Исполнительный риск в криптовалюте — это новый риск хранения

Мнение: Идо Софер, основатель и генеральный директор Sodot.

Криптоиндустрия обычно опережает свой сектор в вопросах инноваций и функциональности, однако безопасность — совсем другой вопрос.

В течение многих лет риски хранения в крипто были обусловлены лишь одним страхом — кражей закрытых ключей. В ответ индустрия усилила методы хранения, используя холодное хранение, отключённые системы, MPC и другие подходы. Затем стало понятно, что простая защита ключей недостаточна, и были внедрены механизмы безопасности транзакций и политики, направленные на предотвращение вредоносных транзакций по выводу средств, даже если ключи защищены. Оба этих риска остаются серьёзной угрозой, но сосредоточенность только на закрытых ключах затмевает более глубокие изменения.

Само понятие хранения вышло далеко за рамки закрытых ключей.

«Хранение» некогда означало защиту закрытых ключей. Сегодня это определение не отражает реальность. Хранение превратилось в сложную автоматизированную систему, осуществляющую разные типы транзакций между множеством площадок, хранителей, поставщиков и внутренних систем. Современные торговые компании работают на биржах, платформах стейкинга, ликвидности и у инфраструктурных провайдеров, каждому из которых требуются API-ключи, ключи валидаторов, учетные данные для развёртывания и системные секреты, способные перемещать капитал прямо или косвенно.

Многие из этих учетных данных хранятся в специальных менеджерах, которые по замыслу возвращают полный ключ любому аутентифицированному процессу. Это удобно, но уязвимо по своей структуре. Если среда исполнения будет скомпрометирована — внешним злоумышленником, запуганным сотрудником или вредоносной зависимостью — то будет скомпрометирован и полный ключ. Риски хранения вышли за пределы невидимых on-chain ключей и распространились на живой слой исполнения, где капитал движется за миллисекунды, а экспозиция происходит в реальном времени.

Эволюция безопасности хранения

Безопасность хранения развивалась по стадиям. Сначала индустрия обеспечила хранение закрытых ключей. Затем это стало выходить за рамки хранения, внедряя политики и мультипартийное управление для контроля того, как используются ключи при исполнении транзакций. Следующий шаг неизбежен: внедрить те же принципы нулевой экспозиции и управления политиками для всех ключей и учетных данных. В современных криптооперациях API-ключи, учетные данные для развёртывания и секреты для исполнения несут значительные риски. Расширение лучших практик хранения ключей на этот весь спектр уже не опция — это определяющая задача управления риском исполнения.

В последние годы именно риск исполнения вышел на первый план как основной канал для крупных эксплойтов. Киберпреступники обходят onchain механизмы безопасности в пользу уязвимых сторон — API-ключей, серверных учетных данных и других off-chain секретов, необходимых для торговли, деплоймента кода, стейкинга и действий по хранению. Недавние масштабные утечки, включая взлом Bybit, начались с off-chain атаки и компрометации учетных данных, что привело к on-chain потере средств.

Как велик риск исполнения?

Он значителен и структурен. Управляющие активами, торговые фирмы, кастодианы и платёжные компании параллельно подключаются к десяткам CEX, DEX, провайдеров ликвидности и других подрядчиков. Каждая интеграция приносит свои учетные данные, механизмы доступа и операционные зависимости. Управление этим разделено между командами разработки, операций, торговли, управления рисками и безопасности, усложняясь и накапливаясь со временем.

Обеспечить безопасность этих операций — непрерывная борьба. Поддерживать согласованные политики безопасности и доступ across multiple vendors — огромная головная боль, которая по большей части реализуется вручную, приводя к неизбежным пробелам и разногласиям в настройках.

Связано:Bitcoin — это инфраструктура, а не цифровое золото

Риски исполнения не являются врожденными автоматизации. Это побочный продукт исторического проектирования торговых систем. Во многих централизованных биржах API-ключи и операционные учетные данные размещаются прямо внутри торговой инфраструктуры для устранения задержек. Для маркетмейкеров и торговых фирм скорость — не характеристика, а модель бизнеса. Даже минимальная задержка влияет на доход.

Со временем привычка иметь полный доступ к ключу внутри живых систем стала стандартом как самый простой способ обеспечить быструю обработку сделок. Учетные данные находятся в постоянной готовности для мгновенного авторизования транзакций. Проблема не в скорости движения капитала. Она в том, что единая власть размещается внутри операционной инфраструктуры. И когда власть сосредоточена там, где осуществляется исполнение — это становится самым очевидным направлением атаки.

Существующие механизмы недостаточны

Существующие инструменты далеки от необходимых, если учитывать сложность современных сред исполнения.

Хотя криптобиржи, хранители и OTC-операторы применяют твёрдые политики безопасности для отдельных операций, им крайне трудно согласовать эти меры в таком разрозненном экосистеме. Практически невозможно сохранять последовательное управление на сорока биржах сколько-нибудь долгое время. Поскольку всё делается вручную, изолированно, ошибки неизбежны, и одна ошибка может поставить под угрозу миллионы долларов.

Также следует учитывать риск контрагента. Биржи и хранители могут иметь собственные уязвимости — в багах, некорректной инфраструктуре и непоследовательных механизмах политики. Если внутренняя политика безопасности торговой фирмы требует геофенсинга, но одна из бирж реализует её с ошибками — появляется риск при исполнении.

Этот риск недопустим

Урок, усвоенный индустрией хранения закрытых ключей, очевиден: исключить полную экспозицию ключа и внедрить строгие политики контроля использования. Эти принципы теперь должны распространяться не только на on-chain закрытые ключи, но и на любые учетные данные, способные авторизовать движение стоимости.

Решение — не просто лучшая система хранения секретов. Менеджеры секретов созданы для удобства, они возвращают полный ключ любому аутентифицированному процессу. В условиях живых сред исполнения такая модель распределяет власть между несколькими компонентами системы, именно когда капитал в движении.

Необходимы архитектурные системы нулевой экспозиции ключа, где ни одна машина или сотрудник никогда не обладают единоличным контролем, и к ним должны добавляться обязательные политики с учётом контекста того, как используются учетные данные. Multi-party computation (MPC) — один из способов реализации такой модели, однако принцип шире: расширить лучшие практики безопасности закрытых ключей на весь слой исполнения в крипто.

Мнение: Идо Софер, основатель и генеральный директор Sodot.