به گزارش زوم ارز، بنیاد اتریوم اخیراً گزارشی جامع درباره تدابیر امنیتی خود منتشر کرد که تا به امروز جامع ترین گزارش امنیتی اتریوم است. این گزارش بر روی خطرات اساسی ایتریوم (ETH) که با حمایت از تریلیون ها دلار ارزش گردش دارایی های جهانی در شبکهی آن به وجود میآید تاکید دارد.
گزارش امنیتی تریلیون دلار اعلام کرد که افراد، موسسات و دولتها برای انتقال مقادیر بزرگتر به شبکه، به اولین امنیت تریلیون دلار نیاز دارند. این گزارش از اقدامات مشابهی که توسط مختلف افراد و نهادها بعد از تلاشهای صورت گرفته برای بازسازی، عنوان شده است، به روز میباشد.
به علاوه از بازخورد گسترده توسعهدهندگان، کاربران و متخصصان امنیتی، این گزارش شناسایی آسیبپذیریها را در شش حوزه اصلی زیر مجموعه میکند: تجربه کاربری، قراردادهای هوشمند، زیرساختها، اجماع، پاسخ به حوادث و حاکمیت.
این گزارش به عنوان یک خلاصه راهبردی برای بهبود پیشرفتهای امنیتی در اتریوم بهکار میرود.
آسیب پذیری در اکوسیستم
به گفته این گزارش، جوانب اصلی از بار امنیتی اتریوم هنوز بر روی کاربران نهایی تأثیر میگذارند، به دلیل UX ضعیف کیف پول، امضای کور و کنترلهای مجوزهای متناقض. این موضوعات به ایجاد تهدیدهای مکرر ادامه میدهند، در حالی که استانداردهای کیف پول پاره شده موجب محدودیت استفادهایمن میشود.
همچنین ، کاربران سازمانی با چالشهای اضافی مواجه هستند که از جمله مدیریت کلیدها، مسیرهای حسابرسی و گردش کار سفارشی است که توسط زیرساختهای کنونی کمترین پشتیبانی را ارائه میدهند.
گزارش همچنین تأکید کرده است که امنیت قرارداد هوشمند، با وجود بهبودهای انجام شده، هنوز با خطراتی مانند بهروزرسانیهای ناقص، نقض کنترل دسترسی و تایید نه چندان قوی از سوی مراجع رسمی مواجه است.
استفاده از زیرساختهای تمرکزی مانند ارائهدهندگان RPC، DNS و میزبانهای ابر، امکانات غیر تمرکزی اتریوم را به خطر میاندازد. راهکارهای لایه دو، با معرفی پیچیدگیهای جدید، این تهدیدات را کاهش میدهند و در عین حال احتمال سانسور توسط ارائهدهندگان اینترنت و حمله به سیستمهای DNS را کاهش میدهند.
این گزارش در سطح پروتکل بیان میکند که تمرکز بر اعتبارسنجی و روشهای بازیابی نامعلوم، باعث نگرانیها درباره مواردی مانند مقاومت اتریوم در برابر شکستهای مرتبط با لبهها بخصوص ادامه دارد.
به عنوان یک اقدام اساسی، انتقال مستمری با استفاده از رمزنگاری مقاوم در برابر کوانتومی بود.
هماهنگی آینده ای امن
بر اساس گزارش، قابلیت Ethereum در پاسخ به تهدیدات به شکاف در نظارت، هماهنگی و بازیابی محدود است.
بیشتر اوقات، افرادی که سعی در پیامدهای خطرناک یا تشدید مشکلات در سیستم عامل میکنند، با تاخیرهای زیادی روبرو میشوند. در صورت عدم وجود روشهای ارتباطی روشن و تعیین شده از پیش بابلایی، زمان مهمی در هنگام وقوع حوادث از دست میرود.
همچنین این گزارش به نبود ابزارهای نظارت موثر برای شناسایی زود هنگام تهدیدهای زنجیره تأمین و خارج از آن اشاره کرده است. در بسیاری از موارد، نقض امنیت تا زمان وقوع خسارت متوجه شده و جدی گرفته نمیشود.
پوشش بیمه در شبکه Ethereum کمیاب است. مقایسهاش با سیستمهای مالی سنتی نشان میدهد که برنامههای Ethereum تنها به مقدار محدودی دارای دسترسی به بیمه هستند. این وضعیت باعث میشود که کاربران و سازمانها اگر بورسهای معاملاتی را فراموش کنند، به خطراتی مانند خسارت کلی معرض شوند.
از طرف دولت ، این گزارش هشدار داده است که لایه اجتماعی اتریوم ، شبکه توسعه دهندگان ، نهادها و هنجارهای فرهنگی ، خود یک بردار بالقوه برای حمله است. این خطرات ناشی از تمرکز سهام ، فشار نظارتی و تأثیر سازمانی را برجسته می کند که می تواند جهت اتریوم را از بی طرفی دور کند.
عدم وجود فرآیندهای مشخص برای “کاهش اجتماعی” نیز به عنوان یک نقص مهم مورد توسط اعتبارسنج یا ضبط پروتکل تلقی شده است.
source