Không gian tiền điện tử chi hàng trăm triệu đô la cho bảo mật mỗi năm. Tuy nhiên, năm này qua năm khác, hàng tỷ đô la vẫn bị mất. Hôm nay, chúng tôi sẽ công bố Tình trạng bảo mật tiền điện tử 2025. Phân tích những gì bị hỏng, những gì đang hoạt động và những gì tiếp theo. Đây là những gì chúng tôi tìm thấy 🧵

1: Chỉ kiểm toán thôi thì không đủ. Các cuộc tấn công tiền điện tử đang phát triển. Trong khi các lỗ hổng mã đang giảm, thì các mối đe dọa như thất bại trong kiểm soát truy cập và các cuộc tấn công ngoài chuỗi đang gia tăng. Nhiều cuộc tấn công lớn nhất trong năm qua? Các giao thức đã được kiểm toán. Nhiều lần. An ninh phải vượt ra ngoài kiểm toán, bao gồm giám sát thời gian thực, fuzzing, OpSec, và nhiều hơn nữa.

2: Bảo mật không phải là hộp kiểm một lần. Chúng ta nói về khai thác mã, nhưng hầu hết tổn thất đến từ mọi thứ khác. Rò rỉ khóa riêng tư. Khai thác quản trị. Chiếm quyền điều khiển giao diện người dùng. Các dự án cần được bảo vệ ngay từ thời điểm họ viết dòng mã đầu tiên, thông qua triển khai và hơn thế nữa. Hãy nghĩ đến kiểm tra mờ, tiền thưởng lỗi, giám sát và ứng phó sự cố có cấu trúc.

3: Hầu hết các dự án đều trả quá nhiều cho bảo mật dưới mức trung bình. Các nhà xây dựng bị mắc kẹt trong địa ngục an ninh. Bạn đang cố gắng nhận được một cuộc kiểm tra chất lượng? Bạn có thể đợi hàng tuần chỉ để nhận được báo giá. Chúng tôi đã thực hiện một loạt các cuộc phỏng vấn với các nhà xây dựng và nhận thấy rằng báo giá kiểm toán có thể thay đổi lên đến 3 lần đối với cùng một phạm vi. Đây là cách mô hình mua sắm hiện tại bị phá vỡ:

4: Các thành phần ngoài chuỗi là điểm yếu mới. Bảo mật sẽ trông như thế nào là: full-stack, suốt vòng đời. Từ ngày 1 (đánh giá thiết kế, DevSecOps) Để triển khai (fuzzing, xác minh chính thức, cuộc thi kiểm toán) Đến sau khi khởi chạy (giám sát thời gian thực, ứng phó sự cố, OpSec) Bảo mật full-stack có nghĩa là bảo vệ tất cả các thành phần, onchain và off.

5: Quá nhiều nhóm bị mắc kẹt, chờ đợi hàng tuần để báo giá kiểm toán, trả quá nhiều tiền cho các dịch vụ kém hiệu quả và đánh cược vào các nhà cung cấp không có tín hiệu thực sự. Vì vậy, chúng tôi đã xây dựng Chợ Areta () > Một nơi để nhận báo giá và tài trợ cạnh tranh. > Một nơi để tiếp cận các nhà cung cấp đã được kiểm tra. > Một cách để giảm chi phí bảo mật, lên đến 30%. Các thị trường như Areta Market giúp các dự án được kết hợp với các nhà cung cấp đáng tin cậy, nhận báo giá cạnh tranh và cắt giảm thời gian mua sắm.

Tiền điện tử đang phát triển nhanh chóng. Các mối đe dọa cũng vậy. Những người chiến thắng trong chu kỳ này sẽ là những người coi bảo mật là một chức năng cốt lõi, không phải một hộp kiểm. Đọc báo cáo đầy đủ: