L’évolution de la conservation des actifs cryptographiques est un problème urgent qui nécessite des contrôles d’audit stricts et une nouvelle gestion des clés pour rétablir la confiance.
À la suite du krach du marché de la cryptographie en 2022, les préoccupations concernant le risque de contrepartie sont devenues un sujet brûlant dans les discussions sur la gestion des risques cryptographiques et seront l’un des principaux facteurs qui façonneront l’avenir de la conservation en 2023 et au-delà.
À mesure que cet avenir devient réalité, le cadre réglementaire autour de la garde devient plus clair et tout ce qui est jugé imprudent ou inapproprié sur le plan opérationnel fera l’objet d’un examen minutieux. L’approche précédente de FTX en matière de chiffrement, qui stockait les actifs dans des portefeuilles à clé unique sur des serveurs cloud, manquait d’équipe de cybersécurité et ne parvenait pas à établir une gestion systématique des clés, ne sera plus acceptée par les clients et les régulateurs.
Mick Horgan, responsable de la garde chez Bullish, a déclaré : "Je me souviens avoir parcouru l'un des sites FTX, essayé de comprendre leur garde, essayé de comprendre leur système de garde sous-jacent. J'avais lu sur leurs délais de retrait rapides pour les transactions importantes, alors qu'apparemment maintenir la garde en toute sécurité de la plupart de leurs actifs. Comment font-ils cela ? Je n'en ai aucune idée. La réponse, bien sûr, est que la façon dont FTX fonctionne est exactement le contraire de la façon dont fonctionne Bullish.
Alors que l’adoption des actifs numériques continue de croître et que les échecs de 2022 appartiennent au passé, la manière dont les dépositaires tiers d’actifs numériques garantissent la sécurité de leurs fonds recevra une attention sans précédent, à la fois de la part des acteurs de la cryptographie et de ceux qui tentent d’en créer de nouveaux. pour l'industrie de la cryptographie, des régulateurs de normes plus sûres.
La clé de cette évolution réside dans la mise en œuvre généralisée d’un système de dépôt fiduciaire à plusieurs niveaux basé sur deux piliers fondamentaux : la gestion des clés et des contrôles d’audit stricts. Cela améliorera le niveau minimum acceptable de sécurité pour les dépositaires d’actifs et facilitera mieux la croissance de la cryptographie en rétablissant et en renforçant la confiance institutionnelle tout en empêchant de nouveaux événements de type cygne noir, tels que des crashs soudains de plateformes de trading.
1. La clé est la priorité absolue
On peut dire que lorsqu’on participe à l’industrie de la cryptographie, il n’y a rien de plus important que la garde sécurisée des actifs, alors pourquoi les dépositaires tiers ne sont-ils pas tenus de respecter des normes de gestion des clés plus élevées ? Dans le cas de FTX, lorsque l’entreprise a finalement mis en œuvre un portefeuille multi-signatures, elle a stocké les trois clés au même emplacement en ligne, allant à l’encontre de l’objectif initial d’un portefeuille multi-signatures.
"C'est l'équivalent d'acheter un coffre-fort sécurisé haut de gamme, d'y mettre tous vos objets de valeur, puis de repartir en laissant la porte grande ouverte. " - Mick Horgan, responsable de la garde chez Bullish.
Pour devenir un secteur plus intelligent et plus fort, donner la priorité à la gestion des clés dans des systèmes de dépôt fiduciaire à plusieurs niveaux constitue une référence claire pour les fournisseurs de dépôt tiers. Voici les principales fonctionnalités que Bullish recommande à toutes les agences d'hébergement de mettre en œuvre.
2. Stockage décentralisé des clés privées
Pour garantir qu’il n’y a pas de point de défaillance unique, les clés privées ne doivent pas être stockées au même endroit si elles sont compromises. Au lieu de cela, ils doivent être isolés les uns des autres et stockés hors ligne.
Dans un système de dépôt multi-niveaux bien conçu, la distribution des clés par le dépositaire se fera à l'aide d'une combinaison de portefeuilles froids, chauds et chauds afin de faciliter les transferts tout en minimisant le risque de perte ou de vol. Conformément aux meilleures pratiques, la plupart des actifs seront stockés en toute sécurité dans des portefeuilles hors ligne protégés par clé.
3. Assurer les protections matérielles, logicielles et opérationnelles
Lorsqu'il s'agit de gestion des clés, il est essentiel de mettre en place des protections à chaque niveau de votre système d'hébergement. Une fois établis, ils fourniront aux acteurs institutionnels et individuels de la cryptographie la confiance dont ils ont besoin pour participer aux options de dépôt tiers. Voici quelques bonnes pratiques à mettre en œuvre :
1) Garantie matérielle
Toutes les clés privées hors ligne sont isolées les unes des autres et stockées sur un périphérique de stockage sécurisé.
Stockez les clés en ligne dans un module sécurisé sur un serveur cloud protégé.
Garantissez une utilisation efficace du stockage frigorifique en stockant la majorité de vos actifs numériques hors ligne dans des portefeuilles froids.
2) Assurance logicielle
Tous les composants logiciels et systèmes d’exploitation hébergés doivent être signés cryptographiquement.
Le processus de signature devrait être réparti entre les participants indépendants via des portefeuilles multi-signatures pour accroître la protection contre la collusion.
Tirez parti des oracles basés sur la blockchain pour vérifier la provenance des opérations de dépôt fiduciaire et contrecarrer les attaques de l'homme du milieu.
3) Garantie de fonctionnement
Le protocole dicte quels portefeuilles interagissent les uns avec les autres, quelles clés sont nécessaires pour signer les transactions et limite la taille et la vitesse des transactions.
Les dépositaires d’actifs peuvent mettre en œuvre des systèmes de reprise après sinistre pour sauvegarder les clés, ce qui signifie que dans le pire des cas, tout n’est pas perdu.
Les sauvegardes de clés peuvent être stockées dans des emplacements distants dans des installations sécurisées partout dans le monde, garantissant une sécurité maximale.
4. Un contrôle de classe mondiale, sinon il n'y a rien
Les institutions et les individus ont commencé à explorer le monde du cryptage et sont confrontés à la question : « Si je perds ma clé, ne reste-t-il plus rien ?
Il s’agit aujourd’hui d’un moment de goulot d’étranglement majeur dans l’industrie de la cryptographie, les gens décidant de compter sur eux-mêmes ou de se retenir par peur de perdre leurs clés et de ses conséquences. La plupart des institutions ne souhaitent pas gérer leurs clés, mais elles se soucient profondément de la manière dont le dépositaire qu'ils ont choisi gère ces clés en leur nom ; une confiance totale fait la différence entre leur succès et leur échec dans leur adhésion à l'espace cryptographique.
"L'échec de FTX met en évidence l'importance de la garde. La garde, qui concerne simplement la sécurité des clés, ne peut être vraiment efficace que s'il existe des contrôles internes stricts, des procédures de documentation approfondies et une obsession pour la sécurité des actifs des clients. " a déclaré Mick Horgan, Responsable de la garde chez Bullish.
La mise en place de contrôles rigoureux et audités est essentielle pour aider les institutions à traverser des moments difficiles en instaurant la confiance dans les fournisseurs de dépôt fiduciaire. Ces contrôles peuvent prendre diverses formes, chacune d’entre elles constituant un élément important de la mise en place d’un système de sécurité complet.
Contrôle interne
Les contrôles internes aident à protéger les actifs des clients ; s’ils sont correctement mis en œuvre, ils devraient être capables de détecter, prévenir et limiter d’éventuels problèmes de portefeuille client. Voici les contrôles que Bullish a mis en place en interne pour donner l'exemple aux autres entreprises :
Séparation des tâches - Les responsabilités telles que la génération des clés, le stockage et l'approbation des transactions doivent être séparées pour réduire le risque de fraude et de vol dus à la collusion.
Récupération de portefeuille - Les entreprises doivent mettre en œuvre des contrôles pour récupérer en toute sécurité les portefeuilles à tout moment afin d'éviter toute perte d'accès aux clés.
Gestion des clés privées - La plupart des actifs doivent être stockés hors ligne dans des portefeuilles de stockage froid multi-signatures pour réduire le risque d'attaques en ligne.
Évaluation et gestion des risques - Les entreprises doivent continuellement procéder à des évaluations de sécurité et à des analyses de scénarios critiques.
Séparation des actifs - Les fonds des clients doivent être séparés des actifs de l'entreprise, afin de garantir qu'aucun mélange ne se produise sur un compte ou une adresse blockchain.
Surveillance - Une surveillance en temps réel des portefeuilles/transactions et un rapprochement de tous les portefeuilles et comptes doivent être mis en œuvre. Dans le meilleur des cas, une équipe dédiée à la cybersécurité mènera ce contrôle.
Contrôle d'accès - Avec plus de 80 % des failles de sécurité liées aux mots de passe, les mots de passe ne suffisent plus dans un secteur en proie aux cyberattaques et à la fraude. Des contrôles d'accès stricts et une authentification multifacteur doivent être mis en œuvre pour accéder à tous les systèmes privilégiés.
Employés - Les équipes de cybersécurité doivent mettre en œuvre un programme de formation approfondi en matière de sécurité pour garantir la protection des contributeurs à tous les niveaux de l'entreprise.
Tous les contrôles internes et politiques de sécurité doivent être régulièrement examinés et audités par des auditeurs externes, ce qui constitue la base des contrôles externes.
Contrôle externe
Pour compléter les contrôles internes et mieux répondre aux besoins des institutions, les dépositaires tiers de crypto doivent mettre à niveau leurs audits au moins selon les normes financières traditionnelles (TradFi). À cette fin, chaque dépositaire est tenu de procéder régulièrement à des audits indépendants par des auditeurs qualifiés (tels que les grands cabinets comptables).
Ces audits doivent évaluer les contrôles internes et la sécurité globale du dépositaire, garantir que les actifs des clients sont séparés des actifs du dépositaire et analyser la solvabilité du dépositaire en effectuant un audit de preuve de réserves.
Tracer un avenir sûr pour la cryptographie Pour que l'industrie de la cryptographie continue de progresser vers une adoption mondiale, les lacunes du passé doivent rester intactes, en particulier en ce qui concerne la conservation des cryptomonnaies. S’il y a une leçon à tirer de FTX, c’est bien la suivante : la crypto ne peut pas compter uniquement sur les gouvernements, les auditeurs et les régulateurs pour protéger ses participants. Au contraire, chaque institution et individu participant doit faire sa part pour demander des comptes aux dépositaires d’actifs. Si chacun joue son rôle, le secteur atteindra de nouveaux standards et deviendra un leader en matière de transparence, de gestion des risques et de sécurité dans la finance mondiale.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Pourquoi les cryptomonnaies évolueront-elles vers la conservation d’actifs à l’avenir ?
Auteur: BART HILLERICH
Traduction : Huohuo/Blockchain vernaculaire
L’évolution de la conservation des actifs cryptographiques est un problème urgent qui nécessite des contrôles d’audit stricts et une nouvelle gestion des clés pour rétablir la confiance.
À la suite du krach du marché de la cryptographie en 2022, les préoccupations concernant le risque de contrepartie sont devenues un sujet brûlant dans les discussions sur la gestion des risques cryptographiques et seront l’un des principaux facteurs qui façonneront l’avenir de la conservation en 2023 et au-delà.
À mesure que cet avenir devient réalité, le cadre réglementaire autour de la garde devient plus clair et tout ce qui est jugé imprudent ou inapproprié sur le plan opérationnel fera l’objet d’un examen minutieux. L’approche précédente de FTX en matière de chiffrement, qui stockait les actifs dans des portefeuilles à clé unique sur des serveurs cloud, manquait d’équipe de cybersécurité et ne parvenait pas à établir une gestion systématique des clés, ne sera plus acceptée par les clients et les régulateurs.
Mick Horgan, responsable de la garde chez Bullish, a déclaré : "Je me souviens avoir parcouru l'un des sites FTX, essayé de comprendre leur garde, essayé de comprendre leur système de garde sous-jacent. J'avais lu sur leurs délais de retrait rapides pour les transactions importantes, alors qu'apparemment maintenir la garde en toute sécurité de la plupart de leurs actifs. Comment font-ils cela ? Je n'en ai aucune idée. La réponse, bien sûr, est que la façon dont FTX fonctionne est exactement le contraire de la façon dont fonctionne Bullish.
Alors que l’adoption des actifs numériques continue de croître et que les échecs de 2022 appartiennent au passé, la manière dont les dépositaires tiers d’actifs numériques garantissent la sécurité de leurs fonds recevra une attention sans précédent, à la fois de la part des acteurs de la cryptographie et de ceux qui tentent d’en créer de nouveaux. pour l'industrie de la cryptographie, des régulateurs de normes plus sûres.
La clé de cette évolution réside dans la mise en œuvre généralisée d’un système de dépôt fiduciaire à plusieurs niveaux basé sur deux piliers fondamentaux : la gestion des clés et des contrôles d’audit stricts. Cela améliorera le niveau minimum acceptable de sécurité pour les dépositaires d’actifs et facilitera mieux la croissance de la cryptographie en rétablissant et en renforçant la confiance institutionnelle tout en empêchant de nouveaux événements de type cygne noir, tels que des crashs soudains de plateformes de trading.
1. La clé est la priorité absolue
On peut dire que lorsqu’on participe à l’industrie de la cryptographie, il n’y a rien de plus important que la garde sécurisée des actifs, alors pourquoi les dépositaires tiers ne sont-ils pas tenus de respecter des normes de gestion des clés plus élevées ? Dans le cas de FTX, lorsque l’entreprise a finalement mis en œuvre un portefeuille multi-signatures, elle a stocké les trois clés au même emplacement en ligne, allant à l’encontre de l’objectif initial d’un portefeuille multi-signatures.
"C'est l'équivalent d'acheter un coffre-fort sécurisé haut de gamme, d'y mettre tous vos objets de valeur, puis de repartir en laissant la porte grande ouverte. " - Mick Horgan, responsable de la garde chez Bullish.
Pour devenir un secteur plus intelligent et plus fort, donner la priorité à la gestion des clés dans des systèmes de dépôt fiduciaire à plusieurs niveaux constitue une référence claire pour les fournisseurs de dépôt tiers. Voici les principales fonctionnalités que Bullish recommande à toutes les agences d'hébergement de mettre en œuvre.
2. Stockage décentralisé des clés privées
Pour garantir qu’il n’y a pas de point de défaillance unique, les clés privées ne doivent pas être stockées au même endroit si elles sont compromises. Au lieu de cela, ils doivent être isolés les uns des autres et stockés hors ligne.
Dans un système de dépôt multi-niveaux bien conçu, la distribution des clés par le dépositaire se fera à l'aide d'une combinaison de portefeuilles froids, chauds et chauds afin de faciliter les transferts tout en minimisant le risque de perte ou de vol. Conformément aux meilleures pratiques, la plupart des actifs seront stockés en toute sécurité dans des portefeuilles hors ligne protégés par clé.
3. Assurer les protections matérielles, logicielles et opérationnelles
Lorsqu'il s'agit de gestion des clés, il est essentiel de mettre en place des protections à chaque niveau de votre système d'hébergement. Une fois établis, ils fourniront aux acteurs institutionnels et individuels de la cryptographie la confiance dont ils ont besoin pour participer aux options de dépôt tiers. Voici quelques bonnes pratiques à mettre en œuvre :
1) Garantie matérielle
Toutes les clés privées hors ligne sont isolées les unes des autres et stockées sur un périphérique de stockage sécurisé.
Stockez les clés en ligne dans un module sécurisé sur un serveur cloud protégé.
Garantissez une utilisation efficace du stockage frigorifique en stockant la majorité de vos actifs numériques hors ligne dans des portefeuilles froids.
2) Assurance logicielle
Tous les composants logiciels et systèmes d’exploitation hébergés doivent être signés cryptographiquement.
Le processus de signature devrait être réparti entre les participants indépendants via des portefeuilles multi-signatures pour accroître la protection contre la collusion.
Tirez parti des oracles basés sur la blockchain pour vérifier la provenance des opérations de dépôt fiduciaire et contrecarrer les attaques de l'homme du milieu.
3) Garantie de fonctionnement
Le protocole dicte quels portefeuilles interagissent les uns avec les autres, quelles clés sont nécessaires pour signer les transactions et limite la taille et la vitesse des transactions.
Les dépositaires d’actifs peuvent mettre en œuvre des systèmes de reprise après sinistre pour sauvegarder les clés, ce qui signifie que dans le pire des cas, tout n’est pas perdu.
Les sauvegardes de clés peuvent être stockées dans des emplacements distants dans des installations sécurisées partout dans le monde, garantissant une sécurité maximale.
4. Un contrôle de classe mondiale, sinon il n'y a rien
Les institutions et les individus ont commencé à explorer le monde du cryptage et sont confrontés à la question : « Si je perds ma clé, ne reste-t-il plus rien ?
Il s’agit aujourd’hui d’un moment de goulot d’étranglement majeur dans l’industrie de la cryptographie, les gens décidant de compter sur eux-mêmes ou de se retenir par peur de perdre leurs clés et de ses conséquences. La plupart des institutions ne souhaitent pas gérer leurs clés, mais elles se soucient profondément de la manière dont le dépositaire qu'ils ont choisi gère ces clés en leur nom ; une confiance totale fait la différence entre leur succès et leur échec dans leur adhésion à l'espace cryptographique.
"L'échec de FTX met en évidence l'importance de la garde. La garde, qui concerne simplement la sécurité des clés, ne peut être vraiment efficace que s'il existe des contrôles internes stricts, des procédures de documentation approfondies et une obsession pour la sécurité des actifs des clients. " a déclaré Mick Horgan, Responsable de la garde chez Bullish.
La mise en place de contrôles rigoureux et audités est essentielle pour aider les institutions à traverser des moments difficiles en instaurant la confiance dans les fournisseurs de dépôt fiduciaire. Ces contrôles peuvent prendre diverses formes, chacune d’entre elles constituant un élément important de la mise en place d’un système de sécurité complet.
Les contrôles internes aident à protéger les actifs des clients ; s’ils sont correctement mis en œuvre, ils devraient être capables de détecter, prévenir et limiter d’éventuels problèmes de portefeuille client. Voici les contrôles que Bullish a mis en place en interne pour donner l'exemple aux autres entreprises :
Séparation des tâches - Les responsabilités telles que la génération des clés, le stockage et l'approbation des transactions doivent être séparées pour réduire le risque de fraude et de vol dus à la collusion.
Récupération de portefeuille - Les entreprises doivent mettre en œuvre des contrôles pour récupérer en toute sécurité les portefeuilles à tout moment afin d'éviter toute perte d'accès aux clés.
Gestion des clés privées - La plupart des actifs doivent être stockés hors ligne dans des portefeuilles de stockage froid multi-signatures pour réduire le risque d'attaques en ligne.
Évaluation et gestion des risques - Les entreprises doivent continuellement procéder à des évaluations de sécurité et à des analyses de scénarios critiques.
Séparation des actifs - Les fonds des clients doivent être séparés des actifs de l'entreprise, afin de garantir qu'aucun mélange ne se produise sur un compte ou une adresse blockchain.
Surveillance - Une surveillance en temps réel des portefeuilles/transactions et un rapprochement de tous les portefeuilles et comptes doivent être mis en œuvre. Dans le meilleur des cas, une équipe dédiée à la cybersécurité mènera ce contrôle.
Contrôle d'accès - Avec plus de 80 % des failles de sécurité liées aux mots de passe, les mots de passe ne suffisent plus dans un secteur en proie aux cyberattaques et à la fraude. Des contrôles d'accès stricts et une authentification multifacteur doivent être mis en œuvre pour accéder à tous les systèmes privilégiés.
Employés - Les équipes de cybersécurité doivent mettre en œuvre un programme de formation approfondi en matière de sécurité pour garantir la protection des contributeurs à tous les niveaux de l'entreprise.
Tous les contrôles internes et politiques de sécurité doivent être régulièrement examinés et audités par des auditeurs externes, ce qui constitue la base des contrôles externes.
Pour compléter les contrôles internes et mieux répondre aux besoins des institutions, les dépositaires tiers de crypto doivent mettre à niveau leurs audits au moins selon les normes financières traditionnelles (TradFi). À cette fin, chaque dépositaire est tenu de procéder régulièrement à des audits indépendants par des auditeurs qualifiés (tels que les grands cabinets comptables).
Ces audits doivent évaluer les contrôles internes et la sécurité globale du dépositaire, garantir que les actifs des clients sont séparés des actifs du dépositaire et analyser la solvabilité du dépositaire en effectuant un audit de preuve de réserves.
Tracer un avenir sûr pour la cryptographie Pour que l'industrie de la cryptographie continue de progresser vers une adoption mondiale, les lacunes du passé doivent rester intactes, en particulier en ce qui concerne la conservation des cryptomonnaies. S’il y a une leçon à tirer de FTX, c’est bien la suivante : la crypto ne peut pas compter uniquement sur les gouvernements, les auditeurs et les régulateurs pour protéger ses participants. Au contraire, chaque institution et individu participant doit faire sa part pour demander des comptes aux dépositaires d’actifs. Si chacun joue son rôle, le secteur atteindra de nouveaux standards et deviendra un leader en matière de transparence, de gestion des risques et de sécurité dans la finance mondiale.