Polygon CSO’su Mudit Gupta, Web3 şirketlerine kolayca önlenebilir siber saldırılara bir son vermek için geleneksel güvenlik uzmanlarıyla çalışmaları, mükemmel kod ve kriptografinin yeterli olmadığı çağrısında bulundu.
Cointelegraph’a konuşan Gupta, kripto alanında yaşanan güncel siber saldırılardan bazılarının ardında, kötü tasarlanan blockchain teknolojisinden çok, özel anahtar yönetimi ve oltalama saldırıları gibi Web2 güvenlik zafiyetlerinin olduğunu söyledi.
Düşüncelerini açan Gupta, standart Web2 siber güvenlik uygulamalarından faydalanmadan akıllı sözleşme denetimi gerçekleştirmenin, protokol ve kullanıcı cüzdanlarını saldırıdan korumada yeterli olmadığını vurguladı:
“Tüm büyük şirketleri anahtar yönetiminin önemli olduğunu gerçekten bilen bir güvenlik uzmanıyla özel olarak çalışmaya yönlendiriyorum.”
“On yıllardır kullanılan API anahtarları var. Yani birinin izlemesi gereken en iyi uygulamalar ve prosedürler var. Bu anahtarları güvende tutmak için. Bu şeylere ilişkin denetim geçmişi düzgünce kaydedilmeli ve risk yönetimi doğru yapılmalı. Fakat bu kripto şirketlerinin bunların tümünü göz ardı ettiğini görüyoruz,” diye ekledi.
Gupta, blockchain’ler çoğunlukla arka uçta merkeziyetsiz olsa da, kullanıcıların uygulamalar ile çoğunlukla merkezi bir internet sitesi yoluyla etkileşime girdiğini, dolayısıyla Alan Adı Sistemi (DNS), web hosting ve e-posta güvenliği gibi geleneksel siber güvenlik önlemlerinin de her zaman uygulanması gerektiğini belirtti.
Özel anahtar yönetiminin önemine de değinen Gupta, 600 milyon dolarlık Ronin köprüsü saldırısı ve 100 milyon dolarlık Horizon köprüsü saldırısını, özel anahtar güvenliği prosedürlerinin neden sıkılaştırılması gerektiğinin ders kitaplarında okutulması gereken örnekleri olduğunu vurguladı.
“Bu siber saldırıların blockchain güvenliğiyle hiçbir ilgisi yoktu, kod iyi durumdaydı. Kriptografi de iyiydi, her şey yolundaydı. Fakat kilit yönetimi öyle değildi. Özel anahtarlar güvenli şekilde saklanmıyordu ve protokol mimarisi, anahtarların ele geçirilmesi halinde tüm protokol ele geçirilecek şekildeydi.”
Gupta, blockchain ve Web3 şirketlerinde mevcut durumda “Oltalama saldırılarına kanıyorsanız, bu sizin sorununuz,” anlayışının geçerli olduğunu, fakat kitlesel yaygınlığın kazanılması halinde Web3 şirketlerinin yapabileceklerinin en azını yapmaktan daha fazla sorumluluk almaları gerekeceğine dikkat çekti.
