CER platforma za sertifikaciju kibernetičke sigurnosti kaže da velika većina novčanika ne unajmljuje vanjske stručnjake za izvođenje testova penetracije.

U julskom izvještaju platforme CER za sertifikaciju kibernetičke sigurnosti utvrđeno je da je samo 6 od 45 brendova novčanika kriptovaluta, ili 13,3%, prošlo testiranje penetracije kako bi se pronašli sigurnosni propusti. Od njih, samo polovina je izvršila testove na najnovijim verzijama svojih proizvoda.

3 brenda koja su uradila najnovije testove penetracije su MetaMask, ZenGo i Trust Wallet, navodi se u izvještaju. Rabby i Bifrost su izvršili testiranje penetracije na starijim verzijama svog softvera, a Ledger Live je to uradio na nepoznatoj verziji (navedenoj kao “N/A” u izvještaju). Svi ostali navedeni brendovi nisu pružili nikakve dokaze da su izvršili ove testove.

Izvještaj je takođe pružio ukupan nivo sigurnosti svakog novčanika, navodeći MetaMask, ZenGo, Rabby, Trust Wallet i Coinbase Wallet kao najsigurnije novčanike u totalu.

“Testiranje penetracije” je metoda pronalaženja sigurnosnih propusta u računarskim sistemima ili softveru. Istraživač sigurnosti pokušava hakovati uređaj ili softver i koristiti ga u svrhe za koje nije namijenjen. U većini slučajeva, testeru penetracije se daje malo ili nimalo informacija o tome kako proizvod radi. Ovaj proces se koristi za simulaciju pokušaja hakovanja u stvarnom svijetu kako bi se otkrile ranjivosti prije nego što se proizvod pusti.

CER je otkrio da 39 od 45 brendova novčanika uopšte nije izvršilo testiranje penetracije, čak ni na starijim verzijama softvera. CER je nagađao da razlog može biti taj što su ovi testovi skupi, posebno ako kompanija radi česte nadogradnje svojih proizvoda, navodeći: „Pripisujemo to količini ažuriranja koju prosječna aplikacija ima, pri čemu svako novo ažuriranje može diskvalifikovati pentest napravljen ranije .”

CER je otkrio da je veća vjerovatnoća da će najpopularniji brendovi novčanika obavljati sigurnosne revizije, uključujući testove penetracije, jer su često imali sredstva za to:

“U suštini, popularni novčanici imaju tendenciju da usvoje robusnije sigurnosne mjere kako bi zaštitili svoju sve veću bazu korisnika. Ovo se čini logičnim – veća baza korisnika često odgovara značajnijim sredstvima za osiguranje, većoj vidljivosti, a samim tim i više potencijalnih prijetnji. To takođe može rezultirati pozitivnim povratnim informacijama, sa sigurnijim novčanicima koji privlače nove korisnike u većem broju od onih manje sigurnih.”

CER-ovo rangiranje novčanika zasnivalo se na metodologiji koja je uključivala faktore kao što su nagrade za greške, prošli incidenti i sigurnosne karakteristike kao što su metode vraćanja i zahtjevi vezani za lozinku.

Iako većina brendova novčanika ne provodi testiranje penetracije, CER je naveo da se mnogi od njih oslanjaju na nagrade za greške da bi pronašli ranjivosti, što je često učinkovito sredstvo za sprječavanje hakova. Firma je ocijenila 47 od 159 pojedinačnih novčanika kao “sigurne” ukupno, što znači da su imali sigurnosnu ocjenu iznad 60. Ovih 159 novčanika uključivalo je neke od istih brendova. Na primjer, MetaMask za Edge pretraživač se smatrao zasebnim novčanikom od MetaMask za Android.

Sigurnost novčanika postala je hitan problem 2023. godine, jer je 3. juna izgubljeno više od 100 miliona dolara u hakovanju Atomic Wallet-a. Atomic tim je špekulisao da je proboj možda bio uzrokovan virusom ili ubacivanjem malware-a u infrastrukturu kompanije, ali tačna ranjivost koja je omogućila napad je još uvijek nepoznata. Web novčanik MyAlgo je takođe pretrpio sigurnosni proboj krajem februara, što je rezultiralo procijenjenim gubitkom za korisnike od preko 9 miliona dolara.

Upozorenje

Na samom kraju morate imati na umu da je ulaganje u kriptovalute i druge početne ponude kovanica („ICO“ – Initial Coin Offer) jako rizično i špekulativno, pa ovaj tekst nije preporuka vlasnika stranice kripto.ba ili pisca ovog teksta, da ulažu u kriptovalute ili druge ICO. Pošto je situacija svakog pojedinca jedinstvena, prije donošenja bilo kakve finansijske odluke, uvijek trebate konsultovati kvalifikovanog stručnjaka za ulaganja. Kripto.ba ne daje nikakve garancije u pogledu tačnosti ili pravovremenosti ovdje sadržanih informacija.