AAVE selbst hat $60B Einlagen erreicht, aber es ist immer noch ANGST einflößend, DeFi zu nutzen -- wusstest du, dass vor einiger Zeit SAFE, der Standard zur Verwaltung von Milliarden von Dollar in Krypto, gehackt wurde?
Front-End-Hacks haben Milliarden von Dollar in Krypto gestohlen.
Warum? Und wie kann man sich verbessern?
Ein Front-End einer DApp besteht aus vielen beweglichen Teilen und Variablen, die viele verschiedene Aspekte eines Transaktionslebenszyklus berühren, der vom Benutzer ausgeht.
Ein Front-End einer DApp hat viele mögliche Angriffsvektoren, einschließlich des Domain-Registrars selbst bis hin zu seinem Team, das einen schlechten Commit pusht.
Ich denke, es sollte sehr wichtig und eine Standard-Sicherheitspraktik für jede App sein, Offenlegungen darüber zu machen, wie sie die Domain selbst verwalten.
Welcher Registrar, wurde der Domainanbieter jemals gehackt? Und wenn sie gehackt werden, welche Sicherheitsvorkehrungen gibt es dagegen?
Nachdem die ordnungsgemäße Wartung der Domain durchgeführt wurde, sollte der DApp-Entwickler klare Regeln für Commit, Merge und Review festlegen oder offenlegen.
Ich denke, das SEAL-Team sollte vielleicht auch Best Practices dazu veröffentlichen.
Und immer, immer die Entwickler bitten, niemals etwas vom Arbeitslaptop herunterzuladen.
Es wäre besser, wenn Sie Arbeitslaptops bereitstellen könnten, die mit allen Einschränkungen vorinstalliert sind, wie es Unternehmen tun.
Ich weiß, es klingt seltsam, aber es ist wichtig, angemessene Firewalls gegen Szenarien wie den SAFE-Hack einzurichten, bei dem ein Entwickler unwissentlich Malware heruntergeladen hat, die dann Malware in das Frontend injiziert hat.
Ich meine, selbst wenn du all das machst und jemandes Wallet selbst aufgrund eines Front-End-Hacks gehackt wird, bist du immer noch in Gefahr.
Stell dir vor, jemand übernimmt eine Tier-2-Extension-Wallet und versucht, die privaten Schlüssel oder einfach das Passwort zu bekommen.
Dann bist du auch f*cked.
Was sollten wir dann tun? Ich denke, jede DApp sollte bestmöglich versuchen, sich auf die Erstellung eines Front-Ends zu konzentrieren, das super sicher gegen diese Art von Angriffen ist, es gibt keinen perfekten Weg. Man muss einfach die ganze Zeit paranoid sein und denken, dass alles, was schiefgehen kann, auch schiefgehen wird.
Und schnell darin sein, solche Probleme zu erkennen und darauf zu reagieren – vergiss, dass du ein Leben hast, wenn du im DeFi-Bereich baust.
Stellen Sie sicher, dass Sie immer KYC (Know Your Customer) für Ihre Mitarbeiter durchführen, gute Domain-Hygiene, gute Git-Zugriffskontroll-Hygiene, Hygiene der Arbeitslaptops und blockieren Sie standardmäßig alle Wallets, die Sie für verdächtig halten.
Beschränken Sie den Zugriff nur auf Wallets, die den besten Standards entsprechen.
oder führen Sie einen Yolo- und einen Sicherheitsmodus für Ihre Benutzer ein
Im Yolo-Modus ist jede Wallet erlaubt, und denken Sie daran, dass es Yolo ist, aber im Sicherheitsmodus konzentrieren Sie sich wirklich nur auf die Sicherheit, was bedeutet, dass Sie vollständig über ein IPFS gehostet werden und nur notwendige Dinge zugänglich sind.
Für Analysen können Benutzer im Yolo-Modus sehen.
Zusammenfassend möchte ich klarstellen, dass der Aufbau im DeFi-Bereich viele Angriffsvektoren hat und es mehr als nur das Lesen von Lehrbüchern braucht, um Ihren Nutzern bestmöglich zu dienen.
Wir bei @SuperlendHQ nehmen dies sehr ernst für das, was wir aufbauen – eine einheitliche Schnittstelle für On-Chain-Finanzierung.
Übrigens, das bezog sich nur auf Front-End-Angriffsvektoren. Ich bin mir sicher, dass es auch noch weitere Szenarien gibt, über die wir ständig debattieren und an denen wir arbeiten.
Aber es gibt eine ganze Menge an Pandora-Box, wenn wir über die wirtschaftliche Sicherheit der DeFi-Protokolle selbst sprechen.
Mehr dazu bald, wie wir alle Aspekte der Sicherheit bei @SuperlendHQ handhaben, während wir die beste Benutzererfahrung schaffen.
@SuperlendHQ Schnittstelle*
entschuldige die Tippfehler
3.585
4
Der Inhalt dieser Seite wird von Drittparteien bereitgestellt. Sofern nicht anders angegeben, ist OKX nicht der Autor der zitierten Artikel und erhebt keinen Anspruch auf das Urheberrecht an den Materialien. Die Inhalte dienen ausschließlich zu Informationszwecken und spiegeln nicht die Ansichten von OKX wider. Sie stellen keine Form der Empfehlung dar und sind weder als Anlageberatung noch als Aufforderung zum Kauf oder Verkauf digitaler Assets zu verstehen. Soweit generative KI zur Bereitstellung von Zusammenfassungen oder anderen Informationen eingesetzt wird, kann der dadurch erzeugte Inhalt ungenau oder widersprüchlich sein. Mehr Infos findest du im verlinkten Artikel. OKX haftet nicht für Inhalte, die auf Drittpartei-Websites gehostet werden. Digitale Assets, einschließlich Stablecoins und NFT, bergen ein hohes Risiko und können stark schwanken. Du solltest sorgfältig überlegen, ob der Handel mit oder das Halten von digitalen Assets angesichts deiner finanziellen Situation für dich geeignet ist.