AAVE lui-mĂȘme a atteint 60 milliards de dollars de dĂ©pĂŽts, mais il est toujours EFFRAYANT d'utiliser DeFi -- saviez-vous qu'il y a quelque temps, SAFE, la norme pour gĂ©rer des milliards de dollars en crypto, a eu son interface frontale piratĂ©e
les piratages d'interface frontale ont volé des milliards de dollars en crypto
pourquoi ? et comment améliorer cela ?
un front-end d'une dapp est constitué de nombreux éléments en mouvement et de variables touchant chacune à différentes parties du cycle de vie d'une transaction provenant de l'utilisateur
un front-end d'une dapp prĂ©sente de nombreux vecteurs d'attaque possibles, y compris le registraire de domaine lui-mĂȘme jusqu'Ă son Ă©quipe poussant un mauvais commit
Je pense qu'il devrait ĂȘtre trĂšs important et une pratique de sĂ©curitĂ© standard pour chaque application de faire des divulgations sur la maniĂšre dont elle gĂšre le domaine lui-mĂȘme.
Quel registraire, le fournisseur de domaine a-t-il déjà été piraté auparavant ? Et s'il est piraté, quelles sont les mesures de sécurité contre cela ?
AprÚs avoir effectué une bonne hygiÚne de maintenance du domaine, le développeur de dapp devrait ensuite divulguer ou avoir des rÚgles claires concernant les commits, les fusions et les revues.
Je pense que l'Ă©quipe SEAL devrait Ă©galement publier des meilleures pratiques Ă ce sujet.
Et toujours, toujours, demandez à vos développeurs de ne jamais télécharger quoi que ce soit depuis l'ordinateur portable de travail.
il est préférable que vous puissiez fournir des ordinateurs portables de travail préchargés avec toutes les restrictions, comme le font les entreprises.
Je sais que cela peut sembler Ă©trange, mais il est important de mettre en place des pare-feu appropriĂ©s contre des scĂ©narios comme le hack SAFE, oĂč un dĂ©veloppeur a tĂ©lĂ©chargĂ© un malware sans le savoir et cela a injectĂ© un malware dans le front-end lui-mĂȘme.
je veux dire, mĂȘme si tu fais tout ça, et que le portefeuille de quelqu'un a Ă©tĂ© piratĂ© Ă cause d'un hack front-end, tu es toujours Ă risque
imagine que quelqu'un prenne le contrÎle d'un portefeuille d'extension de niveau 2 et essaie d'obtenir les clés privées ou juste le mot de passe
alors tu es aussi dans la merde
Que devrions-nous faire alors ? Je pense que chaque dapp, dans la mesure de ses capacitĂ©s, essaie de se concentrer et de crĂ©er une interface utilisateur qui soit super sĂ©curisĂ©e contre ce genre d'attaques, il n'y a pas de moyen parfait. Vous devez juste ĂȘtre paranoĂŻaque tout le temps, en pensant que tout ce qui peut mal tourner ira mal.
Et soyez rapide pour détecter et répondre à ce genre de problÚme -- oubliez que vous avez une vie si vous construisez dans le defi.
en haut, faites toujours le KYC de vos employés, maintenez une bonne hygiÚne de domaine, une bonne hygiÚne de contrÎle d'accÚs Git, une hygiÚne des ordinateurs portables de travail et bloquez par défaut tous les portefeuilles que vous pensez louches.
limitez l'accĂšs aux portefeuilles qui respectent uniquement les meilleures normes.
ou introduisez un mode yolo et un mode sécurisé pour vos utilisateurs
en mode yolo, tous les portefeuilles sont autorisĂ©s, et pensez Ă yolo, mais en mode sĂ©curisĂ©, vous ĂȘtes vraiment concentrĂ© uniquement sur la sĂ©curitĂ©, ce qui signifie que vous ĂȘtes complĂštement hĂ©bergĂ© sur un ipfs et que seules les choses nĂ©cessaires sont accessibles
pour l'analyse, les utilisateurs peuvent voir en mode yolo
Pour conclure, je veux juste préciser que construire dans la DeFi comporte de nombreux vecteurs d'attaque et qu'il faut plus que de la lecture de manuels pour vraiment servir vos utilisateurs de la meilleure maniÚre possible.
Nous, chez @SuperlendHQ, prenons cela trÚs au sérieux pour ce que nous construisons : une interface unifiée pour la finance on-chain.
au fait, cela ne concernait que les vecteurs d'attaque front-end, je suis sûr qu'il pourrait y avoir d'autres scénarios également sur lesquels nous débattons et travaillons constamment
mais il y a toute une boĂźte de Pandore quand nous parlons de la sĂ©curitĂ© Ă©conomique elle-mĂȘme des protocoles DeFi
plus à venir bientÎt, sur la façon dont nous gérons tous les aspects de la sécurité chez @SuperlendHQ tout en construisant la meilleure expérience utilisateur.
@SuperlendHQ interface*
excusez les fautes de frappe
3,87Â k
4
Le contenu de cette page est fourni par des tiers. Sauf indication contraire, OKX nâest pas lâauteur du ou des articles citĂ©s et ne revendique aucun droit dâauteur sur le contenu. Le contenu est fourni Ă titre dâinformation uniquement et ne reprĂ©sente pas les opinions dâOKX. Il ne sâagit pas dâune approbation de quelque nature que ce soit et ne doit pas ĂȘtre considĂ©rĂ© comme un conseil en investissement ou une sollicitation dâachat ou de vente dâactifs numĂ©riques. Dans la mesure oĂč lâIA gĂ©nĂ©rative est utilisĂ©e pour fournir des rĂ©sumĂ©s ou dâautres informations, ce contenu gĂ©nĂ©rĂ© par IA peut ĂȘtre inexact ou incohĂ©rent. Veuillez lire lâarticle associĂ© pour obtenir davantage de dĂ©tails et dâinformations. OKX nâest pas responsable du contenu hĂ©bergĂ© sur des sites tiers. La dĂ©tention dâactifs numĂ©riques, y compris les stablecoins et les NFT, implique un niveau de risque Ă©levĂ© et leur valeur peut considĂ©rablement fluctuer. Examinez soigneusement votre situation financiĂšre pour dĂ©terminer si le trading ou la dĂ©tention dâactifs numĂ©riques vous convient.