Аудит блокчейна: шаги для обеспечения безопасности сети

Block-chain 24Publicado a 2022-08-31Actualizado a 2022-08-31

Resumen

Чтобы фирмы, работающие с блокчейнами, могли проверить свои внутренние протоколы безопасности, они должны пройти тщательный аудит. Вот краткое изложение того, как проходит процесс.

Чтобы фирмы, работающие с блокчейнами, могли проверить свои внутренние протоколы безопасности, они должны пройти тщательный аудит. Вот краткое изложение того, как проходит процесс.

За последние несколько лет платформы блокчейна оказались в центре большинства технических дискуссий по всему миру. Это связано с тем, что данная технология не только лежит в основе почти всех существующих сегодня криптовалют, но также поддерживает ряд независимых приложений. В связи с этим использование блокчейна проникло во множество новых секторов, включая банковское дело, финансы, управление логистикой поставок, здравоохранение и игры.

В результате этой растущей популярности приобрело особую значимость все, что касается аудита блокчейна. И это правильно. Хотя блокчейны позволяют осуществлять децентрализованные одноранговые транзакции между отдельными лицами и компаниями, они не застрахованы от проблем взлома и проникновения третьих лиц.

Всего несколько месяцев назад злоумышленники смогли взломать блокчейн-платформу Ronin Network, ориентированную на игры, и в конечном итоге украсть более 600 миллионов долларов. Точно так же в конце прошлого года платформа Poly Network на основе блокчейна стала жертвой хакерской уловки, в результате которой экосистема потеряла пользовательские активы на сумму более 600 миллионов долларов. Существует несколько общих проблем безопасности, связанных с текущими сетями блокчейна.

Проблемы безопасности блокчейна

Несмотря на то, что технология блокчейн известна своим высоким уровнем безопасности и конфиденциальности, было довольно много случаев, когда сети содержали лазейки и уязвимости, связанные с небезопасной интеграцией и взаимодействием со сторонними приложениями и серверами.

Также было обнаружено, что некоторые блокчейны страдают от функциональных проблем, включая уязвимости в их собственных смарт-контрактах. На данный момент иногда смарт-контракты — фрагменты самоисполняемого кода, которые запускаются автоматически при выполнении предопределенных условий — имеют определенные ошибки, которые делают платформу уязвимой для хакеров.

Наконец, на некоторых платформах работают приложения, которые не прошли необходимую оценку безопасности, что делает их потенциальными точками отказа, которые могут поставить под угрозу безопасность всей сети на более позднем этапе. Несмотря на эти вопиющие проблемы, многие блокчейн-системы еще не прошли серьезную проверку безопасности или независимый аудит безопасности.

Как проводятся аудиты безопасности блокчейна?

Несмотря на то, что за последние годы на рынке появилось несколько автоматизированных протоколов аудита, они не так эффективны, как эксперты по безопасности, вручную использующие имеющиеся в их распоряжении инструменты для проведения подробного аудита сети блокчейна.

Каждая строка кода, содержащаяся в смарт-контрактах системы, может быть должным образом проверена и протестирована с помощью программы статического анализа. Ниже перечислены ключевые шаги, связанные с процессом аудита блокчейна.

Установка цели аудита

Нет ничего хуже, чем опрометчивый аудит безопасности блокчейна, поскольку он может не только привести к путанице в отношении внутренней работы проекта, но и отнять много времени и ресурсов. Поэтому, чтобы не застрять с отсутствием четкого направления, лучше всего, если компании четко обозначат, чего они хотят достичь с помощью своего аудита.

Как следует из названия, аудит безопасности предназначен для выявления ключевых рисков, потенциально влияющих на систему, сеть или технологический стек. На этом этапе процесса разработчики обычно сужают свои цели, определяя, какую именно область своей платформы они хотели бы оценить с наибольшей строгостью.

Мало того, для аудитора, а также для рассматриваемой компании лучше всего наметить четкий план действий, которому необходимо следовать в течение всей операции. Это может помочь предотвратить ошибку при оценке безопасности и обеспечить наилучший возможный результат процесса.

Определение ключевых компонентов экосистемы блокчейна

После того, как основные цели аудита определены, следующим шагом обычно является определение ключевых компонентов блокчейна, а также его различных каналов потока данных. На этом этапе аудиторские группы тщательно анализируют собственную технологическую архитектуру платформы и связанные с ней варианты использования.

Принимая участие в любом анализе смарт-контрактов, аудиторы сначала анализируют текущую версию исходного кода системы, чтобы обеспечить высокую степень прозрачности на последних этапах контрольного следа. Этот шаг также позволяет аналитикам различать версии кода, которые ранее были проверены, по сравнению с любыми новыми изменениями, которые могли быть внесены в него с момента начала процесса.

Изолирование ключевых проблем

Не секрет, что сети блокчейнов состоят из нод и интерфейсов прикладного программирования (API), соединенных друг с другом с помощью частных и общедоступных сетей. Поскольку эти организации отвечают за передачу данных и другие основные транзакции в сети, аудиторы, как правило, изучают их очень подробно, проводя различные тесты, чтобы убедиться, что нигде в их структурах нет цифровых утечек.

Моделирование угроз

Моделирование угроз является одним из наиболее важных аспектов тщательной оценки безопасности блокчейна. В базовом смысле моделирование угроз позволяет более легко и точно обнаруживать потенциальные проблемы, такие как подделка и фальсификация данных. Это также может помочь в изоляции любых потенциальных атак типа «отказ в обслуживании», а также в выявлении любых возможностей манипулирования данными, которые могут существовать.

Решение поставленных задач

После тщательного анализа всех потенциальных угроз, связанных с конкретной сетью блокчейнов, аудиторы обычно используют определенные методы белого (а-ля этического) взлома для использования выявленных уязвимостей. Это делается для того, чтобы оценить их серьезность и потенциальное долгосрочное воздействие на систему. Наконец, аудиторы предлагают меры по исправлению, которые разработчики могут использовать для лучшей защиты своих систем от любых потенциальных угроз.

Аудит блокчейна является обязательным в сегодняшней экономической ситуации

Как упоминалось ранее, большинство аудитов блокчейнов начинаются с анализа базовой архитектуры платформы, чтобы выявить и устранить возможные нарушения безопасности из самого первоначального проекта. После этого проводится обзор используемой технологии и структуры ее управления. Наконец, аудиторы стремятся выявить проблемы, связанные со смарт-контактами и приложениями, и изучить API-интерфейсы и SDK, связанные с блокчейном. После завершения всех этих шагов компании присваивается рейтинг безопасности, сигнализирующий о ее готовности к выходу на рынок.

Аудит безопасности блокчейна имеет большое значение для любого проекта, поскольку он помогает выявлять и устранять лазейки в безопасности и неисправные уязвимости, которые могут преследовать проект на более позднем этапе его жизненного цикла.

Lecturas Relacionadas

Las acciones de chips lideran las caídas en Wall Street, ¿las operaciones con IA están siendo afectadas por las tasas de interés y los rendimientos?

Las acciones de chips lideran las caídas en Wall Street, arrastrando a todo el sector tecnológico y de IA. El Nasdaq cayó un 2,2% y el S&P 500 un 1,4% el 23 de junio. La presión proviene de dos frentes: el repentino endurecimiento de las expectativas de subida de tasas de la Fed y las dudas sobre cuándo las grandes inversiones en IA de las tecnológicas se traducirán en ganancias claras. Las ventas se concentraron primero en la cadena de hardware: Nvidia cayó un 4%, Micron se desplomó un 13,2%, y fabricantes de memoria como SK Hynix y Samsung también sufrieron fuertes pérdidas. Esto indica que los inversores están tomando ganancias en los activos más sobrecomprados. El cambio en el sentimiento sobre las tasas de interés presiona a las acciones de crecimiento con valuaciones elevadas, como las de IA. Simultáneamente, los mercados comienzan a cuestionar la rentabilidad de los masivos gastos de capital en IA de gigantes como Alphabet o Amazon. Aunque la demanda de hardware para IA sigue siendo sólida, el mercado está reevaluando el precio que está dispuesto a pagar por un crecimiento futuro en un entorno de dinero más caro y rentabilidad aún lejana. Los próximos informes de empresas como Micron y los datos de inflación serán claves para determinar si esto es un ajuste saludable o el inicio de un cambio más profundo.

marsbitHace 35 min(s)

Las acciones de chips lideran las caídas en Wall Street, ¿las operaciones con IA están siendo afectadas por las tasas de interés y los rendimientos?

marsbitHace 35 min(s)

Nuevo artículo de OpenAI: ¿Cómo entrenar a una IA que 'no se vuelve maliciosa bajo presión'?

Los modelos de IA, aunque aparentemente fiables, pueden cruzar límites de seguridad bajo presión o entrenamiento malicioso. Un nuevo artículo de OpenAI, "Reinforcement Learning Towards Broadly and Persistently Beneficial Models", explora cómo mantener un comportamiento beneficioso y estable en escenarios nuevos y de alto riesgo, más allá de listas de prohibiciones. La investigación se centra en usar el aprendizaje por refuerzo para fomentar rasgos positivos, como honestidad, transparencia, capacidad de corrección y percepción de riesgos, en lugar de solo evitar comportamientos dañinos. El estudio utilizó un conjunto de datos de diálogo sintético que abarca 12 áreas como medicina y derecho, evaluando 15 rasgos beneficiosos. Los resultados mostraron que reemplazar solo el 5% de los datos de entrenamiento estándar con ejemplos de estos rasgos mejoró significativamente el alineamiento del modelo en múltiples evaluaciones, incluso en dominios no relacionados (por ejemplo, entrenar con datos de salud mejoró el comportamiento en código o ética). Además, los modelos entrenados con estos rasgos demostraron una mayor "persistencia del alineamiento", manteniendo un mejor comportamiento bajo "prompts" adversos o ajustes finos maliciosos, y mostraron una degradación menor y menos generalizada. Esto sugiere que el aprendizaje fomenta una tendencia subyacente hacia la prudencia y la toma de decisiones robustas. OpenAI señala que esto no resuelve completamente el problema de alineamiento, pero representa un paso hacia modelar un comportamiento más confiable y predecible en tareas complejas.

marsbitHace 38 min(s)

Nuevo artículo de OpenAI: ¿Cómo entrenar a una IA que 'no se vuelve maliciosa bajo presión'?

marsbitHace 38 min(s)

Goldman Sachs analiza nuevamente la situación del auge de la IA: 'La fuerte rentabilidad superará las preocupaciones de valoración' antes del pico del ciclo de inversión, y la volatilidad aumentará aún más

La burbuja de la IA no repite exactamente la burbuja puntocom de 1999-2000, según Goldman Sachs. El impulso clave actual son las sólidas ganancias y el aumento del gasto de capital, no solo la expansión de valoraciones. Aunque las valoraciones no se han disparado porque las expectativas de beneficios también han subido, el mercado ya ha descontado un optimismo significativo, haciéndolo más vulnerable a cualquier cambio en la narrativa. El verdadero riesgo ya no es una "burbuja de valoración", sino una posible "burbuja de ganancias". El ciclo de gasto en IA está en auge, impulsando los beneficios de empresas de chips, nube e infraestructura. Sin embargo, una vez que este ciclo de inversión alcance su punto máximo, la sostenibilidad de esos altos beneficios se pondrá a prueba. Para justificar los actuales precios de mercado, se asume que los líderes de la IA capturarán una parte desproporcionada de los beneficios de productividad a largo plazo, una narrativa apoyada por los datos actuales pero con un futuro incierto. Además, la economía no relacionada con la IA es comparativamente más débil que en la década de 1990, por lo que el auge de la IA podría estar compensando esa debilidad. Esto hace que el mercado sea más dependiente de la narrativa de la IA. En consecuencia, se espera que la volatilidad aumente. Goldman Sachs sugiere que, aunque las fuertes ganancias pueden seguir impulsando el mercado antes del pico de inversión, los inversores deberían considerar proteger sus carteras contra posibles caídas.

marsbitHace 40 min(s)

Goldman Sachs analiza nuevamente la situación del auge de la IA: 'La fuerte rentabilidad superará las preocupaciones de valoración' antes del pico del ciclo de inversión, y la volatilidad aumentará aún más

marsbitHace 40 min(s)

Zuckerberg se adentra en el mercado de predicciones

Mark Zuckerberg está liderando una incursión de Meta en el creciente mercado de predicciones, según información de The New York Times. La compañía está desarrollando una aplicación llamada 'Arena', que competiría con plataformas como Polymarket y Kalshi. Inicialmente, Arena funcionará con un sistema de puntos, permitiendo a los usuarios predecir resultados de eventos políticos, deportivos y culturales para acumular puntos y logros, sin dinero real involucrado. Meta utilizaría su enorme base de más de 3,560 millones de usuarios diarios para impulsar la adopción de la aplicación independiente. Este movimiento responde al rápido crecimiento del sector de los mercados de predicción, cuyos volúmenes de operaciones han pasado de 50.000 millones de dólares en 2025 a más de 130.000 millones en 2026, con plataformas rivales alcanzando valoraciones de miles de millones. Para Meta, Arena representa una nueva oportunidad de ingresos mediante tarifas por transacción y datos valiosos para publicidad. Sin embargo, el proyecto enfrenta desafíos, incluido el escrutinio regulatorio (CFTC y leyes de apuestas estatales) y posibles críticas sobre adicción. Aunque es una evolución de una app similar cerrada en 2022, Arena se alinea con la estrategia de Meta de lanzar aplicaciones independientes para capturar nuevas tendencias sociales.

Foresight NewsHace 49 min(s)

Zuckerberg se adentra en el mercado de predicciones

Foresight NewsHace 49 min(s)

¿Es la recuperación bursátil de los semiconductores el fin de un ajuste técnico o un cambio de tendencia?

**Resumen de la noticia sobre la recuperación bursátil de los semiconductores:** El 23 de junio, el mercado surcoreano se desplomó, con el Kospi cayendo un 10% y valores como Samsung y SK Hynix perdiendo más de un 12%. Un día después, una fuerte recuperación sugirió una posible recomposición de posiciones tras la venta masiva, impulsada en parte por las expectativas de mayores retornos para los accionistas de Samsung. Sin embargo, la pregunta clave es si el rebote marca el fin de una corrección técnica o el inicio de una reversión de tendencia. El motor central del sector ha sido la demanda de memoria HBM para servidores de IA, que otorgó un inusual poder de fijación de precios a fabricantes como Micron, Samsung y SK Hynix. La próxima prueba clave serán los resultados de Micron (previstos para el 24 de junio). El mercado ya anticipa buenas cifras; lo que realmente buscará son señales de que la presión alcista en los precios de la memoria HBM y la visibilidad de la demanda siguen siendo sólidas, sosteniendo así las elevadas valoraciones del sector. El riesgo actual no es la desaparición de la demanda de IA, sino la menor tolerancia del mercado a cualquier desaceleración en el ritmo de crecimiento o a señales de que la futura expansión de la oferta (hacia 2027) pueda aliviar la tensión en los precios. Por tanto, la recuperación actual se interpreta más como una pausa para validar los fundamentos, que dependerán de que Micron y otros actores clave mantengan o mejoren sus perspectivas en los próximos informes.

marsbitHace 1 hora(s)

¿Es la recuperación bursátil de los semiconductores el fin de un ajuste técnico o un cambio de tendencia?

marsbitHace 1 hora(s)

Trading

Spot
Futuros
活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow