原文:Crypto’s security nightmare won’t be solved by ordinary audits
加密行业多年来一直受到网络安全问题的困扰。自 2022 年以来,恶意行为者(尤其是朝鲜的 Lazarus Group)已窃取了超过 22 亿美元,促使该行业在同一时期内将代码审计数量增加了两倍。
但更多的审计并没有减少损失。事件总数和被盗金额都没有显着下降。我们 Oak Security 的研究解释了这一点:大多数成功的攻击都针对人类媒介。事实上,当我们查看漏洞利用的主要原因时,大多数都完全绕过了受审计保护的攻击面。
In other words, there is a real mismatch between the vulnerabilities that traditional audits examine, and the vulnerabilities that attackers exploit.加密货币领域可能会继续遭受巨大损失,直到它通过扩大安全措施以包括人力和操作向量以及解决以下几点来更新当前的审计基础设施来消除这种不匹配。
审计市场已经成熟,但并没有带来什么改变
毫无疑问,代码审计在过去几年中变得更加复杂。安全公司现在部署越来越复杂的工具和方法,在智能合约上线之前发现其中的漏洞。行业的代码质量确实得到了提高。