jeudi, décembre 19, 2024

Polygon CSO blâme les failles de sécurité Web2 pour la récente série de piratages

Le responsable de la sécurité de Polygon, Mudit Gupta, a exhorté les entreprises Web3 à embaucher des experts en sécurité traditionnels pour mettre fin aux piratages facilement évitables, arguant qu’un code et une cryptographie parfaits ne suffisent pas.

S’adressant à Cointelegraph, Gupta a souligné que plusieurs des récents piratages de crypto étaient finalement le résultat de vulnérabilités de sécurité Web2 telles que la gestion des clés privées et les attaques de phishing pour obtenir des connexions, plutôt que d’une technologie blockchain mal conçue.

Ajoutant à son propos, Gupta a souligné qu’obtenir un audit de sécurité de contrat intelligent certifié sans adopter les pratiques de cybersécurité Web2 standard n’est pas suffisant pour protéger un protocole et les portefeuilles des utilisateurs contre l’exploitation :

« J’ai poussé au moins toutes les grandes entreprises à trouver une personne dédiée à la sécurité qui sait réellement que la gestion des clés est importante. »

« Vous avez des clés API qui sont utilisées depuis des décennies et des décennies. Il existe donc des pratiques exemplaires et des procédures appropriées à suivre. Pour garder ces clés en sécurité. Il devrait y avoir une bonne journalisation des pistes d’audit et une bonne gestion des risques autour de ces choses. Mais comme nous l’avons vu, ces sociétés de cryptographie ont simplement tout ignoré », a-t-il ajouté.

Alors que les blockchains sont souvent décentralisées sur le backend, « les utilisateurs interagissent avec [applications] via un site Web centralisé », la mise en œuvre de mesures de cybersécurité traditionnelles autour de facteurs tels que le système de noms de domaine (DNS), l’hébergement Web et la sécurité des e-mails doit toujours « être prise en charge », a déclaré Gupta.

Gupta a également souligné l’importance de la gestion des clés privées, citant le piratage du pont Ronin de 600 millions de dollars et le piratage du pont Horizon de 100 millions de dollars comme exemples classiques de la nécessité de renforcer les procédures de sécurité des clés privées :

« Ces hacks n’avaient rien à voir avec la sécurité de la blockchain, le code était bon. La cryptographie était bonne, tout allait bien. Sauf que la gestion des clés ne l’était pas. Les clés privées […] n’étaient pas conservées en toute sécurité, et la façon dont l’architecture fonctionnait était que si les clés étaient compromises, l’ensemble du protocole était compromis.

Gupta a suggéré que le sentiment actuel des entreprises de la blockchain et du Web3 est que si « vous tombez dans le piège d’une attaque de phishing, c’est votre problème », mais a fait valoir que « si nous voulons une adoption massive », les entreprises du Web3 doivent assumer plus de responsabilités plutôt que de faire le nu. le minimum.

« Pour nous […] nous ne voulons pas seulement la sécurité minimale qui éloigne la responsabilité. Nous voulons que notre produit soit réellement sûr pour les utilisateurs qui l’utilisent […] nous réfléchissons donc aux pièges dans lesquels ils pourraient tomber et essayons de protéger les utilisateurs contre eux.

Polygon est un cadre d’interopérabilité et de mise à l’échelle pour la construction de chaînes de blocs compatibles Ethereum, qui permet aux développeurs de créer des applications décentralisées évolutives et conviviales.

Lié: Chaînes croisées dans le collimateur : les hacks appellent de meilleurs mécanismes de défense

Avec une équipe de 10 experts en sécurité désormais employés chez Polygon, Mudit souhaite désormais que toutes les entreprises Web3 adoptent la même approche.

Après le piratage du pont Nomad de 190 millions de dollars en août, les piratages cryptographiques ont maintenant dépassé la barre des 2 milliards de dollars, selon la société d’analyse de blockchain Chainalysis.