie.
Aby zrozumieć wpływ decyzji projektowych na podatność na ataki na klucze prywatne, rozważmy następujący teoretyczny protokół pożyczek z nadmiernym zabezpieczeniem. Jednakże, aby wykonać kilka ważnych operacji, konieczny jest uprzywilejowany dostęp do takich systemów:
- Wpisywanie i usuwanie z listy obsługiwanych aktywów
- Konfigurowanie parametrów ryzyka i stóp procentowych
- Pobieranie opłat protokolarnych
- Pauzy awaryjne i aktualizacje oprogramowania smart contract
Określają one ogólną odporność takiego protokołu na naruszenie klucza prywatnego.
Poziom 1: Pełna ekspozycja z kontrolą pojedynczego punktu
Najniższy poziom to taki, na którym programista ma jedno konto kontrolowane zewnętrznie z pełnymi uprawnieniami administracyjnymi do wszystkich funkcji protokołu. Ta architektura jest najbardziej podatną na ataki konfiguracją, w której naruszenie jednego klucza prywatnego zapewni atakującym natychmiastowy i pełny dostęp do systemu, prawdopodobnie w postaci portfeli programowych podłączonych na stałe do Internetu.
Groźba zdrady jest ogromna, a jej skutki niszczycielskie i bezpośrednie.
Poziom 2: Proste zarządzanie ryzykiem za pomocą kluczy rozproszonych
Kolejnym poziomem dojrzałości jest przeniesienie uprawnień administracyjnych do portfela z wieloma podpisami, który będzie wymagał zabezpieczenia wielu posiadaczy kluczy w celu wykonania aktualizacji. Może to jedynie zmniejszyć ryzyko naruszenia bezpieczeństwa i nie ogranicza zakresu, w jakim protokół może zostać uszkodzony, ale nadal jest to poprawa.
Jest to znacznie lepsze rozwiązanie niż kontrola za pomocą jednego klucza pod względem bezpieczeństwa, ponieważ przejęcie protokołu nie wymaga już wystarczającego dostępu poprzez naruszenie jednego klucza podpisującego. Niemniej jednak, mimo wprowadzenia ulepszeń, nadal istnieje wysokie ryzyko:
- Szybkość wykonania jest istotną kwestią, ponieważ złośliwe działania mogą zostać podjęte przed reakcją służb bezpieczeństwa.
- Chociaż punkty awarii są rozłożone między klucze, struktura kontrolna pozostaje scentralizowana
- Nawet dobrze zabezpieczone systemy wielopodpisowe mogą zostać naruszone poprzez zaawansowane techniki inżynierii społecznej.
Poziom 3: Ulepszona ochrona dzięki rozdzieleniu czasu i ról
Aby osiągnąć znaczną poprawę dojrzałości, należy wprowadzić dwa kluczowe mechanizmy kontroli: blokady czasowe i zasadę minimalnych uprawnień.
Blokady czasowe powodują opóźnienie między zatwierdzeniem transakcji a jej wykonaniem, co daje czas na dokładne sprawdzenie transakcji i zareagowanie na ewentualne zdarzenia. Zasada minimalnych uprawnień polega na rozdzieleniu ról i obowiązków, tak aby każda rola miała tylko minimalny zakres uprawnień niezbędnych do wykonywania określonych zadań.
Ten poziom dotyczy podstawowych wad prostszych metod:
- Nie zezwalamy na natychmiastowe wykonanie
- Kontrola współdzielenia między wieloma specjalizacjami
- Dajesz zespołom ds. bezpieczeństwa czas na weryfikację nieoczekiwanych transakcji
- Umożliwiacie proaktywną interwencję zamiast reaktywnego ograniczania szkód.
Poziom 4: Najwyższy poziom bezpieczeństwa
Najwyższy poziom dojrzałości opiera się na całkowitym wyeliminowaniu działań administracyjnych i jest najbardziej radykalną formą zaangażowania w ideę decentralizacji i minimalizacji zaufania. Taka strategia kategorycznie wyklucza kontrolę dostępu jako część modelu zagrożeń protokołu.
Aby osiągnąć ten poziom, konieczne jest podejście całkowicie odmienne od wszystkich pozostałych poziomów:
- Należy znieść możliwość aktualizacji umów – inteligentne umowy stają się całkowicie niezmienne
- Wykaz aktywów staje się bez zezwolenia — samodzielne rynki wdrażają się niezależnie
- Parametry ryzyka są na stałe zapisane - nie ma możliwości zarządzania administracyjnego
- Interwencja w sytuacjach awaryjnych jest niemożliwa – systemy nie mogą być modyfikowane po wdrożeniu
W przypadku systemów kredytowania z nadmiernym zabezpieczeniem należy uwzględnić kilka kluczowych elementów:
- Nowe funkcje wdrażane w całkowicie różnych wdrożeniach z ręczną migracją użytkowników
- Rynki utworzone jako niezależne instancje protokołu dla określonych aktywów
- Parametry ryzyka są zgodne z wytycznymi algorytmicznymi lub stałymi ustawieniami wdrożeniowymi
Liczba ta jest pięciokrotnie większa niż w przypadku innych potwierdzonych rodzajów ataków, ale ekosystem bezpieczeństwa łańcucha bloków w dużej mierze nie jest gotowy do radzenia sobie z takim zagrożeniem.
Zabezpiecz swój protokół już dziś
Nie czekaj na kompromis. Wprowadź odpowiednie kontrole dostępu już teraz.
Struktura podziału ról
| Typ roli | Obowiązki | Wymagania dotyczące bezpieczeństwa | Czas trwania blokady czasowej |
|---|---|---|---|
| System podstawowy | Aktualizacje umów | Wysokie progi wielopodpisowe | Długie opóźnienia |
| Operacje | Codzienne ustawienia protokołu | Umiarkowane wymagania dotyczące bezpieczeństwa | Średnie opóźnienia |
| Pause Guardian | Zawieszenie protokołu awaryjnego | Możliwość natychmiastowego działania | Bez opóźnień |
| Anuluj Guardian | Cofnij złośliwe zatwierdzenia | Organ ds. szybkiego reagowania | Bez opóźnień |
Zespoły ds. bezpieczeństwa mogą teraz aktywnie interweniować w takich przypadkach, zamiast tylko reagować na szkody po ich wystąpieniu, ale wiąże się to z nowymi zagrożeniami, takimi jak potencjalne błędy w systemach zarządzania rolami.
Mimo że ten paradygmat projektowy nie wiąże się z żadnym ryzykiem związanym z kontrolą dostępu, niesie ze sobą duże kompromisy, w tym niemożność podjęcia działań w sytuacjach awaryjnych i ogromne koszty weryfikacji z góry.
Budowanie odpornych systemów od samego początku
Luka w zabezpieczeniach klucza prywatnego, która przyczyniła się do prawie połowy wszystkich kradzieży kryptowalut w 2024 r., jest problemem, którego nie można ignorować ze względu na wybory dotyczące kontroli dostępu do architektury dokonane na początku procesu projektowania. Chociaż konwencjonalna identyfikacja luk w zabezpieczeniach jest nadal konieczna, podstawowe decyzje projektowe będą musiały być rozważane znacznie wcześniej w cyklu rozwoju.
Środki, które można podjąć w świecie rzeczywistym w celu poprawy bezpieczeństwa, obejmują:
- Szczera analiza obecnego stanu dojrzałości protokołu
- Wdrożenie umów z blokadą czasową dotyczących funkcji administracyjnych
- Odpowiednie systemy monitorowania trybów administracyjnych wysokiego ryzyka
- Mapowanie funkcji uprzywilejowanych i podział na role logiczne
- Stosowanie zasad minimalnych uprawnień
- Identyfikacja elementów projektu odpowiednich dla niezmiennych wzorców
Programiści mogą tworzyć protokoły, które są zarówno innowacyjne, jak i solidne, poprzez zrozumienie ram dojrzałości i świadomy wybór wzorców projektowych, które pozwalają uniknąć polegania na zaufaniu lub rozprzestrzeniania się kompromisów.
Wymaga to zainwestowania w odporność operacyjną na pierwszych etapach rozwoju, upewniając się, że protokoły są odporne nie tylko na ingerencje techniczne, ale także na czynniki ludzkie, które sprawiają, że naruszenie klucza prywatnego jest tak skutecznym źródłem zagrożeń.
