Protokół może przejść audyt smart kontraktu i nadal być podatny na ataki, ponieważ powierzchnia ataku to kontrakt plus wszystko, co się z nim łączy: skrypty aktualizacyjne, zarządzanie, keeperzy, API, interfejsy użytkownika i narzędzia do wdrażania. Czytaj dalej:

Audyty mają znaczenie, ale są one ograniczone do konkretnego momentu i zakresu. Ryzyko narasta w różnicy między tym, co zostało sprawdzone, a tym, co działa po aktualizacjach, integracjach, zmianach zależności i pilnych poprawkach.

Największe porażki, które bolą, rzadko wyglądają jak „błąd”. Wyglądają jak zamierzona zachowanie: ścieżka przywilejów, która staje się osiągalna, założenie orakula, które łamie się przy niskiej płynności, lub inwariant, który zawodzi w wieloetapowym przepływie.

Pełne pokrycie systemu zaczyna się od zakresu. Traktuj kod onchain, usługi offchain, które wpływają na stan, infrastrukturę podpisów, narzędzia administracyjne, CI/CD oraz frontendowy budowniczy transakcji jako pierwszorzędne powierzchnie bezpieczeństwa.

Uczyń różnicę jednostką bezpieczeństwa. Każde PR może wprowadzić nową krawędź uprawnienia lub ścieżkę transakcji, więc weryfikacja musi podążać za zmianą, a nie za punktami kontrolnymi w kalendarzu.

Modeluj uprawnienia jako graf, a nie listę. Chcesz znać najkrótszą drogę do aktualizacji, wstrzymania, mintowania, opróżniania lub zmiany źródeł oracle, w tym transferów ról i przekazywania uprawnień administratora, które rzadko są ponownie rozpatrywane.

Poluj na niezmienne przerwy, a nie tylko na znane wzorce podatności. Zdefiniuj, co zawsze musi być prawdą w różnych przepływach: księgowość, uprawnienia, założenia dotyczące orakli, limity szybkości, kolejność wiadomości - i testuj oraz monitoruj te niezmienniki nieprzerwanie.

Połącz zapobieganie z wykrywaniem. Zarządzane wykrywanie i odpowiedź skraca czas między "coś się zmieniło" a "fundusze są zagrożone", szczególnie w kontekście działań związanych z zarządzaniem, kluczowym użyciem, zmianami w infrastrukturze oraz nietypowym zachowaniem onchain.

Inteligencja zagrożeń AI pomaga, gdy sygnały są hałaśliwe i międzydomenowe. Może korelować różnice w kodzie, aktualizacje zależności, zdarzenia infrastrukturalne oraz telemetrię onchain, aby wydobyć te nieliczne zmiany, które zasługują na natychmiastowy przegląd przez człowieka.

Bezpieczeństwo to cykl życia: modelowanie zagrożeń, audyty w web3 i web2, konkursy i nagrody za błędy, zarządzane wykrywanie i odpowiedź, planowanie reakcji na incydenty oraz staranność instytucjonalna za pośrednictwem Web3SOC.