Industria criptomonedelor se confruntă cu pierderi semnificative din cauza hacking-urilor, iar o analiză recentă arată că aproximativ 40% din cele 16 miliarde de dolari pierdute nu sunt cauzate de vulnerabilități în contractele inteligente sau în tehnologia blockchain, ci de compromiterea "cheilor private". Experții subliniază că majoritatea acestor pierderi provin din managementul defectuos al cheilor și erori operaționale, nu din criptografia în sine.
Conform datelor compilate de DeFiLlama, pierderile totale din hacking-uri, exploatări DeFi și atacuri pe bridge-uri în spațiul blockchain se ridică la aproximativ 16,69 miliarde de dolari. Dintre acestea, o proporție considerabilă, de circa 40%, este legată de furtul cheilor private. Această constatare pune în lumină o problemă fundamentală în securitatea spațiului digital, deoarece cheile private funcționează practic ca parole, oferind acces și control asupra fondurilor.
**Cheile Private: Punctul Slab al Securității Crypto**
Spre deosebire de sistemele bancare tradiționale, unde breșele în infrastructura centrală sunt rare, iar parolele compromise pot fi resetate sau securitatea poate fi restaurată, în lumea cripto, pierderea sau furtul unei chei private echivalează cu pierderea definitivă a accesului la active. O cheie privată este un șir de caractere unic, similar unei parole, care dovedește proprietatea asupra fondurilor dintr-un portofel digital și permite efectuarea de tranzacții. Dacă această cheie este obținută de o terță parte neautorizată, aceasta deține controlul total asupra fondurilor, indiferent de soliditatea tehnologiei blockchain sau a codului contractelor inteligente.
CertiK, o firmă proeminentă în securitatea Web3, a observat o creștere a incidentelor de securitate operațională, în paralel cu o scădere a exploatărilor de contracte inteligente. Aceasta sugerează că atacatorii vizează cele mai slabe puncte, iar, în timp ce proiectele au investit în securitatea contractelor inteligente, alte arii critice au rămas expuse.
**Tipuri de Atacuri asupra Cheilor Private**
Pierderile cauzate de cheile private private se încadrează în două categorii principale:
1. **Atacuri de tip "brute-force":** Atacatorii încearcă să ghicească sau să descopere prin metode de forță brută cheile private. 2. **Metode necunoscute de compromitere:** Cheia privată este expusă, dar sursa scurgerii rămâne neclară.
Aceste două metode explică aproximativ 40% din pierderile totale înregistrate, subliniind că problema nu rezidă în infrastructura blockchain, ci în vulnerabilități externe.
**Managementul Cheilor: O Sursă Majoră de Erori**
Le Fan, fondatorul și CEO-ul ZK Proof Layer Cysic, afirmă categoric că "hacking-urile cheilor private nu sunt o eșec al criptografiei – sunt o eșec al managementului cheilor pe care industria continuă să le eticheteze greșit. Matematica curbelor este incasabilă."
Problema fundamentală este similară cu cea a parolelor. O cheie privată, odată utilizată, stocată sau partajată, devine susceptibilă la pierdere sau furt. Această necesitate ca o cheie operațională să fie "fierbinte" (accesibilă pentru utilizare) o plasează într-un mediu complex, expus la secrete, dependențe și factori umani. Serviciile care rulează, depozitele de secrete, dependențele software și personalul care le gestionează formează un "ecosistem" în jurul cheii private, iar acesta este adesea punctul vulnerabil.
Wish Wu, co-fondator și CEO al Pharos, explică că designul inițial al multor sisteme blockchain a contribuit la această problemă. Modelul "single-user, single-key" (o singură cheie controlează totul) lipsește de mecanismele de securitate tradiționale, precum aprobarea multi-persoană sau separarea sarcinilor. Astfel, sistemul menit să revoluționeze finanțele globale poate avea o securitate mai slabă decât un cont de email obișnuit.
**Direcții pentru Îmbunătățirea Securității**
Industria începe să abordeze activ problema vulnerabilității cheilor private, implementând soluții precum:
* **Computația Multi-Parte (MPC):** Procesul de semnare este divizat, astfel încât cheia completă nu există niciodată într-un singur loc. * **Abstractizarea Conturilor (Account Abstraction):** Permite utilizatorilor să folosească contracte inteligente ca pe conturi, oferind reguli personalizate de securitate, limite de cheltuieli și gardieni de backup. * **Login bazat pe Passkey și Wallet-uri Hardware:** Metode mai sigure de autentificare și stocare a cheilor. * **Proceduri Operaționale Standard (SOPs) îmbunătățite pentru managementul cheilor.**
Totuși, o provocare majoră este că aceste soluții sunt adesea adăugate ca opțiuni suplimentare, în loc să fie integrate de la început la nivel de protocol. Securitatea este privită, în multe cazuri, ca o caracteristică adăugată, nu ca un principiu fundamental de design.
Pe termen lung, soluția constă în tratarea securității ca pe o disciplină continuă, integrată în întregul ciclu de viață al dezvoltării, implementării și operațiunilor. De asemenea, este esențial să se recunoască rolul crucial al stratului uman – cultura securității, conștientizarea și formarea personalului – adesea prima și cea mai slabă linie de apărare.