Evolusi penyimpanan aset kripto adalah masalah mendesak yang memerlukan kontrol audit yang ketat dan manajemen kunci zaman baru untuk membangun kembali kepercayaan.
Setelah jatuhnya pasar kripto pada tahun 2022, kekhawatiran tentang risiko pihak lawan telah menjadi topik hangat dalam diskusi manajemen risiko kripto dan akan menjadi salah satu pendorong utama yang membentuk masa depan penyimpanan pada tahun 2023 dan seterusnya.
Ketika masa depan ini menjadi kenyataan, kerangka peraturan seputar hak asuh menjadi lebih jelas dan segala sesuatu yang secara operasional dianggap tidak bijaksana atau tidak pantas akan menghadapi pengawasan ketat. Pendekatan enkripsi FTX sebelumnya, yang menyimpan aset dalam dompet satu kunci di server cloud, tidak memiliki tim keamanan siber, dan gagal membangun manajemen kunci yang sistematis, tidak akan lagi diterima oleh pelanggan dan regulator.
Mick Horgan, Kepala Penitipan di Bullish, mengatakan: "Saya ingat menjelajahi salah satu situs FTX, mencoba mencari tahu hak asuh mereka, mencoba memahami sistem hak asuh yang mendasarinya. Saya telah membaca tentang waktu penarikan mereka yang cepat untuk transaksi besar, sementara sepertinya mempertahankan penyimpanan yang aman atas sebagian besar aset mereka. Bagaimana mereka melakukan itu? Saya tidak tahu. Jawabannya, tentu saja, adalah cara FTX beroperasi adalah kebalikan dari cara Bullish beroperasi.”
Ketika adopsi aset digital terus tumbuh dan kegagalan pada tahun 2022 sudah berlalu, cara kustodian aset digital pihak ketiga memastikan keamanan dana mereka akan mendapat perhatian yang belum pernah terjadi sebelumnya, baik dari pemain kripto maupun mereka yang mencoba membangun aset digital baru. untuk industri kripto regulator standar yang lebih aman.
Kunci dari evolusi ini adalah penerapan sistem escrow multi-tingkat secara luas berdasarkan dua pilar mendasar: manajemen kunci dan kontrol audit yang ketat. Melakukan hal ini akan meningkatkan tingkat keamanan minimum yang dapat diterima bagi penjaga aset dan memfasilitasi pertumbuhan kripto dengan lebih baik dengan membangun kembali dan memperkuat kepercayaan institusional sambil mencegah peristiwa angsa hitam baru, seperti jatuhnya platform perdagangan secara tiba-tiba.
1. Kuncinya adalah prioritas utama
Dapat dikatakan bahwa ketika berpartisipasi dalam industri kripto, tidak ada yang lebih penting daripada penyimpanan aset yang aman, jadi mengapa kustodian pihak ketiga tidak diharuskan untuk memenuhi standar manajemen kunci yang lebih tinggi? Dalam kasus FTX, ketika perusahaan akhirnya menerapkan dompet multi-tanda tangan, mereka menyimpan ketiga kunci di lokasi online yang sama, sehingga menggagalkan tujuan awal dompet multi-tanda tangan.
“Ini setara dengan membeli brankas kelas atas yang aman, memasukkan semua barang berharga Anda ke dalamnya, lalu pergi, membiarkan pintunya terbuka lebar.” – Mick Horgan, Kepala Penitipan di Bullish.
Untuk maju sebagai industri yang lebih cerdas dan kuat, memprioritaskan manajemen kunci dalam sistem escrow multi-tingkat adalah tolok ukur yang jelas bagi penyedia escrow pihak ketiga. Berikut adalah fitur-fitur utama yang Bullish rekomendasikan untuk diterapkan oleh semua agensi hosting.
2. Penyimpanan kunci pribadi terdesentralisasi
Untuk memastikan tidak ada satu titik kegagalan pun, kunci pribadi tidak boleh disimpan hanya di satu tempat jika disusupi. Sebaliknya, mereka harus diisolasi satu sama lain dan disimpan secara offline.
Dalam sistem escrow multi-tingkat yang dirancang dengan baik, pendistribusian kunci oleh kustodian akan dilakukan menggunakan kombinasi dompet dingin, hangat, dan panas untuk memfasilitasi transfer sekaligus meminimalkan risiko kehilangan atau pencurian. Mengikuti praktik terbaik, sebagian besar aset akan disimpan dengan aman di dompet offline yang dilindungi kunci.
3. Memastikan perlindungan perangkat keras, perangkat lunak, dan operasional
Terkait manajemen kunci, penting untuk menerapkan perlindungan di setiap tingkat sistem hosting Anda. Setelah terbentuk, mereka akan memberikan kepercayaan diri yang dibutuhkan pemain kripto institusional dan individu untuk berpartisipasi dalam opsi escrow pihak ketiga. Berikut beberapa praktik terbaik yang harus diterapkan:
1) Jaminan perangkat keras
Semua kunci pribadi offline diisolasi satu sama lain dan disimpan di perangkat penyimpanan yang aman.
Simpan kunci online dalam modul aman di server cloud yang dilindungi.
Pastikan penggunaan penyimpanan dingin secara efisien dengan menyimpan sebagian besar kepemilikan aset digital Anda secara offline di dompet dingin.
2) Jaminan perangkat lunak
Semua komponen perangkat lunak dan sistem operasi yang dihosting harus ditandatangani secara kriptografis.
Proses penandatanganan harus didistribusikan di antara peserta independen melalui dompet multi-tanda tangan untuk meningkatkan perlindungan terhadap kolusi.
Manfaatkan oracle berbasis blockchain untuk memverifikasi asal muasal operasi escrow dan menggagalkan serangan man-in-the-middle.
3) Jaminan pengoperasian
Protokol menentukan dompet mana yang berinteraksi satu sama lain, kunci mana yang diperlukan untuk menandatangani transaksi, dan batasan ukuran dan kecepatan transaksi.
Penjaga aset dapat menerapkan sistem pemulihan bencana untuk membuat cadangan kunci, yang berarti bahwa dalam skenario terburuk, tidak semuanya hilang.
Cadangan kunci dapat disimpan di lokasi terpencil di fasilitas aman di seluruh dunia, memastikan keamanan maksimum.
4. Kontrol kelas dunia, kalau tidak tidak ada apa-apa
Institusi dan individu sudah mulai menjelajahi dunia enkripsi dan dihadapkan pada pertanyaan: “Jika saya kehilangan kunci, apakah tidak ada lagi yang tersisa?”
Ini adalah momen hambatan besar dalam industri kripto saat ini, dimana orang-orang memutuskan untuk mengandalkan diri mereka sendiri atau menahan diri karena takut kehilangan kunci dan konsekuensinya. Sebagian besar institusi tidak ingin mengelola kunci mereka, namun mereka sangat peduli tentang bagaimana kustodian yang mereka pilih mengelola kunci tersebut atas nama mereka; kepercayaan penuh adalah perbedaan antara keberhasilan dan kegagalan mereka dalam bergabung dengan ruang kripto.
"Kegagalan FTX menyoroti pentingnya penitipan. Penitipan, yang sebenarnya tentang keamanan kunci, hanya dapat benar-benar efektif jika terdapat kontrol internal yang kuat, prosedur dokumentasi yang menyeluruh, dan obsesi terhadap keamanan aset pelanggan." kata Mick Horgan, Kepala Penitipan di Bullish.
Menetapkan kontrol yang ketat dan teraudit sangat penting untuk membantu institusi mengatasi masa-masa sulit dengan menanamkan kepercayaan pada penyedia dana escrow. Pengendalian ini dapat dilakukan dalam berbagai bentuk, yang masing-masing merupakan bagian penting dalam membangun sistem keamanan yang komprehensif.
Pengendalian internal
Pengendalian internal membantu melindungi aset pelanggan; jika diterapkan dengan benar, pengendalian tersebut harus mampu mendeteksi, mencegah, dan membatasi kemungkinan masalah dompet pelanggan. Berikut adalah kontrol yang diterapkan Bullish secara internal untuk memberikan contoh yang jelas bagi perusahaan lain:
Pemisahan tugas - Tanggung jawab seperti pembuatan kunci, penyimpanan dan persetujuan transaksi harus dipisahkan untuk mengurangi risiko penipuan dan pencurian karena kolusi.
Pemulihan Dompet - Perusahaan harus menerapkan kontrol untuk memulihkan dompet dengan aman kapan saja untuk mencegah hilangnya akses kunci.
Manajemen Kunci Pribadi - Sebagian besar aset harus disimpan secara offline di dompet penyimpanan dingin multi-tanda tangan untuk mengurangi risiko serangan online.
Penilaian dan manajemen risiko - Perusahaan harus terus melakukan penilaian keamanan dan analisis skenario kritis.
Pemisahan Aset - Dana klien harus dipisahkan dari aset perusahaan, memastikan tidak terjadi pencampuran pada akun atau alamat blockchain mana pun.
Pemantauan - Pemantauan dompet/transaksi secara real-time dan rekonsiliasi semua dompet dan akun harus diterapkan. Dalam skenario terbaik, tim keamanan siber khusus akan memimpin pengendalian ini.
Kontrol Akses - Dengan lebih dari 80% pelanggaran keamanan terkait dengan kata sandi, kata sandi tidak lagi cukup di industri yang dilanda serangan siber dan penipuan. Kontrol akses yang ketat dan autentikasi multifaktor harus diterapkan untuk akses ke semua sistem yang memiliki hak istimewa.
Karyawan - Tim keamanan siber harus menerapkan program pelatihan keamanan mendalam untuk memastikan kontributor terlindungi di setiap tingkat perusahaan.
Semua pengendalian internal dan kebijakan keamanan harus ditinjau dan diaudit secara berkala oleh auditor eksternal, yang merupakan dasar pengendalian eksternal.
Pengendalian eksternal
Untuk melengkapi kontrol internal dan melayani kebutuhan institusi dengan lebih baik, kustodian kripto pihak ketiga perlu meningkatkan audit mereka setidaknya ke standar keuangan tradisional (TradFi). Untuk mencapai tujuan ini, setiap kustodian diharuskan melakukan audit independen secara berkala oleh auditor yang berkualifikasi (seperti firma akuntansi Big Four).
Audit ini harus mengevaluasi pengendalian internal kustodian dan keamanan keseluruhan, memastikan aset klien disimpan terpisah dari aset kustodian, dan menganalisis solvabilitas kustodian dengan melengkapi bukti audit cadangan.
Memetakan Masa Depan yang Aman dalam Kripto Agar industri kripto dapat terus bergerak menuju adopsi global, kekurangan di masa lalu harus tetap ada, terutama dalam hal penyimpanan kripto. Ada satu pelajaran yang bisa dipetik dari FTX, yaitu: kripto tidak bisa hanya mengandalkan pemerintah, auditor, dan regulator untuk melindungi pesertanya. Sebaliknya, setiap lembaga dan individu yang berpartisipasi perlu melakukan bagiannya untuk menjaga akuntabilitas pengelola aset. Jika semua orang memainkan peran mereka, industri ini akan mencapai standar baru dan menjadi pemimpin dalam transparansi, manajemen risiko, dan keamanan keuangan global.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Mengapa cryptocurrency akan berevolusi menuju penyimpanan aset di masa depan?
Pengarang: BART HILLERICH
Terjemahan: Huohuo/Blockchain Vernakular
Evolusi penyimpanan aset kripto adalah masalah mendesak yang memerlukan kontrol audit yang ketat dan manajemen kunci zaman baru untuk membangun kembali kepercayaan.
Setelah jatuhnya pasar kripto pada tahun 2022, kekhawatiran tentang risiko pihak lawan telah menjadi topik hangat dalam diskusi manajemen risiko kripto dan akan menjadi salah satu pendorong utama yang membentuk masa depan penyimpanan pada tahun 2023 dan seterusnya.
Ketika masa depan ini menjadi kenyataan, kerangka peraturan seputar hak asuh menjadi lebih jelas dan segala sesuatu yang secara operasional dianggap tidak bijaksana atau tidak pantas akan menghadapi pengawasan ketat. Pendekatan enkripsi FTX sebelumnya, yang menyimpan aset dalam dompet satu kunci di server cloud, tidak memiliki tim keamanan siber, dan gagal membangun manajemen kunci yang sistematis, tidak akan lagi diterima oleh pelanggan dan regulator.
Mick Horgan, Kepala Penitipan di Bullish, mengatakan: "Saya ingat menjelajahi salah satu situs FTX, mencoba mencari tahu hak asuh mereka, mencoba memahami sistem hak asuh yang mendasarinya. Saya telah membaca tentang waktu penarikan mereka yang cepat untuk transaksi besar, sementara sepertinya mempertahankan penyimpanan yang aman atas sebagian besar aset mereka. Bagaimana mereka melakukan itu? Saya tidak tahu. Jawabannya, tentu saja, adalah cara FTX beroperasi adalah kebalikan dari cara Bullish beroperasi.”
Ketika adopsi aset digital terus tumbuh dan kegagalan pada tahun 2022 sudah berlalu, cara kustodian aset digital pihak ketiga memastikan keamanan dana mereka akan mendapat perhatian yang belum pernah terjadi sebelumnya, baik dari pemain kripto maupun mereka yang mencoba membangun aset digital baru. untuk industri kripto regulator standar yang lebih aman.
Kunci dari evolusi ini adalah penerapan sistem escrow multi-tingkat secara luas berdasarkan dua pilar mendasar: manajemen kunci dan kontrol audit yang ketat. Melakukan hal ini akan meningkatkan tingkat keamanan minimum yang dapat diterima bagi penjaga aset dan memfasilitasi pertumbuhan kripto dengan lebih baik dengan membangun kembali dan memperkuat kepercayaan institusional sambil mencegah peristiwa angsa hitam baru, seperti jatuhnya platform perdagangan secara tiba-tiba.
1. Kuncinya adalah prioritas utama
Dapat dikatakan bahwa ketika berpartisipasi dalam industri kripto, tidak ada yang lebih penting daripada penyimpanan aset yang aman, jadi mengapa kustodian pihak ketiga tidak diharuskan untuk memenuhi standar manajemen kunci yang lebih tinggi? Dalam kasus FTX, ketika perusahaan akhirnya menerapkan dompet multi-tanda tangan, mereka menyimpan ketiga kunci di lokasi online yang sama, sehingga menggagalkan tujuan awal dompet multi-tanda tangan.
“Ini setara dengan membeli brankas kelas atas yang aman, memasukkan semua barang berharga Anda ke dalamnya, lalu pergi, membiarkan pintunya terbuka lebar.” – Mick Horgan, Kepala Penitipan di Bullish.
Untuk maju sebagai industri yang lebih cerdas dan kuat, memprioritaskan manajemen kunci dalam sistem escrow multi-tingkat adalah tolok ukur yang jelas bagi penyedia escrow pihak ketiga. Berikut adalah fitur-fitur utama yang Bullish rekomendasikan untuk diterapkan oleh semua agensi hosting.
2. Penyimpanan kunci pribadi terdesentralisasi
Untuk memastikan tidak ada satu titik kegagalan pun, kunci pribadi tidak boleh disimpan hanya di satu tempat jika disusupi. Sebaliknya, mereka harus diisolasi satu sama lain dan disimpan secara offline.
Dalam sistem escrow multi-tingkat yang dirancang dengan baik, pendistribusian kunci oleh kustodian akan dilakukan menggunakan kombinasi dompet dingin, hangat, dan panas untuk memfasilitasi transfer sekaligus meminimalkan risiko kehilangan atau pencurian. Mengikuti praktik terbaik, sebagian besar aset akan disimpan dengan aman di dompet offline yang dilindungi kunci.
3. Memastikan perlindungan perangkat keras, perangkat lunak, dan operasional
Terkait manajemen kunci, penting untuk menerapkan perlindungan di setiap tingkat sistem hosting Anda. Setelah terbentuk, mereka akan memberikan kepercayaan diri yang dibutuhkan pemain kripto institusional dan individu untuk berpartisipasi dalam opsi escrow pihak ketiga. Berikut beberapa praktik terbaik yang harus diterapkan:
1) Jaminan perangkat keras
Semua kunci pribadi offline diisolasi satu sama lain dan disimpan di perangkat penyimpanan yang aman.
Simpan kunci online dalam modul aman di server cloud yang dilindungi.
Pastikan penggunaan penyimpanan dingin secara efisien dengan menyimpan sebagian besar kepemilikan aset digital Anda secara offline di dompet dingin.
2) Jaminan perangkat lunak
Semua komponen perangkat lunak dan sistem operasi yang dihosting harus ditandatangani secara kriptografis.
Proses penandatanganan harus didistribusikan di antara peserta independen melalui dompet multi-tanda tangan untuk meningkatkan perlindungan terhadap kolusi.
Manfaatkan oracle berbasis blockchain untuk memverifikasi asal muasal operasi escrow dan menggagalkan serangan man-in-the-middle.
3) Jaminan pengoperasian
Protokol menentukan dompet mana yang berinteraksi satu sama lain, kunci mana yang diperlukan untuk menandatangani transaksi, dan batasan ukuran dan kecepatan transaksi.
Penjaga aset dapat menerapkan sistem pemulihan bencana untuk membuat cadangan kunci, yang berarti bahwa dalam skenario terburuk, tidak semuanya hilang.
Cadangan kunci dapat disimpan di lokasi terpencil di fasilitas aman di seluruh dunia, memastikan keamanan maksimum.
4. Kontrol kelas dunia, kalau tidak tidak ada apa-apa
Institusi dan individu sudah mulai menjelajahi dunia enkripsi dan dihadapkan pada pertanyaan: “Jika saya kehilangan kunci, apakah tidak ada lagi yang tersisa?”
Ini adalah momen hambatan besar dalam industri kripto saat ini, dimana orang-orang memutuskan untuk mengandalkan diri mereka sendiri atau menahan diri karena takut kehilangan kunci dan konsekuensinya. Sebagian besar institusi tidak ingin mengelola kunci mereka, namun mereka sangat peduli tentang bagaimana kustodian yang mereka pilih mengelola kunci tersebut atas nama mereka; kepercayaan penuh adalah perbedaan antara keberhasilan dan kegagalan mereka dalam bergabung dengan ruang kripto.
"Kegagalan FTX menyoroti pentingnya penitipan. Penitipan, yang sebenarnya tentang keamanan kunci, hanya dapat benar-benar efektif jika terdapat kontrol internal yang kuat, prosedur dokumentasi yang menyeluruh, dan obsesi terhadap keamanan aset pelanggan." kata Mick Horgan, Kepala Penitipan di Bullish.
Menetapkan kontrol yang ketat dan teraudit sangat penting untuk membantu institusi mengatasi masa-masa sulit dengan menanamkan kepercayaan pada penyedia dana escrow. Pengendalian ini dapat dilakukan dalam berbagai bentuk, yang masing-masing merupakan bagian penting dalam membangun sistem keamanan yang komprehensif.
Pengendalian internal membantu melindungi aset pelanggan; jika diterapkan dengan benar, pengendalian tersebut harus mampu mendeteksi, mencegah, dan membatasi kemungkinan masalah dompet pelanggan. Berikut adalah kontrol yang diterapkan Bullish secara internal untuk memberikan contoh yang jelas bagi perusahaan lain:
Pemisahan tugas - Tanggung jawab seperti pembuatan kunci, penyimpanan dan persetujuan transaksi harus dipisahkan untuk mengurangi risiko penipuan dan pencurian karena kolusi.
Pemulihan Dompet - Perusahaan harus menerapkan kontrol untuk memulihkan dompet dengan aman kapan saja untuk mencegah hilangnya akses kunci.
Manajemen Kunci Pribadi - Sebagian besar aset harus disimpan secara offline di dompet penyimpanan dingin multi-tanda tangan untuk mengurangi risiko serangan online.
Penilaian dan manajemen risiko - Perusahaan harus terus melakukan penilaian keamanan dan analisis skenario kritis.
Pemisahan Aset - Dana klien harus dipisahkan dari aset perusahaan, memastikan tidak terjadi pencampuran pada akun atau alamat blockchain mana pun.
Pemantauan - Pemantauan dompet/transaksi secara real-time dan rekonsiliasi semua dompet dan akun harus diterapkan. Dalam skenario terbaik, tim keamanan siber khusus akan memimpin pengendalian ini.
Kontrol Akses - Dengan lebih dari 80% pelanggaran keamanan terkait dengan kata sandi, kata sandi tidak lagi cukup di industri yang dilanda serangan siber dan penipuan. Kontrol akses yang ketat dan autentikasi multifaktor harus diterapkan untuk akses ke semua sistem yang memiliki hak istimewa.
Karyawan - Tim keamanan siber harus menerapkan program pelatihan keamanan mendalam untuk memastikan kontributor terlindungi di setiap tingkat perusahaan.
Semua pengendalian internal dan kebijakan keamanan harus ditinjau dan diaudit secara berkala oleh auditor eksternal, yang merupakan dasar pengendalian eksternal.
Untuk melengkapi kontrol internal dan melayani kebutuhan institusi dengan lebih baik, kustodian kripto pihak ketiga perlu meningkatkan audit mereka setidaknya ke standar keuangan tradisional (TradFi). Untuk mencapai tujuan ini, setiap kustodian diharuskan melakukan audit independen secara berkala oleh auditor yang berkualifikasi (seperti firma akuntansi Big Four).
Audit ini harus mengevaluasi pengendalian internal kustodian dan keamanan keseluruhan, memastikan aset klien disimpan terpisah dari aset kustodian, dan menganalisis solvabilitas kustodian dengan melengkapi bukti audit cadangan.
Memetakan Masa Depan yang Aman dalam Kripto Agar industri kripto dapat terus bergerak menuju adopsi global, kekurangan di masa lalu harus tetap ada, terutama dalam hal penyimpanan kripto. Ada satu pelajaran yang bisa dipetik dari FTX, yaitu: kripto tidak bisa hanya mengandalkan pemerintah, auditor, dan regulator untuk melindungi pesertanya. Sebaliknya, setiap lembaga dan individu yang berpartisipasi perlu melakukan bagiannya untuk menjaga akuntabilitas pengelola aset. Jika semua orang memainkan peran mereka, industri ini akan mencapai standar baru dan menjadi pemimpin dalam transparansi, manajemen risiko, dan keamanan keuangan global.