AAVE zelf heeft $60B aan deposito's aangeraakt, maar het is nog steeds ENG om DeFi te gebruiken -- wist je dat een tijdje geleden SAFE, de standaard voor het beheren van miljarden dollars in crypto, zijn front-end gehackt had?
Front-end hacks hebben miljarden dollars in crypto gestolen.
Waarom? En hoe te verbeteren?
een front-end van een dapp zelf is een hoop bewegende onderdelen en variabelen die elk veel verschillende delen van de levenscyclus van een transactie aanraken die van de gebruiker afkomstig zijn
een front-end van een dapp heeft veel mogelijke aanvalsvectoren, waaronder de domeinregistrar zelf tot aan het team dat een slechte commit doorvoert
ik denk dat het heel belangrijk zou moeten zijn en een standaard beveiligingspraktijk voor elke app om openbaar te maken hoe ze het domein zelf beheren
welke registrar, is de domeinprovider ooit gehackt? en als ze gehackt worden, wat zijn de failsafes daartegen?
na het uitvoeren van een goede onderhoudshygiëne van het domein, moet de dapp-ontwikkelaar vervolgens duidelijk maken of duidelijke regels hebben over commit, merge en review
ik denk dat het SEAL-team misschien ook best practices hierover zou moeten publiceren
en vraag altijd, altijd, je ontwikkelaars om nooit iets van de werk-laptop te downloaden
het is beter als je werk-laptops kunt geven die vooraf zijn geladen met alle beperkingen, zoals corporates dit doen
ik weet dat het vreemd klinkt, maar het is belangrijk om goede firewalls in te stellen tegen scenario's zoals de SAFE-hack, waarbij een ontwikkelaar onbewust malware heeft gedownload en dat malware in de front-end zelf heeft geïnjecteerd.
ik bedoel, zelfs als je dat allemaal doet, en de portemonnee van iemand zelf is gehackt door een front-end hack, ben je nog steeds in gevaar.
stel je voor dat iemand een tier-2 extensieportemonnee overneemt en probeert de privésleutels of gewoon het wachtwoord te krijgen.
dan ben je ook f*cked.
wat moeten we dan doen? Ik denk dat elke dapp, voor zover mogelijk, zich moet richten op het creëren van een front-end die superveilig is tegen dit soort aanvallen, er is geen perfecte manier. Je moet gewoon altijd paranoïde zijn, denken dat alles wat fout kan gaan, ook fout zal gaan.
en snel zijn in het detecteren en reageren op dergelijke problemen -- vergeet dat je een leven hebt als je in defi bouwt.
bovenaan, zorg altijd voor KYC van je werknemers, zorg voor goede domeinhygiëne, goede git-toegangscontrolehygiëne, hygiëne van werk-laptops en blokkeer standaard alle wallets die je verdacht vindt.
beperk de toegang tot wallets die alleen de beste standaarden volgen.
of introduceer een yolo- en veilig modus voor je gebruikers
in yolo-modus is elke wallet toegestaan, en denk aan yolo, maar in veilig modus ben je echt heel erg gefocust op de veiligheid, wat betekent dat je volledig zelfs gehost bent over een ipfs en alleen noodzakelijke dingen toegankelijk zijn
voor analytics kunnen gebruikers in yolo-modus zien
Om te concluderen, wil ik gewoon duidelijk maken dat bouwen in DeFi veel aanvalsvectoren heeft en dat het meer vereist dan alleen het lezen van boeken om je gebruikers op de best mogelijke manier te bedienen.
Wij bij @SuperlendHQ nemen dit zeer serieus voor wat we aan het bouwen zijn -- een verenigde interface voor on-chain financiën.
overigens, dit ging alleen over front-end aanvalsvectoren, ik weet zeker dat er ook meer scenario's zijn waar we constant over debatteren en aan werken
maar er is een heleboel pandora's doos als we het hebben over de economische veiligheid van de defi-protocollen zelf
meer hierover binnenkort, over hoe we alle aspecten van veiligheid bij @SuperlendHQ aanpakken terwijl we de beste gebruikerservaring bouwen
@SuperlendHQ interface*
excuseer de typfouten
4,95K
4
De inhoud op deze pagina wordt geleverd door derden. Tenzij anders vermeld, is OKX niet de auteur van het (de) geciteerde artikel(en) en claimt geen auteursrecht op de materialen. De inhoud is alleen bedoeld voor informatieve doeleinden en vertegenwoordigt niet de standpunten van OKX. Het is niet bedoeld als een goedkeuring van welke aard dan ook en mag niet worden beschouwd als beleggingsadvies of een uitnodiging tot het kopen of verkopen van digitale bezittingen. Voor zover generatieve AI wordt gebruikt om samenvattingen of andere informatie te verstrekken, kan deze door AI gegenereerde inhoud onnauwkeurig of inconsistent zijn. Lees het gelinkte artikel voor meer details en informatie. OKX is niet verantwoordelijk voor inhoud gehost op sites van een derde partij. Het bezitten van digitale activa, waaronder stablecoins en NFT's, brengt een hoge mate van risico met zich mee en de waarde van deze activa kan sterk fluctueren. Overweeg zorgvuldig of de handel in of het bezit van digitale activa geschikt voor je is in het licht van je financiële situatie.