گزارش سرتیک: کاهش ۵۱ درصدی ضررهای حاصل از هک‌های کریپتویی در سال گذشته

آخرین گزارش سرتیک (CertiK) کاهش قابل‌توجهی را در حوادث امنیتی ارزهای دیجیتال در سال ۲۰۲۳ نشان می‌دهد. مجموع زیان در ۷۵۱ رویداد به ۱.۸۴ میلیارد دلار کاهش یافته که نشان‌دهنده کاهش ۵۱ درصدی نسبت به سال ۲۰۲۲ است. هر حادثه به طور متوسط ۲.۴۵ میلیون دلار خسارت داشته که ده مورد اول ۱.۱۱ میلیارد دلار زیان به بار آورده است.

ماه نوامبر بیشترین ضرر را با ۳۶۳,۳۶۷,۳۲۷ دلار از ۴۵ حادثه به خود اختصاص داد، درحالی‌که سه‌ماهه سوم با ضرر ۶۸۶,۵۵۸,۴۷۲ دلار از ۱۸۳ هک، کلاهبرداری و سوءاستفاده در رتبه نخست قرار داشت.

کلید خصوصی: نه‌چندان خصوصی

حوادث مرتبط با افشای کلید خصوصی نزدیک به ۵۰ درصد از کل ضررها را به خود اختصاص داده است که بالغ بر ۸۸۰ میلیون دلار است. در گزارش سرتیک آمده است که این اعداد تنها از ۴۷ حادثه ناشی می‌شوند که تنها ۶.۳ درصد از کل حوادث امنیتی در طول سال را نشان می‌دهد، اما بیش از نیمی از خسارات را به خود اختصاص داده است. قابل‌ذکر است، شش مورد از ده حادثه امنیتی پرهزینه در طول سال ۲۰۲۳ به دلیل افشا و سوءاستفاده از کلید خصوصی بوده است.

حوادث مربوط به Multichain در ماه جولای باعث زیان ۱۲۵ میلیون‌دلاری شد. علی‌رغم ادعای عدم تمرکز، فاش شد که مدیرعامل این پلتفرم کنترل انحصاری بر سرورهای محاسباتی و کلیدهای خصوصی آن دارد. این آسیب‌پذیری با دستگیری مدیرعامل آشکار شد و ۱.۵ میلیارد دلار از طریق ارزش کل قفل شده (TVL) در پل Multichain برای کاربران غیرقابل‌دسترس شد.

به‌این‌ترتیب، سرتیک به کاربران خود پیشنهاد داد تا برخی از شیوه‌های مدیریت کلید خصوصی را اجرا کنند که عبارتند از:

• استفاده از کیف پول‌های چند امضایی برای توزیع کنترل، کاهش ریسک شکست‌های تک‌نقطه‌ای.
• انتخاب کیف پول‌های سخت‌افزاری برای ذخیره کلید ایمن.
• ذخیره‌کردن پشتیبان‌های کلید خصوصی به صورت آفلاین در مکان‌های امن مانند صندوق امانات.
• تعریف سیاست‌های دسترسی سخت‌گیرانه برای محدودکردن دسترسی کلید فقط به پرسنل مجاز.
• حفاظت از کلیدهای خصوصی با رمزگذاری قوی در قالب‌های امن.
• برای تشخیص دسترسی غیرمجاز، استفاده از کلید را به طور منظم بررسی و نظارت کنید.
• استفاده از کیف پول‌های سرد برای ذخیره‌سازی طولانی کلید خصوصی، به حداقل رساندن تهدیدات آنلاین.
• آموزش کارکنان مربوطه در مورد بهترین شیوه‌های مدیریت کلیدها، با تأکید بر امنیت و محرمانه بودن.
• در نظر گرفتن محاسبات چندطرفه (MPC) برای به‌اشتراک‌گذاری ایمن کلید بدون قرار گرفتن کل کلید در معرض یک طرف.
• استفاده از خدمات حرفه‌ای مدیریت کلید، به‌ویژه برای عملیات در سطح سازمانی، برای اطمینان از انطباق با استانداردهای صنعت.

سایر نکات برجسته

در همین حال، طبق یافته‌های سرتیک در زمینه بلاک چین، اتریوم به‌عنوان پیشرو در ضررها ظاهر شده است. این گزارش نشان می‌دهد که اتریوم در مجموع ۶۸۶ میلیون دلار ضرر را به خود اختصاص داده است که شامل ۲۲۴ حادثه می‌شود که به طور متوسط حدود ۳ میلیون دلار در هر کدام است.
در مقابل، BNB Chain، علی‌رغم مواجهه با ۳۸۷ حادثه امنیتی، زیان قابل‌توجه کمتری را در ۱۳۴ میلیون دلار گزارش کرد که تفاوت قابل‌توجهی با ارقام اتریوم را برجسته می‌کند.