Hacken分析師表示，許多加密貨幣公司甚至無(wú)法達(dá)到加密貨幣安全標(biāo)準(zhǔn)的基線，導(dǎo)致數(shù)十億人面臨內(nèi)部威脅和憑證泄露。

在加密貨幣中，一次安靜的智能合同更新可以撤銷(xiāo)數(shù)月的安全工作。然而，區(qū)塊鏈取證公司Hacken的分析師表示，該行業(yè)仍然將審計(jì)視為品牌工具，而不是它們應(yīng)該成為的呼吸檢查站。

Hacken in首席執(zhí)行官Dyma Budorin在接受Crypto.news獨(dú)家采訪時(shí)表示，審核“不應(yīng)被視為主頁(yè)上的復(fù)選框或徽標(biāo)”。在他看來(lái)，太多的項(xiàng)目依賴(lài)于其代碼的靜態(tài)快照并就此結(jié)束。但一旦代碼發(fā)生變化--而且經(jīng)常發(fā)生變化--審計(jì)的相關(guān)性就會(huì)消失。他警告說(shuō)：“一旦合同變更，每項(xiàng)審計(jì)都會(huì)過(guò)時(shí)?！?/p>

問(wèn)題不僅在于缺乏審計(jì)，還在于缺乏在部署后監(jiān)控代碼的系統(tǒng)。哈肯認(rèn)為，如果沒(méi)有持續(xù)的驗(yàn)證和重新審計(jì)，團(tuán)隊(duì)可能會(huì)陷入錯(cuò)誤的安全感。

“一個(gè)被忽視的功能可能會(huì)打開(kāi)災(zāi)難之門(mén)。真正的問(wèn)題不僅在于審計(jì)覆蓋范圍，還在于審計(jì)的相關(guān)性。我們需要跟蹤每一項(xiàng)變更、重新驗(yàn)證假設(shè)并在需要時(shí)觸發(fā)重新審計(jì)的系統(tǒng)。否則，只需一次無(wú)聲更新，就能破解您認(rèn)為安全的一切?！?/p>

迪瑪·布多林

該團(tuán)隊(duì)建議轉(zhuǎn)向更加標(biāo)準(zhǔn)化和自動(dòng)化的檢查。象征性執(zhí)行、模糊化和正式驗(yàn)證等事情應(yīng)該成為發(fā)射清單的一部分，而不是可選的附加內(nèi)容。他們表示，在沒(méi)有首先通過(guò)一組基線自動(dòng)化測(cè)試的情況下，任何智能合同都不應(yīng)該上線。

但即便如此還不夠。合同生態(tài)系統(tǒng)發(fā)生變化。升級(jí)發(fā)生。有時(shí)，他們不會(huì)--即使他們應(yīng)該這樣做。哈肯希望看到對(duì)可移植性有更好的控制。當(dāng)發(fā)現(xiàn)風(fēng)險(xiǎn)時(shí)，協(xié)議應(yīng)鼓勵(lì)修補(bǔ)甚至停用遺留合同。正如哈肯團(tuán)隊(duì)指出的那樣，“補(bǔ)丁往往是靠運(yùn)氣，或者更糟糕的是，任由黑客擺布?！?/p>

最后，傳達(dá)的信息很簡(jiǎn)單：如果加密貨幣想要成長(zhǎng)為基礎(chǔ)設(shè)施層--基礎(chǔ)性的，而不僅僅是推測(cè)性的--那么安全性就不能成為事后的想法。

多重簽名還不夠

但代碼并不總是問(wèn)題。在一些最大的加密貨幣漏洞中，鏈下內(nèi)容首先崩潰。以Bybit為例。由于多重簽名設(shè)置受損，該交易所損失了近15億美元。不是因?yàn)榇a中的錯(cuò)誤，而是因?yàn)椴僮靼踩钥雌饋?lái)很差。

“許多加密貨幣平臺(tái)忽視了基本的鏈下安全原則、安全運(yùn)營(yíng)實(shí)踐以及加密貨幣安全標(biāo)準(zhǔn)中概述的具體要求，使自己容易受到類(lèi)似威脅。”

Dmytro Yasmanovych，Hacken合規(guī)主管

亞斯曼諾維奇表示，該團(tuán)隊(duì)建議加密貨幣公司緊急實(shí)施或加強(qiáng)符合CCSS的幾項(xiàng)實(shí)用安全控制。例如，其中包括在所有關(guān)鍵鏈下操作中使用安全的硬件支持方法（例如生物識(shí)別解決方案或物理令牌）部署多因素身份驗(yàn)證，以抵御基于證書(shū)的攻擊。

他還強(qiáng)調(diào)需要制定明確的交易授權(quán)政策，并制定有記錄的角色、批準(zhǔn)門(mén)檻和防止未經(jīng)授權(quán)活動(dòng)的程序。此外，Yasmanovych建議公司為敏感操作（包括交易請(qǐng)求和批準(zhǔn)）定義和執(zhí)行安全、加密的通信渠道。

打扮成創(chuàng)新的退出流動(dòng)性

但哈肯最具爭(zhēng)議的見(jiàn)解也許是針對(duì)LIBRA代幣的，這是一種政治炒作的memecoin，最終以教科書(shū)般的地毯拉來(lái)告終。據(jù)哈肯團(tuán)隊(duì)稱(chēng)，內(nèi)部人士可能通過(guò)市場(chǎng)炒作出售而獲得了超過(guò)3億美元的獎(jiǎng)金。

LIBRA代幣聲稱(chēng)引入“集中流動(dòng)性”，但對(duì)于哈肯的首席執(zhí)行官來(lái)說(shuō)，事實(shí)并非如此。

“對(duì)于新來(lái)者來(lái)說(shuō)，聽(tīng)起來(lái)他們是在強(qiáng)化市場(chǎng)或?yàn)榇鷰旁鲋担珜?shí)際上，這只是一種在特定價(jià)格點(diǎn)下大額賣(mài)出訂單的復(fù)雜方式。當(dāng)價(jià)格因炒作而飆升時(shí)，這些訂單立即將代幣轉(zhuǎn)換為現(xiàn)金，讓內(nèi)部人士帶著巨額利潤(rùn)退出。這不是創(chuàng)新，而是退出流動(dòng)性。永遠(yuǎn)不要投資這樣的事情。這扼殺了人們對(duì)該領(lǐng)域的信任，并將該行業(yè)變成了馬戲團(tuán)?！?/p>

迪瑪·布多林

哈肯認(rèn)為，加密貨幣可以而且應(yīng)該借鑒傳統(tǒng)金融的一些想法來(lái)避免此類(lèi)事情。在受監(jiān)管的市場(chǎng)中，內(nèi)部人士必須披露主要持股和計(jì)劃出售。也許加密項(xiàng)目應(yīng)該開(kāi)始做同樣的事情。披露代幣組學(xué)、授予時(shí)間表和團(tuán)隊(duì)分配應(yīng)該是常態(tài)，而不是例外。

雖然全面監(jiān)管仍然是一個(gè)爭(zhēng)論的問(wèn)題，但Hacken建議該領(lǐng)域至少需要監(jiān)督機(jī)制。想想第三方監(jiān)控平臺(tái)、公共評(píng)級(jí)系統(tǒng)或監(jiān)管機(jī)構(gòu)，它們可以在為時(shí)已晚之前標(biāo)記奇怪的代幣行為或異常的流動(dòng)性事件。在那之前，信任將仍然不穩(wěn)定。每一個(gè)退出騙局或秘密造幣廠只會(huì)讓加密貨幣進(jìn)一步遠(yuǎn)離公共合法性。