Hacken分析師表示，許多加密貨幣公司甚至無法達(dá)到加密貨幣安全標(biāo)準(zhǔn)的基線，導(dǎo)致數(shù)十億人面臨內(nèi)部威脅和憑證泄露。

在加密貨幣中，一次安靜的智能合同更新可以撤銷數(shù)月的安全工作。然而，區(qū)塊鏈取證公司Hacken的分析師表示，該行業(yè)仍然將審計(jì)視為品牌工具，而不是它們應(yīng)該成為的呼吸檢查站。

Hacken in首席執(zhí)行官Dyma Budorin在接受Crypto.news獨(dú)家采訪時表示，審核“不應(yīng)被視為主頁上的復(fù)選框或徽標(biāo)”。在他看來，太多的項(xiàng)目依賴于其代碼的靜態(tài)快照并就此結(jié)束。但一旦代碼發(fā)生變化--而且經(jīng)常發(fā)生變化--審計(jì)的相關(guān)性就會消失。他警告說：“一旦合同變更，每項(xiàng)審計(jì)都會過時?！?/p>

問題不僅在于缺乏審計(jì)，還在于缺乏在部署后監(jiān)控代碼的系統(tǒng)。哈肯認(rèn)為，如果沒有持續(xù)的驗(yàn)證和重新審計(jì)，團(tuán)隊(duì)可能會陷入錯誤的安全感。

“一個被忽視的功能可能會打開災(zāi)難之門。真正的問題不僅在于審計(jì)覆蓋范圍，還在于審計(jì)的相關(guān)性。我們需要跟蹤每一項(xiàng)變更、重新驗(yàn)證假設(shè)并在需要時觸發(fā)重新審計(jì)的系統(tǒng)。否則，只需一次無聲更新，就能破解您認(rèn)為安全的一切?！?/p>

迪瑪·布多林

該團(tuán)隊(duì)建議轉(zhuǎn)向更加標(biāo)準(zhǔn)化和自動化的檢查。象征性執(zhí)行、模糊化和正式驗(yàn)證等事情應(yīng)該成為發(fā)射清單的一部分，而不是可選的附加內(nèi)容。他們表示，在沒有首先通過一組基線自動化測試的情況下，任何智能合同都不應(yīng)該上線。

但即便如此還不夠。合同生態(tài)系統(tǒng)發(fā)生變化。升級發(fā)生。有時，他們不會--即使他們應(yīng)該這樣做。哈肯希望看到對可移植性有更好的控制。當(dāng)發(fā)現(xiàn)風(fēng)險時，協(xié)議應(yīng)鼓勵修補(bǔ)甚至停用遺留合同。正如哈肯團(tuán)隊(duì)指出的那樣，“補(bǔ)丁往往是靠運(yùn)氣，或者更糟糕的是，任由黑客擺布。”

最后，傳達(dá)的信息很簡單：如果加密貨幣想要成長為基礎(chǔ)設(shè)施層--基礎(chǔ)性的，而不僅僅是推測性的--那么安全性就不能成為事后的想法。

多重簽名還不夠

但代碼并不總是問題。在一些最大的加密貨幣漏洞中，鏈下內(nèi)容首先崩潰。以Bybit為例。由于多重簽名設(shè)置受損，該交易所損失了近15億美元。不是因?yàn)榇a中的錯誤，而是因?yàn)椴僮靼踩钥雌饋砗懿睢?/p>

“許多加密貨幣平臺忽視了基本的鏈下安全原則、安全運(yùn)營實(shí)踐以及加密貨幣安全標(biāo)準(zhǔn)中概述的具體要求，使自己容易受到類似威脅?！?/p>

Dmytro Yasmanovych，Hacken合規(guī)主管

亞斯曼諾維奇表示，該團(tuán)隊(duì)建議加密貨幣公司緊急實(shí)施或加強(qiáng)符合CCSS的幾項(xiàng)實(shí)用安全控制。例如，其中包括在所有關(guān)鍵鏈下操作中使用安全的硬件支持方法（例如生物識別解決方案或物理令牌）部署多因素身份驗(yàn)證，以抵御基于證書的攻擊。

他還強(qiáng)調(diào)需要制定明確的交易授權(quán)政策，并制定有記錄的角色、批準(zhǔn)門檻和防止未經(jīng)授權(quán)活動的程序。此外，Yasmanovych建議公司為敏感操作（包括交易請求和批準(zhǔn)）定義和執(zhí)行安全、加密的通信渠道。

打扮成創(chuàng)新的退出流動性

但哈肯最具爭議的見解也許是針對LIBRA代幣的，這是一種政治炒作的memecoin，最終以教科書般的地毯拉來告終。據(jù)哈肯團(tuán)隊(duì)稱，內(nèi)部人士可能通過市場炒作出售而獲得了超過3億美元的獎金。

LIBRA代幣聲稱引入“集中流動性”，但對于哈肯的首席執(zhí)行官來說，事實(shí)并非如此。

“對于新來者來說，聽起來他們是在強(qiáng)化市場或?yàn)榇鷰旁鲋?，但?shí)際上，這只是一種在特定價格點(diǎn)下大額賣出訂單的復(fù)雜方式。當(dāng)價格因炒作而飆升時，這些訂單立即將代幣轉(zhuǎn)換為現(xiàn)金，讓內(nèi)部人士帶著巨額利潤退出。這不是創(chuàng)新，而是退出流動性。永遠(yuǎn)不要投資這樣的事情。這扼殺了人們對該領(lǐng)域的信任，并將該行業(yè)變成了馬戲團(tuán)?！?/p>

迪瑪·布多林

哈肯認(rèn)為，加密貨幣可以而且應(yīng)該借鑒傳統(tǒng)金融的一些想法來避免此類事情。在受監(jiān)管的市場中，內(nèi)部人士必須披露主要持股和計(jì)劃出售。也許加密項(xiàng)目應(yīng)該開始做同樣的事情。披露代幣組學(xué)、授予時間表和團(tuán)隊(duì)分配應(yīng)該是常態(tài)，而不是例外。

雖然全面監(jiān)管仍然是一個爭論的問題，但Hacken建議該領(lǐng)域至少需要監(jiān)督機(jī)制。想想第三方監(jiān)控平臺、公共評級系統(tǒng)或監(jiān)管機(jī)構(gòu)，它們可以在為時已晚之前標(biāo)記奇怪的代幣行為或異常的流動性事件。在那之前，信任將仍然不穩(wěn)定。每一個退出騙局或秘密造幣廠只會讓加密貨幣進(jìn)一步遠(yuǎn)離公共合法性。