AAVE en sí ha alcanzado depósitos de $60B, pero sigue siendo ESPANTOSO usar DeFi -- ¿sabías que hace un tiempo SAFE, el estándar para gestionar miles de millones de dólares en cripto, tuvo su front-end hackeado?
los hacks de front-end han robado miles de millones de dólares en cripto.
¿por qué? ¿y cómo mejorar?
el front-end de una dapp en sí mismo tiene muchas piezas en movimiento y variables que tocan muchas partes diferentes del ciclo de vida de una transacción que se origina en el usuario
el front-end de una dapp tiene muchos vectores de ataque posibles, incluyendo el registrador de dominios en sí mismo hasta su equipo empujando un mal commit
Creo que debería ser muy importante y una práctica de seguridad estándar que cada aplicación haga divulgaciones sobre cómo gestionan el dominio en sí.
¿Qué registrador? ¿El proveedor de dominio ha sido hackeado alguna vez? Y si son hackeados, ¿cuáles son las medidas de seguridad contra eso?
después de que se realice un mantenimiento adecuado del dominio, el desarrollador de dapp debería luego divulgar o tener reglas claras sobre el compromiso, la fusión y la revisión
creo que tal vez el equipo SEAL también debería publicar las mejores prácticas al respecto
y siempre, siempre, pide a tus desarrolladores que nunca descarguen nada en la laptop de trabajo
es mejor si puedes proporcionar laptops de trabajo que estén precargadas con todas las restricciones, como lo hacen las corporaciones.
Sé que suena raro, pero es importante establecer cortafuegos adecuados contra escenarios como el hack SAFE, donde un desarrollador descargó un malware sin saberlo y eso inyectó un malware en el front-end.
quiero decir, incluso si haces todo eso, y la billetera de alguien fue hackeada también debido a un hackeo del front-end, todavía estás en riesgo
imagina que alguien tomó el control de una billetera de extensión de nivel 2 e intentó obtener las claves privadas o simplemente la contraseña
tu también estarías jodido
¿Qué deberíamos hacer entonces? Creo que cada dapp, en la medida de sus posibilidades, debería intentar enfocarse y crear un front-end que sea súper seguro contra este tipo de ataques, no hay una forma perfecta. Solo tienes que estar paranoico todo el tiempo, pensando que cualquier cosa que pueda salir mal, saldrá mal.
Y ser rápido en detectar y responder a cualquier tipo de problema de este tipo -- olvida que tienes una vida si estás construyendo en defi.
siempre haz KYC de tus empleados, mantén una buena higiene de dominio, una buena higiene de control de acceso en Git, higiene de laptops de trabajo y bloquea por defecto cualquier billetera que consideres sospechosa.
limita el acceso solo a las billeteras que sigan los mejores estándares.
o introduce un modo yolo y seguro para tus usuarios
en modo yolo, se permite cualquier billetera, y piensa que es yolo, pero en modo seguro realmente estás muy enfocado puramente en la seguridad, lo que significa que estás completamente alojado sobre un ipfs y solo se accede a las cosas necesarias
para análisis, los usuarios pueden ver en modo yolo
para concluir, solo quiero dejar claro que construir en defi tiene muchos vectores de ataque y se necesita más que leer libros de texto para realmente servir a tus usuarios de la mejor manera posible
nosotros en @SuperlendHQ tomamos esto muy en serio para lo que estamos construyendo: una interfaz unificada para las finanzas en cadena
por cierto, esto solo se trataba de vectores de ataque de front-end, estoy seguro de que puede haber más escenarios que estamos debatiendo y en los que estamos trabajando constantemente.
pero hay una gran cantidad de caja de Pandora cuando hablamos de la seguridad económica de los protocolos DeFi.
más pronto que tarde, sobre cómo manejamos todos los aspectos de la seguridad en @SuperlendHQ mientras construimos la mejor experiencia de usuario.
@SuperlendHQ interfaz*
disculpa los errores tipográficos
6.23 K
4
El contenido al que estás accediendo se ofrece por terceros. A menos que se indique lo contrario, OKX no es autor de la información y no reclama ningún derecho de autor sobre los materiales. El contenido solo se proporciona con fines informativos y no representa las opiniones de OKX. No pretende ser un respaldo de ningún tipo y no debe ser considerado como un consejo de inversión o una solicitud para comprar o vender activos digitales. En la medida en que la IA generativa se utiliza para proporcionar resúmenes u otra información, dicho contenido generado por IA puede ser inexacto o incoherente. Lee el artículo enlazado para más detalles e información. OKX no es responsable del contenido alojado en sitios de terceros. Los holdings de activos digitales, incluidos stablecoins y NFT, suponen un alto nivel de riesgo y pueden fluctuar mucho. Debes considerar cuidadosamente si el trading o holding de activos digitales es adecuado para ti según tu situación financiera.