Співзасновники CertiK обговорюють загрози безпеці Веб 3.0 та стратегії захисту

Нещодавно відома технологічна медіа компанія провела інтерв'ю з співзасновником і CEO CertiK. Сторони детально обговорили останній звіт про безпеку, опублікований компанією, еволюцію методів хакерських атак та інноваційні шляхи технологій безпеки.

Цей генеральний директор підкреслив, що безпека повинна розглядатися як основний принцип, а не як заходи, що вживаються після виникнення проблем. Він виступає за те, щоб безпека була інтегрована в загальну стратегію з самого початку запуску проекту, вважаючи, що проактивна стратегія "безпека на першому місці" є критично важливою для створення надійних застосунків Веб 3.0. Конкретно він рекомендує активно використовувати формальну верифікацію, нульові знання, багатосторонні обчислення та інші передові технології для комплексного посилення захисних можливостей блокчейн-протоколів і смарт-контрактів.

Ця прихильність до безпеки не є продуктом короткострокових ринкових трендів, а походить від довготривалого пошуку та практики цього генерального директора в галузі технологічних ідеалів. Від участі в розробці операційної системи, що вважається "бездоганною", до сьогоднішнього дня, коли він створює безпечний захисний пояс для цифрових активів вартістю понад 5300 мільярдів доларів, він завжди прагне захистити безпеку галузі та підвищити довіру до неї.

Цей CEO неодноразово заявляв, що безпека не є конкурентною перевагою, а спільною відповідальністю. Він перетворює академічні досягнення лабораторії на практики безпеки, що впроваджуються в галузь, і впроваджує концепцію "спільної відповідальності" у співпраці в галузі. Цей технічний лідер, який вийшов з провідних академічних закладів, використовує верифікованість математичної логіки для боротьби з невизначеністю хакерських атак, закріплюючи координати безпеки епохи Веб 3.0 між технічними ідеалами та реальністю.

Інтерв'ю: Захист передового рубежу Веб 3.0 — Аналіз загроз безпеці блокчейну та методів захисту

У швидко зростаючій сфері Веб 3.0 безпека блокчейн стала пріоритетом. CertiK, очолюваний професором комп'ютерних наук Колумбійського університету, прагне всебічно зміцнити безпеку екосистеми блокчейн. Компанія покращує безпеку блокчейн та смарт-контрактів за допомогою технології формальної верифікації і стала лідером галузі в безпеці Веб 3.0.

Останній випуск звіту про безпеку виявив нові тенденції у крадіжці цифрових активів та загрозах безпеці. Звіт також розглядає передові технології, такі як нульові знання та багатосторонні обчислення, надає практичні поради розробникам блокчейну та аналізує подвійне призначення ШІ у сфері безпеки. Оскільки традиційні фінансові установи поступово заходять у блокчейн, виклики безпеки також зростають, і активні заходи для захисту користувачів та підтримки цілісності екосистеми стають вкрай важливими.

Q: Будь ласка, коротко представте себе та основну місію CertiK.

A: Я є співзасновником і CEO CertiK, а також професором Колумбійського університету. Моя місія з CertiK глибоко закорінена в зміцненні безпеки екосистеми Веб 3.0.

CertiK була заснована в 2017 році, основна ідея полягає в тому, щоб використовувати технології формальної верифікації для постійного моніторингу та посилення безпеки блокчейн-протоколів і смарт-контрактів, забезпечуючи їх безпечну та правильну роботу. Ми інтегруємо передові рішення з академічної та промислової сфер, щоб підтримати застосунки Веб 3.0 у досягненні сталого розширення за умови забезпечення безпеки. На сьогоднішній день ми надали послуги понад 4,900 підприємствам, захистивши понад 530 мільярдів доларів цифрових активів та виявивши понад 115,000 кодових вразливостей.

Q: Які ключові висновки містить нещодавно опублікований звіт про безпеку CertiK?

A: У першому кварталі 2025 року збитки внаслідок шахрайства в блокчейні становили близько 1,66 мільярда доларів, що на 303% більше, ніж у попередньому кварталі. Це в основному зумовлено хакерською атакою на одну з бірж наприкінці лютого, під час якої були вкрадені близько 1,4 мільярда доларів. Як і в попередніх кварталах, у цьому кварталі Ethereum залишався головною мішенню для атак, три інциденти безпеки призвели до збитків активів на 1,54 мільярда доларів. Ще більше шоку викликає те, що ми виявили, що в першому кварталі лише 0,38% вкрадених активів було успішно повернуто.

Q: Чи змінилися основні цілі атак на блокчейн у порівнянні з попередніми кварталами?

A: Тенденції першого кварталу 2025 року продовжують ситуацію, що склалася наприкінці 2024 року, де Ethereum залишається основною мішенню атак. У четвертому кварталі 2024 року на Ethereum сталося 99 інцидентів безпеки, а в першому кварталі - 93. Це постійна тема: протягом 2024 року проекти на базі Ethereum зазнали найбільшої кількості інцидентів безпеки; на горизонті 2025 року ця ситуація, здається, триває.

Один із випадків злому біржі є типовим прикладом: гаманці, що базуються на екосистемі Ethereum, зазнали вторгнення і понесли значні втрати. Причина, чому Ethereum став об'єктом атаки, полягає в тому, що його DeFi-протоколів багато, а обсяги заморожених активів величезні; з іншого боку, серед численних смарт-контрактів на Ethereum багато з них мають вразливості.

Q: Як блокчейн-безпека реагує на все більш складні методи атак?

A: Зловмисники все частіше використовують складні стратегії, такі як соціальна інженерія, технології штучного інтелекту, маніпуляції зі смарт-контрактами, щоб обійти існуючі механізми захисту. У зв'язку з широким застосуванням цифрових активів і зростанням їх оцінки, галузь повинна адаптуватися до нових умов, щоб забезпечити цілісність проекту та безпеку активів користувачів.

Сфера активно реагує на виклики, сприяючи розвитку інноваційних технологій, таких як нульові знання (ZKP) та безпека в блокчейні, які пропонують перспективні рішення для дедалі серйозніших проблем безпеки, забезпечуючи можливість аудиту транзакцій, відстеження атак і повернення активів при захисті конфіденційності. Багатосторонні обчислення (MPC) далі посилюють управління ключами, розподіляючи контроль над приватними ключами між кількома учасниками, що усуває ризик єдиної точки відмови та значно ускладнює несанкціонований доступ зловмисників до гаманців. З розвитком цих технологій безпеки вони відіграватимуть вирішальну роль у захисті від хакерських атак та підтримці цілісності децентралізованої екосистеми.

Q: Які поради з безпеки ви б дали розробникам блокчейну та командам проектів?

A: З самого початку безпека повинна бути пріоритетом, це має бути непорушним принципом. Інтеграція безпеки на кожному етапі розробки, а не виправлення проблем після їх виникнення, допомагає виявляти потенційні вразливості на ранніх стадіях, що в довгостроковій перспективі може зекономити багато часу та ресурсів. Ця проактивна стратегія "пріоритет безпеки" є критично важливою для створення надійних додатків Веб 3.0. Інтеграція безпеки в усі етапи розробки допомагає виявити вразливості заздалегідь, що дозволяє зекономити витрати на виправлення в подальшому.

Крім того, звернення до спеціалізованих організацій з безпеки блокчейн для проведення всебічного та справедливого стороннього аудиту також може надати незалежну точку зору, виявивши потенційні ризики, які внутрішня команда могла проігнорувати. Такі зовнішні оцінки забезпечують ключовий етап перевірки, що допомагає своєчасно виявляти та усувати вразливості, тим самим підвищуючи загальну безпеку проєкту та подальше підвищення довіри користувачів.

Q: Яку роль відіграє ШІ в безпеці блокчейну? Це позитивний вплив чи створює нові ризики?

A: Штучний інтелект є важливим інструментом нашої системи безпеки, і ми також включили його до основної стратегії забезпечення безпеки блокчейн-системи. Ми використовуємо технології ШІ для аналізу вразливостей та потенційних безпечних дефектів у смарт-контрактах, що допомагає нам виконувати повний аудит більш ефективно, ніж будь-коли раніше, але він не може замінити команду аудитів людських експертів.

Однак, атакуючі також можуть використовувати ШІ для посилення своїх атак. Наприклад, ШІ може бути використаний для виявлення вразливостей у коді, обходу механізмів консенсусу, систем захисту. Це означає, що планка безпеки підвищується, і з розширенням використання ШІ в галузі необхідно інвестувати в більш потужні рішення для забезпечення безпеки.

Q: Що таке формалізована верифікація? Як вона підвищує ефективність аудиту блокчейну?

A: Формалізована верифікація – це метод, що доводить, що комп'ютерні програми працюють так, як очікується, за допомогою математичних засобів. Вона виражає властивості програми у вигляді математичних формул і використовує автоматизовані інструменти для їх верифікації.

Ця технологія може бути широко застосована в різних сферах технічної індустрії, включаючи апаратний дизайн, програмну інженерію, кібербезпеку, AI та аудит смарт-контрактів. Але необхідно підкреслити, що формалізоване верифікація не призначена для заміни ручного аудиту. Щодо смарт-контрактів, формалізоване верифікація покладається на автоматизовані методи для оцінки логіки та поведінки контракту, тоді як ручний аудит проводиться експертами з безпеки для всебічної перевірки коду, дизайну та розгортання з метою виявлення потенційних ризиків безпеки. Обидва підходи доповнюють один одного, спільно підвищуючи загальну безпеку смарт-контрактів.

Q: З входом традиційних фінансових установ у світ блокчейн, як ви вважаєте, чи зміниться тип або складність загроз безпеці?

A: На ранніх стадіях Веб 3.0 та блокчейн-індустрії, зловмисники зазвичай націлювалися на окремих користувачів або невеликі проекти, використовуючи такі методи, як фішинг-атаки, RugPull та експлуатація вразливостей гаманців. Згідно з останнім квартальним звітом, який ми опублікували, ці виклики все ще існують. Проте, з приєднанням традиційних установ та великих підприємств, ризики безпеки мережевої цілісності також перейдуть у нову стадію. За цим перетворенням стоїть як зростання обсягу активів проектів, так і унікальні вимоги безпеки, регуляторні вимоги підприємств, а також глибока інтеграція блокчейну з традиційною фінансовою системою.

Оскільки більшість традиційних установ мають досвід боротьби з кіберзагрозами, ми очікуємо, що зловмисники також підвищать складність своїх атак, переходячи від атак на вразливості загальних гаманців до більш цілеспрямованих вразливостей на рівні підприємств, таких як помилки конфігурації, вразливості в користувацьких смарт-контрактах та безпекові недоліки в інтерфейсах інтеграції з традиційними системами.