Cours de la baie

Le Dernière violation de sécurité autour de 1,5 milliard de dollars Dans Bybit, la deuxième bourse de la crypto au monde au volume commercial a envoyé des ondulations par le biais de la communauté des actifs numériques. Avec des actifs clients de 20 milliards de dollars sous garde, ByBit a été confronté à un défi important lorsque la validité a été enregistrée dans les contrôles de sécurité lors d’un transfert de routine d’un portefeuille « froid » un portefeuille « chaud » en ligne utilisé pour le trading quotidien.

Les rapports initiaux montrent que la vulnérabilité a été impliquée dans l’implémentation Web3 qui est devenue chez elle via Gnosis Safe-A portefeuille multi-symbolique qui utilise en dehors des techniques d’échelle de la chaîne, contient une architecture concentrée qui peut être mise à niveau et une interface utilisateur. Un code malveillant qui est réparti via l’architecture de mise à niveau a fait de ce qui semble être un transfert de routine en fait un contrat différent. L’incident a déclenché environ 350 000 retraits lorsque les utilisateurs se sont précipités pour sécuriser leurs fonds.

Bien qu’il soit évident en termes absolus, cette violation – estimée dans moins de 0,01% de la capitalisation totale du Krypto-Correal – démontre comment il s’agissait d’une crise existentielle est devenue un événement opérationnel de gestion. La promesse rapide de Bybit que tous les fonds non explicatifs seront couverts par ses réserves ou ses prêts d’affiliation démontrent en outre leur maturation.

Depuis le début de la crypto – pièces de monnaie, une erreur humaine – aucune imperfection technique dans les protocoles de blockchain – n’a toujours été vulnérable. notre Recherche examinant Plus d’une décennie de grandes vaches de crypto-monnaie montre que les facteurs humains ont toujours contrôlé. En 2024 seulement, environ 2,2 milliards de dollars ont été volés.

Ce qui se démarque, c’est que ces vaches continuent de se produire pour des raisons similaires: les organisations ne sont pas en mesure d’assurer les systèmes car ils ne reconnaîtront pas explicitement leur responsabilité ou s’appuient sur des solutions personnalisées qui préservent l’illusion que leurs exigences sont particulièrement différentes des paramètres de sécurité établis. Ce schéma de sécurité et de méthodologies non éprouvés est perpétué par la vulnérabilité.

Alors que les technologies de la blockchain et les technologies cryptographiques se sont montrées cryptographiques, le maillon le plus faible de la sécurité n’est pas la technologie mais l’élément humain qui interface. Ce modèle reste incroyablement cohérent avec les premiers jours de crypto-monnaie dans les environnements institutionnels sophistiqués d’aujourd’hui, et Résonne les problèmes de cybersécurité chez d’autres – Plus traditionnel – Domineret

Ces erreurs humaines incluent une gestion ratée des clés privées, où PerdusOu exposer les clés privées nuire à la sécurité. Les attaques d’ingénierie sociale restent une grande menace alors que les pirates manoeuvrent les victimes pour éliminer les données sensibles en creusant, en usurpant l’identité et en fraude.

Solutions de sécurité-centrale humaine

Les solutions purement techniques ne peuvent pas résoudre ce dans un problème humain. Alors que l’industrie a investi des milliards dans des indices de sécurité technologique, il a relativement légèrement investi dans le traitement des facteurs humains qui sont systématiquement activés.

Une barrière de sécurité efficace est la réticence à reconnaître la propriété et la responsabilité des systèmes vulnérables. Les organisations qui ne sont pas en mesure de décrire clairement ce qu’elles contrôlent – ou insistent sur le fait que leur environnement est trop unique pour mettre en œuvre des principes de sécurité bien établis – pour créer des taches aveugles qui sont facilement utilisées.

Cela reflète ce que l’expert en sécurité Bruce Schneier a appelé une loi sur la sécurité: Les systèmes conçus isolément par des équipes convaincus de leur caractère unique contiennent presque toujours des vulnérabilités critiques qui géreraient les pratiques de sécurité.Et l’industrie de la cryptographie est tombée à plusieurs reprises dans ce piège, et souvent la construction de cadres de sécurité des rayures au lieu d’ajuster les approches éprouvées du financement traditionnel et de la sécurité de l’information.

Le paradigmatique envers la planification de la sécurité axé sur l’homme est essentiel. Ironiquement, alors que le financement traditionnel est passé à partir d’une seule partie (mot de passe) pour le multi-facteurs (MFA), la crypto-monnaie précoce, la sécurité a ramené à la vérification de facteurs uniques via des clés privées ou des phrases de semences sous la sécurité de la sécurité par le cryptage uniquement. Cette abstraction était dangereuse, ce qui a conduit à la vitesse industrielle de diverses vulnérabilité et survivants. Des milliards de dollars de pertes plus tard, nous atteignons les approches de sécurité les plus sophistiquées que les fonds traditionnels sont satisfaits.

Les solutions modernes et la technologie de réglementation devraient reconnaître que l’erreur humaine est inévitable et que les systèmes restent en sécurité malgré ces erreurs au lieu de supposer des normes humaines parfaites pour les protocoles de sécurité. Il est important de noter que la technologie ne modifie pas les incitations de base. Cette application est disponible en coûts directs et évite ses dommages de réputation.

Les mécanismes de sécurité doivent se développer au-delà de la protection des systèmes techniques pour regarder les erreurs humaines et être flexibles des pièges communs. Les certificats statiques, tels que les mots de passe et le jeton de vérification, sont insuffisants contre les attaques qui exploitent le comportement humain inattendu. Les systèmes de sécurité doivent intégrer l’anomalie comportementale pour marquer des activités suspectes.

Les clés privées stockées en un seul endroit et facilement accessibles sont un excellent risque de sécurité. Le stockage clé du stockage entre les environnements non online et les environnements en ligne facilite le compromis. Par exemple, le stockage d’une clé dans un module de sécurité matérielle tout en maintenant une autre partie dans une situation en ligne améliore la sécurité, nécessite beaucoup de vérification pour réinciter les principes multi-facteurs de la sécurité de la carto-monnaie.

Les étapes peuvent être exploitées pour une approche de sécurité humaine

Un cadre de sécurité central complet doit faire référence à la vulnérabilité de la crypto-monnaie à plusieurs niveaux, avec des approches coordonnées à travers l’écosystème et non dans des solutions isolées.

Pour les utilisateurs individuels, les solutions de portefeuille matérielle restent la meilleure norme. Cependant, de nombreux utilisateurs préfèrent le confort à la garantie de sécuritéLa deuxième seconde consiste donc à échanger des choses pour mettre en œuvre des pratiques de la tradition du financement: par défaut (mais ajusté) des périodes d’attente pour les transferts importants, les systèmes de couches avec divers niveaux d’autorisation et une éducation à la sécurité sensible au contexte opéré aux points de décision critiques.

L’échange de choses et d’institutions doit passer d’une hypothèse de compatibilité utilisateur parfaite aux systèmes de conception s’attendant à une erreur humaine. Il commence par une conscience explicite que les composants et les processus qu’ils contrôlent et sont donc responsables de la sécurité.

Le déni ou l’ambiguïté concernant les limites de la garantie sape directement les efforts de sécurité. Après avoir déterminé cette garantie, les organisations doivent appliquer des analyses comportementales pour détecter les modèles inhabituels, nécessiter une autorisation de grande valeur à grande valeur et répandre une gamme automatique « électrique » qui limite les dommages potentiels s’ils sont blessés.

De plus, la complexité des outils Web3 crée de grandes surfaces d’attaque. Les schémas de sécurité établis simplifiés et adoptés réduiront la vulnérabilité sans sacrifier les fonctionnalités.

Au niveau de l’industrie, Les régulateurs et les dirigeants peuvent déterminer les facteurs humains standard dans les certificats de sécurité, mais il y a une compensation Entre l’innovation et la sécurité. L’événement Bibib montre comment l’écosystème de la crypto-monnaie a évolué à partir de ses premiers jours fragiles pour une infrastructure financière plus durable. Bien que les violations de la sécurité soient attirées – et ont probablement toujours fait – le caractère est passé par rapport aux menaces existentielles qui peuvent ruiner la confiance en Krypto en tant que concept à des défis opérationnels qui nécessitent des solutions d’ingénierie régulières.

L’avenir de la cryptosécurité ne fait pas littéralement dans le but impossible d’éliminer toute erreur humaine mais dans la conception de systèmes qui restent en sécurité malgré des erreurs humaines inévitables. Cela nécessite une première reconnaissance quels aspects du système relèvent de la responsabilité de l’organisation et ne maintiennent pas l’ambiguïté conduisant à des lacunes de sécurité.

En reconnaissant les restrictions humaines et les systèmes de construction les habitant, l’écosystème de la crypto-monnaie peut continuer à se développer à partir de la curiosité spéculative pour une forte infrastructure financière et ne pas assumer une résistance parfaite dans les protocoles de sécurité.

La clé d’un test de cryptus efficace sur le marché des adolescents ne se trouve pas dans des solutions techniques plus complexes mais dans une conception plus réfléchie. En priorisant l’architecture de sécurité qui vient de la réalité comportementale et des restrictions humaines, nous pouvons construire un système écologique financier plus numérique qui continue de fonctionner sécurisé quand – pas si – des erreurs humaines se produisent.