بنیاد اتریوم اولین گزارش خود را در قالب جامع‌ترین طرح امنیتی تا به امروز منتشر کرد که در آن ریسک‌های حیاتی اتریوم (ETH) برای پشتیبانی از تریلیون‌ها دلار ارزش جهانی در زنجیره (on-chain) شناسایی شده‌اند.

گزارش «امنیت تریلیون دلاری اول» (1TS) تشریح می‌کند که افراد، مؤسسات و دولت‌ها چه نیازهایی دارند تا مبالغ قابل توجهی را به شبکه اتریوم بسپارند. این گزارش پس از چندین طرح مشابه و عمیق که در هفته‌های اخیر و پس از بازسازی بنیاد ارائه شده‌اند، منتشر شده است.

بر اساس بازخوردهای گسترده از توسعه‌دهندگان، کاربران و متخصصان امنیتی، این گزارش نقاط ضعف را در شش حوزه اصلی شناسایی می‌کند: تجربه کاربری، قراردادهای هوشمند، زیرساخت‌ها، اجماع، واکنش به رخدادها و حاکمیت.

این گزارش به عنوان نقشه راه بنیادین برای مرحله بعدی بهبودهای امنیتی اتریوم عمل خواهد کرد.

نقاط ضعف در اکوسیستم

مطابق گزارش، بخش بزرگی از بار امنیتی اتریوم هنوز بر دوش کاربران نهایی قرار دارد که به دلیل تجربه کاربری ضعیف کیف پول‌ها، امضای کورکورانه (blind signing) و کنترل‌های دسترسی ناسازگار، همواره در معرض تهدیدهای مکرر هستند. استانداردهای پراکنده کیف پول‌ها نیز استفاده امن را دشوار کرده‌اند.

علاوه بر این، کاربران سازمانی در مدیریت کلیدها، ردپاهای حسابرسی و روندهای سفارشی، با مشکلات بیشتری روبرو هستند که زیرساخت‌های فعلی به خوبی از آن‌ها پشتیبانی نمی‌کنند.

گزارش همچنین بر این نکته تاکید کرده که امنیت قراردادهای هوشمند هرچند بهبود یافته اما هنوز در معرض ریسک‌های به‌روزرسانی، شکست در کنترل دسترسی و پذیرش پایین روش‌های تایید رسمی قرار دارد.

وابستگی به زیرساخت‌های متمرکز مانند ارائه‌دهندگان RPC، DNS و میزبانی ابری، تضمین‌های عدم تمرکز اتریوم را تضعیف می‌کند. راه‌حل‌های لایه دوم (Layer-2) پیچیدگی‌های جدیدی به همراه دارند و خطر فیلترینگ توسط ISPها و ربودن DNS همچنان به اندازه کافی جدی گرفته نشده است.

در سطح پروتکل، تمرکز اعتبارسنج‌ها (validator centralization) و نبود روندهای روشن بازیابی، نگرانی‌هایی درباره تاب‌آوری اتریوم در مواجهه با خطاهای نادر ایجاد می‌کند.

گزارش همچنین انتقال بلندمدت به رمزنگاری مقاوم در برابر کوانتوم را به عنوان یک گام ضروری برشمرده است.

هماهنگی برای آینده‌ای امن‌تر

گزارش بیان می‌کند که توانایی اتریوم در پاسخ به تهدیدها محدود است و به دلیل شکاف‌هایی در پایش، هماهنگی و بازیابی با مشکلات مواجه است.

پاسخ‌دهندگان معمولاً در تماس با تیم‌های آسیب‌دیده یا ارجاع مسائل در پلتفرم‌های مختلف دچار تأخیر می‌شوند. نبود کانال‌های ارتباطی شفاف و تماس‌های از پیش تعیین‌شده باعث از دست رفتن زمان ارزشمند در هنگام رخدادها می‌شود.

ابزارهای مؤثر پایش برای شناسایی زودهنگام تهدیدهای درون زنجیره و خارج از زنجیره نیز کمبود دارد و در بسیاری موارد، نفوذهای امنیتی تا پس از وقوع آسیب کشف نمی‌شوند.

بیمه‌نامه‌های مرتبط با امنیت در حوزه اتریوم بسیار کم‌یاب است. برخلاف سیستم‌های مالی سنتی، برنامه‌های اتریوم دسترسی محدودی به بیمه دارند که کاربران و سازمان‌ها را در برابر زیان کامل ناشی از سوءاستفاده‌ها آسیب‌پذیر می‌کند.

در بخش حاکمیت، گزارش هشدار داده که لایه اجتماعی اتریوم که شامل توسعه‌دهندگان، نهادها و هنجارهای فرهنگی است، خود می‌تواند یک مسیر بالقوه برای حمله باشد. خطراتی مانند تمرکز استیک، فشارهای قانونی و نفوذ سازمانی ممکن است مسیر اتریوم را از بی‌طرفی خارج کنند.

کمبود فرآیندهای تعریف‌شده برای «کاهش اجتماعی» (social slashing) نیز به عنوان یک خلأ بحرانی در شرایطی مانند هم‌دستی اعتبارسنج‌ها یا تسلط بر پروتکل ذکر شده است.