A evolução da custódia de ativos criptográficos é uma questão urgente que requer controles de auditoria rigorosos e um gerenciamento de chaves da nova era para reconstruir a confiança.
Após a quebra do mercado de criptomoedas em 2022, as preocupações com o risco de contraparte tornaram-se um tema quente nas discussões sobre gestão de risco de criptomoedas e serão um dos principais impulsionadores que moldarão o futuro da custódia em 2023 e além.
À medida que este futuro se torna realidade, o quadro regulamentar em torno da custódia torna-se mais claro e qualquer coisa considerada operacionalmente imprudente ou inadequada enfrentará um escrutínio rigoroso. A abordagem anterior da FTX à criptografia, que armazenava ativos em carteiras de chave única em servidores em nuvem, não tinha uma equipe de segurança cibernética e não conseguia estabelecer um gerenciamento sistemático de chaves, não será mais aceita por clientes e reguladores.
Mick Horgan, chefe de custódia da Bullish, disse: "Lembro-me de navegar em um dos sites da FTX, tentando descobrir sua custódia, tentando entender seu sistema de custódia subjacente. Eu tinha lido sobre seus tempos rápidos de retirada para grandes transações, embora aparentemente mantendo a custódia segura da maioria de seus ativos. Como eles fazem isso? Não tenho ideia. A resposta, claro, é que a forma como a FTX opera é exatamente o oposto de como a Bullish opera.
À medida que a adoção de ativos digitais continua a crescer e os fracassos de 2022 se tornam uma coisa do passado, a forma como os custodiantes de ativos digitais terceirizados garantem a segurança de seus fundos receberá atenção sem precedentes, tanto dos cripto players quanto daqueles que tentam fornecer aos reguladores para a indústria de criptografia para estabelecer padrões novos e mais seguros.
**A chave para esta evolução é a implementação generalizada de um sistema de garantia multinível baseado em dois pilares fundamentais: gestão de chaves e controlos de auditoria rigorosos. Isso melhorará o nível mínimo aceitável de segurança para os custodiantes de ativos e promoverá melhor o crescimento da criptografia, restabelecendo e fortalecendo a confiança institucional, evitando novos eventos de cisne negro, como falhas repentinas nas plataformas de negociação. **
1. A chave é a principal prioridade
Pode-se dizer que, ao participar da indústria criptográfica, não há nada mais importante do que a custódia segura dos ativos, então por que os custodiantes terceirizados não são obrigados a atender aos padrões mais elevados de gerenciamento de chaves? No caso da FTX, quando a empresa finalmente implementou uma carteira com múltiplas assinaturas, elas armazenaram todas as três chaves no mesmo local online, anulando o propósito original de uma carteira com múltiplas assinaturas.
“É o equivalente a comprar um cofre seguro e sofisticado, colocar todos os seus objetos de valor nele e depois ir embora, deixando a porta aberta.” – Mick Horgan, chefe de custódia da Bullish.
Para avançar como uma indústria mais inteligente e mais forte, priorizar o gerenciamento de chaves em sistemas de garantia de vários níveis é uma referência clara para provedores de garantia terceirizados. Aqui estão os principais recursos que a Bullish recomenda que todas as agências de hospedagem implementem.
2. Armazenamento descentralizado de chaves privadas
**Para garantir que não haja um ponto único de falha, as chaves privadas não devem ser armazenadas em apenas um local se estiverem comprometidas. Em vez disso, eles devem ser isolados uns dos outros e armazenados offline. **
Num sistema de garantia multicamadas bem concebido, a distribuição das chaves pelo custodiante será feita utilizando uma combinação de carteiras frias, quentes e quentes, a fim de facilitar as transferências e, ao mesmo tempo, minimizar o risco de perda ou roubo. Seguindo as melhores práticas, a maioria dos ativos será armazenada com segurança em carteiras off-line protegidas por chave.
3. Garantir hardware, software e salvaguardas operacionais
Quando se trata de gerenciamento de chaves, é fundamental ter proteções em todos os níveis do seu sistema de hospedagem. Uma vez estabelecidos, eles fornecerão aos cripto players institucionais e individuais a confiança necessária para participar de opções de garantia de terceiros. Aqui estão algumas práticas recomendadas que devem ser implementadas:
1) Garantia de hardware
Todas as chaves privadas offline são isoladas umas das outras e armazenadas em um dispositivo de armazenamento seguro.
Armazene chaves online em um módulo seguro em um servidor em nuvem protegido.
Garanta o uso eficiente do armazenamento frio, armazenando a maioria dos seus ativos digitais off-line em carteiras frias.
2) Garantia de software
Todos os componentes de software hospedados e sistemas operacionais devem ser assinados criptograficamente.
O processo de assinatura deve ser distribuído entre participantes independentes através de carteiras com múltiplas assinaturas para aumentar a proteção contra conluio.
Aproveite oráculos baseados em blockchain para verificar a origem das operações de garantia e impedir ataques man-in-the-middle.
3) Garantia de funcionamento
O protocolo determina quais carteiras interagem entre si, quais chaves são necessárias para assinar transações e limita o tamanho e a velocidade das transações.
Os custodiantes de ativos podem implementar sistemas de recuperação de desastres para fazer backup de chaves, o que significa que, na pior das hipóteses, nem tudo está perdido.
Os backups de chaves podem ser armazenados em locais remotos em instalações seguras em todo o mundo, garantindo segurança máxima.
4. Controle de classe mundial, caso contrário, nada
Instituições e indivíduos começaram a explorar o mundo da criptografia e se deparam com a questão: “Se eu perder minha chave, não sobrará nada?”
Este é um grande momento de gargalo na indústria de criptografia hoje, com as pessoas decidindo confiar em si mesmas ou recuando por medo de perder suas chaves e suas consequências. A maioria das instituições não quer gerenciar suas chaves, mas se preocupam profundamente com a forma como o custodiante escolhido gerencia essas chaves em seu nome; a confiança total é a diferença entre o sucesso e o fracasso ao ingressar no espaço criptográfico.
"O fracasso da FTX destaca a importância da custódia. A custódia, que trata simplesmente da segurança das chaves, só pode ser verdadeiramente eficaz se houver controles internos fortes, procedimentos de documentação completos e uma obsessão pela segurança dos ativos dos clientes." disse Mick Horgan, Chefe de Custódia da Bullish.
O estabelecimento de controlos rigorosos e auditados é fundamental para ajudar as instituições a enfrentar tempos difíceis, incutindo confiança nos prestadores de garantias. Esses controles podem assumir diversas formas, cada uma das quais é uma parte importante da construção de um sistema de segurança abrangente.
1) Controle interno
Os controles internos ajudam a proteger os ativos dos clientes; se implementados corretamente, deverão ser capazes de detectar, prevenir e limitar possíveis problemas na carteira dos clientes. Aqui estão os controles que a Bullish implementou internamente para dar um exemplo claro para outras empresas:
- Segregação de Funções - Responsabilidades como geração de chaves, armazenamento e aprovação de transações devem ser separadas para reduzir o risco de fraude e roubo devido a conluio.
-RESTAURAÇÃO DE CARTEIRAS - As empresas devem implementar controles para restaurar carteiras com segurança a qualquer momento para evitar qualquer perda de acesso à chave.
- Gerenciamento de chave privada - A maioria dos ativos deve ser armazenada offline em carteiras de armazenamento frio com múltiplas assinaturas para reduzir o risco de ataques online.
-Avaliação e gerenciamento de riscos - As empresas devem realizar continuamente avaliações de segurança e análises de cenários críticos.
**- Segregação de ativos ** - Os fundos dos clientes devem ser segregados dos ativos da empresa, garantindo que não ocorra nenhuma mistura em qualquer conta ou endereço blockchain.
- Monitoramento - Deve ser implementado monitoramento em tempo real de carteiras/transações e reconciliação de todas as carteiras e contas. Na melhor das hipóteses, uma equipe dedicada de segurança cibernética liderará esse controle.
- Controle de acesso - Com mais de 80% das violações de segurança relacionadas a senhas, as senhas não são mais suficientes em um setor atormentado por ataques cibernéticos e fraudes. Controles de acesso rígidos e autenticação multifatorial devem ser implementados para acesso a todos os sistemas privilegiados.
- Funcionários - As equipes de segurança cibernética devem implementar um programa aprofundado de treinamento em segurança para garantir que os colaboradores estejam protegidos em todos os níveis da empresa.
**Todos os controles internos e políticas de segurança devem ser regularmente revisados e auditados por auditores externos, que é a base para os controles externos. **
2) Controle externo
Para complementar os controles internos e atender melhor às necessidades das instituições, os custodiantes de criptografia terceirizados precisam atualizar suas auditorias para, pelo menos, os padrões financeiros tradicionais (TradFi). Para este fim,** cada custodiante é obrigado a implementar auditorias independentes regulares por auditores qualificados (como as quatro grandes empresas de contabilidade). **
Estas auditorias devem avaliar os controlos internos e a segurança geral do custodiante, garantir que os activos dos clientes são mantidos separados dos activos do custodiante e analisar a solvência do custodiante, preenchendo uma auditoria de prova de reservas.
Traçando um futuro seguro na criptografia Para que a indústria de criptografia continue avançando em direção à adoção global, as deficiências do passado devem permanecer intactas, especialmente quando se trata de custódia de criptografia. Se há uma lição a ser aprendida com a FTX, é esta: a criptografia não pode depender apenas de governos, auditores e reguladores para proteger seus participantes. Em vez disso, cada instituição e indivíduo participante precisa fazer a sua parte para responsabilizar as instituições de custódia de ativos. Se todos desempenharem o seu papel, a indústria atingirá um novo padrão e tornar-se-á líder em transparência, gestão de riscos e segurança nas finanças globais.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Uma nova era ousada: a evolução da criptomoeda para a custódia de ativos
Autor: BART HILLERICH Tradução: Huohuo/Vernacular Blockchain
A evolução da custódia de ativos criptográficos é uma questão urgente que requer controles de auditoria rigorosos e um gerenciamento de chaves da nova era para reconstruir a confiança.
Após a quebra do mercado de criptomoedas em 2022, as preocupações com o risco de contraparte tornaram-se um tema quente nas discussões sobre gestão de risco de criptomoedas e serão um dos principais impulsionadores que moldarão o futuro da custódia em 2023 e além.
À medida que este futuro se torna realidade, o quadro regulamentar em torno da custódia torna-se mais claro e qualquer coisa considerada operacionalmente imprudente ou inadequada enfrentará um escrutínio rigoroso. A abordagem anterior da FTX à criptografia, que armazenava ativos em carteiras de chave única em servidores em nuvem, não tinha uma equipe de segurança cibernética e não conseguia estabelecer um gerenciamento sistemático de chaves, não será mais aceita por clientes e reguladores.
Mick Horgan, chefe de custódia da Bullish, disse: "Lembro-me de navegar em um dos sites da FTX, tentando descobrir sua custódia, tentando entender seu sistema de custódia subjacente. Eu tinha lido sobre seus tempos rápidos de retirada para grandes transações, embora aparentemente mantendo a custódia segura da maioria de seus ativos. Como eles fazem isso? Não tenho ideia. A resposta, claro, é que a forma como a FTX opera é exatamente o oposto de como a Bullish opera.
À medida que a adoção de ativos digitais continua a crescer e os fracassos de 2022 se tornam uma coisa do passado, a forma como os custodiantes de ativos digitais terceirizados garantem a segurança de seus fundos receberá atenção sem precedentes, tanto dos cripto players quanto daqueles que tentam fornecer aos reguladores para a indústria de criptografia para estabelecer padrões novos e mais seguros.
**A chave para esta evolução é a implementação generalizada de um sistema de garantia multinível baseado em dois pilares fundamentais: gestão de chaves e controlos de auditoria rigorosos. Isso melhorará o nível mínimo aceitável de segurança para os custodiantes de ativos e promoverá melhor o crescimento da criptografia, restabelecendo e fortalecendo a confiança institucional, evitando novos eventos de cisne negro, como falhas repentinas nas plataformas de negociação. **
1. A chave é a principal prioridade
Pode-se dizer que, ao participar da indústria criptográfica, não há nada mais importante do que a custódia segura dos ativos, então por que os custodiantes terceirizados não são obrigados a atender aos padrões mais elevados de gerenciamento de chaves? No caso da FTX, quando a empresa finalmente implementou uma carteira com múltiplas assinaturas, elas armazenaram todas as três chaves no mesmo local online, anulando o propósito original de uma carteira com múltiplas assinaturas.
“É o equivalente a comprar um cofre seguro e sofisticado, colocar todos os seus objetos de valor nele e depois ir embora, deixando a porta aberta.” – Mick Horgan, chefe de custódia da Bullish.
Para avançar como uma indústria mais inteligente e mais forte, priorizar o gerenciamento de chaves em sistemas de garantia de vários níveis é uma referência clara para provedores de garantia terceirizados. Aqui estão os principais recursos que a Bullish recomenda que todas as agências de hospedagem implementem.
2. Armazenamento descentralizado de chaves privadas
**Para garantir que não haja um ponto único de falha, as chaves privadas não devem ser armazenadas em apenas um local se estiverem comprometidas. Em vez disso, eles devem ser isolados uns dos outros e armazenados offline. **
Num sistema de garantia multicamadas bem concebido, a distribuição das chaves pelo custodiante será feita utilizando uma combinação de carteiras frias, quentes e quentes, a fim de facilitar as transferências e, ao mesmo tempo, minimizar o risco de perda ou roubo. Seguindo as melhores práticas, a maioria dos ativos será armazenada com segurança em carteiras off-line protegidas por chave.
3. Garantir hardware, software e salvaguardas operacionais
Quando se trata de gerenciamento de chaves, é fundamental ter proteções em todos os níveis do seu sistema de hospedagem. Uma vez estabelecidos, eles fornecerão aos cripto players institucionais e individuais a confiança necessária para participar de opções de garantia de terceiros. Aqui estão algumas práticas recomendadas que devem ser implementadas:
1) Garantia de hardware
Todas as chaves privadas offline são isoladas umas das outras e armazenadas em um dispositivo de armazenamento seguro.
Armazene chaves online em um módulo seguro em um servidor em nuvem protegido.
Garanta o uso eficiente do armazenamento frio, armazenando a maioria dos seus ativos digitais off-line em carteiras frias.
2) Garantia de software
Todos os componentes de software hospedados e sistemas operacionais devem ser assinados criptograficamente.
O processo de assinatura deve ser distribuído entre participantes independentes através de carteiras com múltiplas assinaturas para aumentar a proteção contra conluio.
Aproveite oráculos baseados em blockchain para verificar a origem das operações de garantia e impedir ataques man-in-the-middle.
3) Garantia de funcionamento
O protocolo determina quais carteiras interagem entre si, quais chaves são necessárias para assinar transações e limita o tamanho e a velocidade das transações.
Os custodiantes de ativos podem implementar sistemas de recuperação de desastres para fazer backup de chaves, o que significa que, na pior das hipóteses, nem tudo está perdido.
Os backups de chaves podem ser armazenados em locais remotos em instalações seguras em todo o mundo, garantindo segurança máxima.
4. Controle de classe mundial, caso contrário, nada
Instituições e indivíduos começaram a explorar o mundo da criptografia e se deparam com a questão: “Se eu perder minha chave, não sobrará nada?”
Este é um grande momento de gargalo na indústria de criptografia hoje, com as pessoas decidindo confiar em si mesmas ou recuando por medo de perder suas chaves e suas consequências. A maioria das instituições não quer gerenciar suas chaves, mas se preocupam profundamente com a forma como o custodiante escolhido gerencia essas chaves em seu nome; a confiança total é a diferença entre o sucesso e o fracasso ao ingressar no espaço criptográfico.
"O fracasso da FTX destaca a importância da custódia. A custódia, que trata simplesmente da segurança das chaves, só pode ser verdadeiramente eficaz se houver controles internos fortes, procedimentos de documentação completos e uma obsessão pela segurança dos ativos dos clientes." disse Mick Horgan, Chefe de Custódia da Bullish.
O estabelecimento de controlos rigorosos e auditados é fundamental para ajudar as instituições a enfrentar tempos difíceis, incutindo confiança nos prestadores de garantias. Esses controles podem assumir diversas formas, cada uma das quais é uma parte importante da construção de um sistema de segurança abrangente.
1) Controle interno
Os controles internos ajudam a proteger os ativos dos clientes; se implementados corretamente, deverão ser capazes de detectar, prevenir e limitar possíveis problemas na carteira dos clientes. Aqui estão os controles que a Bullish implementou internamente para dar um exemplo claro para outras empresas:
- Segregação de Funções - Responsabilidades como geração de chaves, armazenamento e aprovação de transações devem ser separadas para reduzir o risco de fraude e roubo devido a conluio.
-RESTAURAÇÃO DE CARTEIRAS - As empresas devem implementar controles para restaurar carteiras com segurança a qualquer momento para evitar qualquer perda de acesso à chave.
- Gerenciamento de chave privada - A maioria dos ativos deve ser armazenada offline em carteiras de armazenamento frio com múltiplas assinaturas para reduzir o risco de ataques online.
-Avaliação e gerenciamento de riscos - As empresas devem realizar continuamente avaliações de segurança e análises de cenários críticos.
**- Segregação de ativos ** - Os fundos dos clientes devem ser segregados dos ativos da empresa, garantindo que não ocorra nenhuma mistura em qualquer conta ou endereço blockchain.
- Monitoramento - Deve ser implementado monitoramento em tempo real de carteiras/transações e reconciliação de todas as carteiras e contas. Na melhor das hipóteses, uma equipe dedicada de segurança cibernética liderará esse controle.
- Controle de acesso - Com mais de 80% das violações de segurança relacionadas a senhas, as senhas não são mais suficientes em um setor atormentado por ataques cibernéticos e fraudes. Controles de acesso rígidos e autenticação multifatorial devem ser implementados para acesso a todos os sistemas privilegiados.
- Funcionários - As equipes de segurança cibernética devem implementar um programa aprofundado de treinamento em segurança para garantir que os colaboradores estejam protegidos em todos os níveis da empresa.
**Todos os controles internos e políticas de segurança devem ser regularmente revisados e auditados por auditores externos, que é a base para os controles externos. **
2) Controle externo
Para complementar os controles internos e atender melhor às necessidades das instituições, os custodiantes de criptografia terceirizados precisam atualizar suas auditorias para, pelo menos, os padrões financeiros tradicionais (TradFi). Para este fim,** cada custodiante é obrigado a implementar auditorias independentes regulares por auditores qualificados (como as quatro grandes empresas de contabilidade). **
Estas auditorias devem avaliar os controlos internos e a segurança geral do custodiante, garantir que os activos dos clientes são mantidos separados dos activos do custodiante e analisar a solvência do custodiante, preenchendo uma auditoria de prova de reservas.
Traçando um futuro seguro na criptografia Para que a indústria de criptografia continue avançando em direção à adoção global, as deficiências do passado devem permanecer intactas, especialmente quando se trata de custódia de criptografia. Se há uma lição a ser aprendida com a FTX, é esta: a criptografia não pode depender apenas de governos, auditores e reguladores para proteger seus participantes. Em vez disso, cada instituição e indivíduo participante precisa fazer a sua parte para responsabilizar as instituições de custódia de ativos. Se todos desempenharem o seu papel, a indústria atingirá um novo padrão e tornar-se-á líder em transparência, gestão de riscos e segurança nas finanças globais.