La evolución de la custodia de los criptoactivos es un tema apremiante que requiere estrictos controles de auditoría y una gestión de claves de la nueva era para reconstruir la confianza.
A raíz de la caída del mercado de criptomonedas de 2022, las preocupaciones sobre el riesgo de contraparte se han convertido en un tema candente en las discusiones sobre gestión de riesgos de criptomonedas y será uno de los impulsores clave que darán forma al futuro de la custodia en 2023 y más allá.
A medida que este futuro se haga realidad, el marco regulatorio en torno a la custodia se volverá más claro y cualquier cosa que se considere operativamente imprudente o inapropiada enfrentará un intenso escrutinio. El enfoque anterior de cifrado de FTX, que almacenaba activos en billeteras de una sola clave en servidores en la nube, carecía de un equipo de ciberseguridad y no logró establecer una gestión sistemática de claves, ya no será aceptado por los clientes y reguladores.
Mick Horgan, Jefe de Custodia de Bullish, dijo: "Recuerdo navegar por uno de los sitios FTX, tratando de averiguar su custodia, tratando de entender su sistema de custodia subyacente. Había leído sobre sus rápidos tiempos de retiro para transacciones grandes, mientras que aparentemente "Mantener la custodia segura de la mayoría de sus activos. ¿Cómo lo hacen? No tengo idea. La respuesta, por supuesto, es que la forma en que opera FTX es exactamente opuesta a cómo opera Bullish".
A medida que la adopción de activos digitales continúa creciendo y las fallas de 2022 se convierten en cosa del pasado, la forma en que los custodios externos de activos digitales garantizan la seguridad de sus fondos recibirá una atención sin precedentes, tanto por parte de los criptojugadores como de aquellos que intentan establecer otros nuevos. para la industria de la criptografía, reguladores de estándares más seguros.
La clave de esta evolución es la implementación generalizada de un sistema de custodia de múltiples niveles basado en dos pilares fundamentales: gestión de claves y estrictos controles de auditoría. Hacerlo mejorará el nivel mínimo aceptable de seguridad para los custodios de activos y facilitará mejor el crecimiento de las criptomonedas al restablecer y fortalecer la confianza institucional y al mismo tiempo prevenir nuevos eventos de cisne negro, como caídas repentinas de plataformas comerciales.
1. La clave es la máxima prioridad
Se puede decir que cuando se participa en la industria de la criptografía, no hay nada más importante que la custodia segura de los activos, entonces, ¿por qué no se exige a los custodios externos que cumplan con estándares más altos de gestión de claves? En el caso de FTX, cuando la empresa finalmente implementó una billetera multifirma, almacenó las tres claves en la misma ubicación en línea, frustrando el propósito original de una billetera multifirma.
"Es el equivalente a comprar una bóveda segura de alta gama, poner todos sus objetos de valor en ella y luego marcharse, dejando la puerta abierta de par en par." – Mick Horgan, Jefe de Custodia de Bullish.
Para avanzar como una industria más inteligente y más fuerte, priorizar la gestión de claves en sistemas de custodia de múltiples niveles es un punto de referencia claro para los proveedores externos de custodia. Estas son las características clave que Bullish recomienda que todas las agencias de alojamiento implementen.
2. Almacenamiento de clave privada descentralizado
Para garantizar que no haya un único punto de falla, las claves privadas no deben almacenarse en un solo lugar si se ven comprometidas. En lugar de ello, deberían aislarse unos de otros y almacenarse fuera de línea.
En un sistema de depósito en garantía de varios niveles bien diseñado, la distribución de claves por parte del custodio se realizará utilizando una combinación de billeteras frías, tibias y calientes para facilitar las transferencias y minimizar el riesgo de pérdida o robo. Siguiendo las mejores prácticas, la mayoría de los activos se almacenarán de forma segura en billeteras protegidas con claves fuera de línea.
3. Garantizar salvaguardias operativas, de hardware y de software
Cuando se trata de gestión de claves, es fundamental contar con medidas de seguridad en todos los niveles de su sistema de alojamiento. Una vez establecidos, brindarán a los criptojugadores institucionales e individuales la confianza que necesitan para participar en opciones de depósito en garantía de terceros. Estas son algunas de las mejores prácticas que deberían implementarse:
1) Garantía de hardware
Todas las claves privadas fuera de línea están aisladas entre sí y almacenadas en un dispositivo de almacenamiento seguro.
Almacene las claves en línea en un módulo seguro en un servidor en la nube protegido.
Garantice el uso eficiente del almacenamiento en frío almacenando la mayoría de sus activos digitales fuera de línea en billeteras frías.
2) Garantía de software
Todos los componentes de software y sistemas operativos alojados deben estar firmados criptográficamente.
El proceso de firma debe distribuirse entre participantes independientes a través de billeteras de firmas múltiples para aumentar la protección contra la colusión.
Aproveche los oráculos basados en blockchain para verificar la procedencia de las operaciones de depósito en garantía y frustrar los ataques de intermediarios.
3) Garantía de funcionamiento
El protocolo dicta qué billeteras interactúan entre sí, qué claves se requieren para firmar transacciones y límites en el tamaño y la velocidad de las transacciones.
Los custodios de activos pueden implementar sistemas de recuperación ante desastres para realizar copias de seguridad de las claves, lo que significa que en el peor de los casos no todo está perdido.
Las copias de seguridad clave se pueden almacenar en ubicaciones remotas en instalaciones seguras en todo el mundo, lo que garantiza la máxima seguridad.
4. Control de clase mundial, de lo contrario no hay nada
Tanto las instituciones como los individuos han comenzado a explorar el mundo del cifrado y se enfrentan a la pregunta: "Si pierdo mi clave, ¿no quedará nada?".
Este es un momento de cuello de botella importante en la industria de la criptografía actual, en el que las personas deciden confiar en sí mismas o reprimirse por temor a perder sus claves y sus consecuencias. La mayoría de las instituciones no quieren administrar sus claves, pero se preocupan profundamente por cómo el custodio elegido administra esas claves en su nombre; la plena confianza es la diferencia entre el éxito y el fracaso al unirse al espacio criptográfico.
"El fracaso de FTX pone de relieve la importancia de la custodia. La custodia, que consiste simplemente en la seguridad de las claves, sólo puede ser verdaderamente eficaz si existen controles internos sólidos, procedimientos de documentación exhaustivos y una obsesión por la seguridad de los activos del cliente", dijo Mick Horgan, Jefe de Custodia de Bullish.
Establecer controles rigurosos y auditados es fundamental para ayudar a las instituciones a superar tiempos difíciles infundiendo confianza en los proveedores de depósitos en garantía. Estos controles pueden adoptar diversas formas, cada una de las cuales es una parte importante de la construcción de un sistema de seguridad integral.
control interno
Los controles internos ayudan a proteger los activos de los clientes; si se implementan correctamente, deberían poder detectar, prevenir y limitar posibles problemas con la cartera de los clientes. Estos son los controles que Bullish ha implementado internamente para dar un claro ejemplo a otras empresas:
Segregación de funciones - Responsabilidades como la generación de claves, el almacenamiento y la aprobación de transacciones deben separarse para reducir el riesgo de fraude y robo debido a la colusión.
Recuperación de billeteras: las empresas deben implementar controles para recuperar billeteras de forma segura en cualquier momento para evitar cualquier pérdida de acceso a las claves.
Gestión de claves privadas: la mayoría de los activos deben almacenarse fuera de línea en billeteras de almacenamiento en frío con múltiples firmas para reducir el riesgo de ataques en línea.
Evaluación y gestión de riesgos - Las empresas deben realizar continuamente evaluaciones de seguridad y análisis de escenarios críticos.
Separación de activos: los fondos del cliente deben estar separados de los activos de la empresa, asegurando que no se produzca ninguna mezcla en ninguna cuenta o dirección de blockchain.
Monitoreo: se debe implementar el monitoreo en tiempo real de billeteras/transacciones y la conciliación de todas las billeteras y cuentas. En el mejor de los casos, un equipo de ciberseguridad dedicado liderará este control.
Control de acceso: con más del 80% de las violaciones de seguridad relacionadas con contraseñas, las contraseñas ya no son suficientes en una industria plagada de ciberataques y fraudes. Se deben implementar controles de acceso estrictos y autenticación multifactor para el acceso a todos los sistemas privilegiados.
Empleados: los equipos de ciberseguridad deben implementar un programa de capacitación en seguridad en profundidad para garantizar que los contribuyentes estén protegidos en todos los niveles de la empresa.
Todos los controles internos y las políticas de seguridad deben ser revisados y auditados periódicamente por auditores externos, que es la base de los controles externos.
control externo
Para complementar los controles internos y atender mejor las necesidades de las instituciones, los custodios de criptomonedas externos deben actualizar sus auditorías al menos a los estándares financieros tradicionales (TradFi). Para ello, cada custodio debe realizar periódicamente auditorías independientes realizadas por auditores cualificados (como las cuatro grandes empresas contables).
Estas auditorías deben evaluar los controles internos y la seguridad general del custodio, garantizar que los activos de los clientes se mantengan separados de los activos del custodio y analizar la solvencia del custodio completando una auditoría de prueba de reservas.
Trazando un futuro seguro en las criptomonedas Para que la industria de las criptomonedas continúe avanzando hacia la adopción global, las deficiencias del pasado deben permanecer intactas, especialmente cuando se trata de la custodia de las criptomonedas. Si hay una lección que aprender de FTX, es esta: las criptomonedas no pueden depender únicamente de los gobiernos, auditores y reguladores para proteger a sus participantes. Más bien, cada institución e individuo participante debe hacer su parte para responsabilizar a los custodios de activos. Si todos ponen de su parte, la industria alcanzará un nuevo estándar y se convertirá en líder en transparencia, gestión de riesgos y seguridad en las finanzas globales.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
¿Por qué las criptomonedas evolucionarán hacia la custodia de activos en el futuro?
Autor: BART HILLERICH
Traducción: Huohuo/Blockchain vernácula
La evolución de la custodia de los criptoactivos es un tema apremiante que requiere estrictos controles de auditoría y una gestión de claves de la nueva era para reconstruir la confianza.
A raíz de la caída del mercado de criptomonedas de 2022, las preocupaciones sobre el riesgo de contraparte se han convertido en un tema candente en las discusiones sobre gestión de riesgos de criptomonedas y será uno de los impulsores clave que darán forma al futuro de la custodia en 2023 y más allá.
A medida que este futuro se haga realidad, el marco regulatorio en torno a la custodia se volverá más claro y cualquier cosa que se considere operativamente imprudente o inapropiada enfrentará un intenso escrutinio. El enfoque anterior de cifrado de FTX, que almacenaba activos en billeteras de una sola clave en servidores en la nube, carecía de un equipo de ciberseguridad y no logró establecer una gestión sistemática de claves, ya no será aceptado por los clientes y reguladores.
Mick Horgan, Jefe de Custodia de Bullish, dijo: "Recuerdo navegar por uno de los sitios FTX, tratando de averiguar su custodia, tratando de entender su sistema de custodia subyacente. Había leído sobre sus rápidos tiempos de retiro para transacciones grandes, mientras que aparentemente "Mantener la custodia segura de la mayoría de sus activos. ¿Cómo lo hacen? No tengo idea. La respuesta, por supuesto, es que la forma en que opera FTX es exactamente opuesta a cómo opera Bullish".
A medida que la adopción de activos digitales continúa creciendo y las fallas de 2022 se convierten en cosa del pasado, la forma en que los custodios externos de activos digitales garantizan la seguridad de sus fondos recibirá una atención sin precedentes, tanto por parte de los criptojugadores como de aquellos que intentan establecer otros nuevos. para la industria de la criptografía, reguladores de estándares más seguros.
La clave de esta evolución es la implementación generalizada de un sistema de custodia de múltiples niveles basado en dos pilares fundamentales: gestión de claves y estrictos controles de auditoría. Hacerlo mejorará el nivel mínimo aceptable de seguridad para los custodios de activos y facilitará mejor el crecimiento de las criptomonedas al restablecer y fortalecer la confianza institucional y al mismo tiempo prevenir nuevos eventos de cisne negro, como caídas repentinas de plataformas comerciales.
1. La clave es la máxima prioridad
Se puede decir que cuando se participa en la industria de la criptografía, no hay nada más importante que la custodia segura de los activos, entonces, ¿por qué no se exige a los custodios externos que cumplan con estándares más altos de gestión de claves? En el caso de FTX, cuando la empresa finalmente implementó una billetera multifirma, almacenó las tres claves en la misma ubicación en línea, frustrando el propósito original de una billetera multifirma.
"Es el equivalente a comprar una bóveda segura de alta gama, poner todos sus objetos de valor en ella y luego marcharse, dejando la puerta abierta de par en par." – Mick Horgan, Jefe de Custodia de Bullish.
Para avanzar como una industria más inteligente y más fuerte, priorizar la gestión de claves en sistemas de custodia de múltiples niveles es un punto de referencia claro para los proveedores externos de custodia. Estas son las características clave que Bullish recomienda que todas las agencias de alojamiento implementen.
2. Almacenamiento de clave privada descentralizado
Para garantizar que no haya un único punto de falla, las claves privadas no deben almacenarse en un solo lugar si se ven comprometidas. En lugar de ello, deberían aislarse unos de otros y almacenarse fuera de línea.
En un sistema de depósito en garantía de varios niveles bien diseñado, la distribución de claves por parte del custodio se realizará utilizando una combinación de billeteras frías, tibias y calientes para facilitar las transferencias y minimizar el riesgo de pérdida o robo. Siguiendo las mejores prácticas, la mayoría de los activos se almacenarán de forma segura en billeteras protegidas con claves fuera de línea.
3. Garantizar salvaguardias operativas, de hardware y de software
Cuando se trata de gestión de claves, es fundamental contar con medidas de seguridad en todos los niveles de su sistema de alojamiento. Una vez establecidos, brindarán a los criptojugadores institucionales e individuales la confianza que necesitan para participar en opciones de depósito en garantía de terceros. Estas son algunas de las mejores prácticas que deberían implementarse:
1) Garantía de hardware
Todas las claves privadas fuera de línea están aisladas entre sí y almacenadas en un dispositivo de almacenamiento seguro.
Almacene las claves en línea en un módulo seguro en un servidor en la nube protegido.
Garantice el uso eficiente del almacenamiento en frío almacenando la mayoría de sus activos digitales fuera de línea en billeteras frías.
2) Garantía de software
Todos los componentes de software y sistemas operativos alojados deben estar firmados criptográficamente.
El proceso de firma debe distribuirse entre participantes independientes a través de billeteras de firmas múltiples para aumentar la protección contra la colusión.
Aproveche los oráculos basados en blockchain para verificar la procedencia de las operaciones de depósito en garantía y frustrar los ataques de intermediarios.
3) Garantía de funcionamiento
El protocolo dicta qué billeteras interactúan entre sí, qué claves se requieren para firmar transacciones y límites en el tamaño y la velocidad de las transacciones.
Los custodios de activos pueden implementar sistemas de recuperación ante desastres para realizar copias de seguridad de las claves, lo que significa que en el peor de los casos no todo está perdido.
Las copias de seguridad clave se pueden almacenar en ubicaciones remotas en instalaciones seguras en todo el mundo, lo que garantiza la máxima seguridad.
4. Control de clase mundial, de lo contrario no hay nada
Tanto las instituciones como los individuos han comenzado a explorar el mundo del cifrado y se enfrentan a la pregunta: "Si pierdo mi clave, ¿no quedará nada?".
Este es un momento de cuello de botella importante en la industria de la criptografía actual, en el que las personas deciden confiar en sí mismas o reprimirse por temor a perder sus claves y sus consecuencias. La mayoría de las instituciones no quieren administrar sus claves, pero se preocupan profundamente por cómo el custodio elegido administra esas claves en su nombre; la plena confianza es la diferencia entre el éxito y el fracaso al unirse al espacio criptográfico.
"El fracaso de FTX pone de relieve la importancia de la custodia. La custodia, que consiste simplemente en la seguridad de las claves, sólo puede ser verdaderamente eficaz si existen controles internos sólidos, procedimientos de documentación exhaustivos y una obsesión por la seguridad de los activos del cliente", dijo Mick Horgan, Jefe de Custodia de Bullish.
Establecer controles rigurosos y auditados es fundamental para ayudar a las instituciones a superar tiempos difíciles infundiendo confianza en los proveedores de depósitos en garantía. Estos controles pueden adoptar diversas formas, cada una de las cuales es una parte importante de la construcción de un sistema de seguridad integral.
Los controles internos ayudan a proteger los activos de los clientes; si se implementan correctamente, deberían poder detectar, prevenir y limitar posibles problemas con la cartera de los clientes. Estos son los controles que Bullish ha implementado internamente para dar un claro ejemplo a otras empresas:
Segregación de funciones - Responsabilidades como la generación de claves, el almacenamiento y la aprobación de transacciones deben separarse para reducir el riesgo de fraude y robo debido a la colusión.
Recuperación de billeteras: las empresas deben implementar controles para recuperar billeteras de forma segura en cualquier momento para evitar cualquier pérdida de acceso a las claves.
Gestión de claves privadas: la mayoría de los activos deben almacenarse fuera de línea en billeteras de almacenamiento en frío con múltiples firmas para reducir el riesgo de ataques en línea.
Evaluación y gestión de riesgos - Las empresas deben realizar continuamente evaluaciones de seguridad y análisis de escenarios críticos.
Separación de activos: los fondos del cliente deben estar separados de los activos de la empresa, asegurando que no se produzca ninguna mezcla en ninguna cuenta o dirección de blockchain.
Monitoreo: se debe implementar el monitoreo en tiempo real de billeteras/transacciones y la conciliación de todas las billeteras y cuentas. En el mejor de los casos, un equipo de ciberseguridad dedicado liderará este control.
Control de acceso: con más del 80% de las violaciones de seguridad relacionadas con contraseñas, las contraseñas ya no son suficientes en una industria plagada de ciberataques y fraudes. Se deben implementar controles de acceso estrictos y autenticación multifactor para el acceso a todos los sistemas privilegiados.
Empleados: los equipos de ciberseguridad deben implementar un programa de capacitación en seguridad en profundidad para garantizar que los contribuyentes estén protegidos en todos los niveles de la empresa.
Todos los controles internos y las políticas de seguridad deben ser revisados y auditados periódicamente por auditores externos, que es la base de los controles externos.
Para complementar los controles internos y atender mejor las necesidades de las instituciones, los custodios de criptomonedas externos deben actualizar sus auditorías al menos a los estándares financieros tradicionales (TradFi). Para ello, cada custodio debe realizar periódicamente auditorías independientes realizadas por auditores cualificados (como las cuatro grandes empresas contables).
Estas auditorías deben evaluar los controles internos y la seguridad general del custodio, garantizar que los activos de los clientes se mantengan separados de los activos del custodio y analizar la solvencia del custodio completando una auditoría de prueba de reservas.
Trazando un futuro seguro en las criptomonedas Para que la industria de las criptomonedas continúe avanzando hacia la adopción global, las deficiencias del pasado deben permanecer intactas, especialmente cuando se trata de la custodia de las criptomonedas. Si hay una lección que aprender de FTX, es esta: las criptomonedas no pueden depender únicamente de los gobiernos, auditores y reguladores para proteger a sus participantes. Más bien, cada institución e individuo participante debe hacer su parte para responsabilizar a los custodios de activos. Si todos ponen de su parte, la industria alcanzará un nuevo estándar y se convertirá en líder en transparencia, gestión de riesgos y seguridad en las finanzas globales.