آخرین گزارش سرتیک (CertiK) کاهش قابلتوجهی را در حوادث امنیتی ارزهای دیجیتال در سال ۲۰۲۳ نشان میدهد. مجموع زیان در ۷۵۱ رویداد به ۱.۸۴ میلیارد دلار کاهش یافته که نشاندهنده کاهش ۵۱ درصدی نسبت به سال ۲۰۲۲ است. هر حادثه به طور متوسط ۲.۴۵ میلیون دلار خسارت داشته که ده مورد اول ۱.۱۱ میلیارد دلار زیان به بار آورده است.
ماه نوامبر بیشترین ضرر را با ۳۶۳,۳۶۷,۳۲۷ دلار از ۴۵ حادثه به خود اختصاص داد، درحالیکه سهماهه سوم با ضرر ۶۸۶,۵۵۸,۴۷۲ دلار از ۱۸۳ هک، کلاهبرداری و سوءاستفاده در رتبه نخست قرار داشت.
کلید خصوصی: نهچندان خصوصی
حوادث مرتبط با افشای کلید خصوصی نزدیک به ۵۰ درصد از کل ضررها را به خود اختصاص داده است که بالغ بر ۸۸۰ میلیون دلار است. در گزارش سرتیک آمده است که این اعداد تنها از ۴۷ حادثه ناشی میشوند که تنها ۶.۳ درصد از کل حوادث امنیتی در طول سال را نشان میدهد، اما بیش از نیمی از خسارات را به خود اختصاص داده است. قابلذکر است، شش مورد از ده حادثه امنیتی پرهزینه در طول سال ۲۰۲۳ به دلیل افشا و سوءاستفاده از کلید خصوصی بوده است.
حوادث مربوط به Multichain در ماه جولای باعث زیان ۱۲۵ میلیوندلاری شد. علیرغم ادعای عدم تمرکز، فاش شد که مدیرعامل این پلتفرم کنترل انحصاری بر سرورهای محاسباتی و کلیدهای خصوصی آن دارد. این آسیبپذیری با دستگیری مدیرعامل آشکار شد و ۱.۵ میلیارد دلار از طریق ارزش کل قفل شده (TVL) در پل Multichain برای کاربران غیرقابلدسترس شد.
بهاینترتیب، سرتیک به کاربران خود پیشنهاد داد تا برخی از شیوههای مدیریت کلید خصوصی را اجرا کنند که عبارتند از:
- استفاده از کیف پولهای چند امضایی برای توزیع کنترل، کاهش ریسک شکستهای تکنقطهای.
- انتخاب کیف پولهای سختافزاری برای ذخیره کلید ایمن.
- ذخیرهکردن پشتیبانهای کلید خصوصی به صورت آفلاین در مکانهای امن مانند صندوق امانات.
- تعریف سیاستهای دسترسی سختگیرانه برای محدودکردن دسترسی کلید فقط به پرسنل مجاز.
- حفاظت از کلیدهای خصوصی با رمزگذاری قوی در قالبهای امن.
- برای تشخیص دسترسی غیرمجاز، استفاده از کلید را به طور منظم بررسی و نظارت کنید.
- استفاده از کیف پولهای سرد برای ذخیرهسازی طولانی کلید خصوصی، به حداقل رساندن تهدیدات آنلاین.
- آموزش کارکنان مربوطه در مورد بهترین شیوههای مدیریت کلیدها، با تأکید بر امنیت و محرمانه بودن.
- در نظر گرفتن محاسبات چندطرفه (MPC) برای بهاشتراکگذاری ایمن کلید بدون قرار گرفتن کل کلید در معرض یک طرف.
- استفاده از خدمات حرفهای مدیریت کلید، بهویژه برای عملیات در سطح سازمانی، برای اطمینان از انطباق با استانداردهای صنعت.
سایر نکات برجسته
در همین حال، طبق یافتههای سرتیک در زمینه بلاک چین، اتریوم بهعنوان پیشرو در ضررها ظاهر شده است. این گزارش نشان میدهد که اتریوم در مجموع ۶۸۶ میلیون دلار ضرر را به خود اختصاص داده است که شامل ۲۲۴ حادثه میشود که به طور متوسط حدود ۳ میلیون دلار در هر کدام است.
در مقابل، BNB Chain، علیرغم مواجهه با ۳۸۷ حادثه امنیتی، زیان قابلتوجه کمتری را در ۱۳۴ میلیون دلار گزارش کرد که تفاوت قابلتوجهی با ارقام اتریوم را برجسته میکند.