AAVE itse on koskettanut 60 miljardin dollarin talletuksia, mutta DeFin käyttö on edelleen SURKEAA - tiesitkö jokin aika sitten, että SAFE, miljardien dollarien kryptojen hallintastandardi, oli hakkeroitu
Front-end-hakkerit ovat varastaneet miljardeja dollareita kryptoa
Miksi? Ja miten parantaa?
DAppin käyttöliittymä itsessään on paljon liikkuvia osia ja muuttujia, joista jokainen koskettaa monia eri osia transaktion elinkaaren sisällöstä käyttäjältä
DAppin käyttöliittymässä on monia mahdollisia hyökkäysvektoreita, mukaan lukien itse verkkotunnuksen rekisteröijä ja sen tiimi, joka työntää huonoa toimitusta
Mielestäni pitäisi olla erittäin tärkeää ja vakiomuotoinen tietoturvakäytäntö jokaiselle sovellukselle tehdä paljastuksia siitä, miten ne hallitsevat itse verkkotunnusta
Mikä rekisterinpitäjä, onko verkkotunnuksen tarjoajaa koskaan hakkeroitu aiemmin? Ja jos ne hakkeroidaan, mitkä ovat vikaturvat sitä vastaan?
Kun asianmukainen verkkotunnuksen ylläpitohygienia on tehty, DAPin kehittäjän tulee paljastaa tai hänellä pitäisi olla selkeät säännöt sitoutumisesta, yhdistämisestä ja tarkistamisesta
Mielestäni ehkä SEAL-tiimin pitäisi myös julkaista parhaat käytännöt tähän liittyen
Ja pyydä aina, aina, kehittäjiäsi, etteivät he koskaan lataa mitään työkannettavasta tietokoneesta
On parempi, jos voit antaa työkannettavat, jotka on esiladattu kaikilla rajoituksilla, kuten miten yritykset tekevät tämän
Kuulostaa oudolta, mutta on tärkeää asettaa asianmukaiset palomuurit skenaarioita, kuten SAFE-hakkerointia vastaan, jossa yksi kehittäjä latasi haittaohjelman tietämättään ja joka ruiskutti haittaohjelman itse käyttöliittymään
Tarkoitan, että vaikka tekisit kaiken tämän, ja jonkun itse lompakko hakkeroitiin myös käyttöliittymähakkeroinnin vuoksi, olet silti vaarassa
Kuvittele, että joku ottaa haltuunsa Tier-2-laajennuslompakon ja yrittää saada itse yksityiset avaimet tai vain salasanan
Sitten olet myös perseessä
Mitä meidän pitäisi sitten tehdä? Luulen, että jokainen dApp yrittää parhaansa mukaan keskittyä ja luoda käyttöliittymän, joka on erittäin turvallinen tällaisia hyökkäyksiä vastaan, täydellistä tapaa ei ole. Sinun täytyy vain olla vainoharhainen koko ajan ja ajatella, että kaikki mikä voi mennä pieleen, menee pieleen.
Ja ole nopea havaitsemaan ja reagoimaan kaikkiin tällaisiin ongelmiin - unohda, että sinulla on elämä, jos rakennat DeFi:ssä
Lisäksi, tee aina työntekijöidesi kyc, tee hyvä verkkotunnushygienia, hyvä Git-kulunvalvontahygienia, työkannettavan tietokoneen hygienia ja estä oletuksena kaikki lompakot, jotka ovat mielestäsi hämäriä
Rajoita pääsyä vain parhaita standardeja noudattaville lompakoille
Tai esittele käyttäjillesi Yolo- ja vikasietotila
Yolo-tilassa jokainen lompakko on sallittu, ja ajattele Are Yoloa, mutta vikasietotilassa keskityt todella puhtaasti turvallisuuteen, mikä tarkoittaa, että olet täysin tasainen IPFS:n kautta ja vain välttämättömät asiat ovat käytettävissä
Analytiikkaa varten käyttäjät näkevät Yolo-tilassa
Lopuksi haluan vain tehdä selväksi, että DeFi-rakentamisessa on monia hyökkäysvektoreita, ja se vaatii muutakin kuin oppikirjan lukemista, jotta voit todella palvella käyttäjiäsi parhaalla mahdollisella tavalla
Me @SuperlendHQ otamme tämän erittäin vakavasti sille, mitä olemme rakentamassa - yhtenäistä ketjurahoitusta varten
BTW, tässä oli kyse vain etupään hyökkäysvektoreista, olen varma, että saattaa olla myös muita skenaarioita, joista keskustelemme jatkuvasti ja joiden parissa työskentelemme
Mutta on olemassa paljon Pandoran lipasta, kun puhumme itse taloudellisesta turvallisuudesta tai itse DeFi-protokollista
Enemmän kuin pian siitä, miten käsittelemme kaikkia tietoturvaan liittyviä näkökohtia @SuperlendHQ samalla kun rakennamme parasta käyttökokemusta
@SuperlendHQ käyttöliittymä*
Anteeksi kirjoitusvirheet
4,27 t.
4
Tällä sivulla näytettävä sisältö on kolmansien osapuolten tarjoamaa. Ellei toisin mainita, OKX ei ole lainatun artikkelin / lainattujen artikkelien kirjoittaja, eikä OKX väitä olevansa materiaalin tekijänoikeuksien haltija. Sisältö on tarkoitettu vain tiedoksi, eikä se edusta OKX:n näkemyksiä. Sitä ei ole tarkoitettu minkäänlaiseksi suositukseksi, eikä sitä tule pitää sijoitusneuvontana tai kehotuksena ostaa tai myydä digitaalisia varoja. Siltä osin kuin yhteenvetojen tai muiden tietojen tuottamiseen käytetään generatiivista tekoälyä, tällainen tekoälyn tuottama sisältö voi olla epätarkkaa tai epäjohdonmukaista. Lue aiheesta lisätietoa linkitetystä artikkelista. OKX ei ole vastuussa kolmansien osapuolten sivustojen sisällöstä. Digitaalisten varojen, kuten vakaakolikoiden ja NFT:iden, omistukseen liittyy suuri riski, ja niiden arvo voi vaihdella merkittävästi. Sinun tulee huolellisesti harkita, sopiiko digitaalisten varojen treidaus tai omistus sinulle taloudellisessa tilanteessasi.