AAVE sam w sobie osiągnął 60 miliardów dolarów depozytów, ale korzystanie z DeFi wciąż jest PRZERAŻAJĄCE -- czy wiedziałeś, że jakiś czas temu SAFE, standard zarządzania miliardami dolarów w kryptowalutach, miał zhakowany interfejs użytkownika
hakowanie interfejsów użytkownika ukradło miliardy dolarów w kryptowalutach
dlaczego? i jak to poprawić?
interfejs dapp-a składa się z wielu ruchomych elementów i zmiennych, z których każda dotyka wielu różnych części cyklu życia transakcji, począwszy od użytkownika.
interfejs dapp-a ma wiele możliwych wektorów ataku, w tym rejestrator domeny oraz zespół wprowadzający złą zmianę.
Uważam, że powinno to być bardzo ważne i standardową praktyką bezpieczeństwa dla każdej aplikacji, aby ujawniać, jak zarządzają samą domeną.
Który rejestrator, czy dostawca domeny kiedykolwiek został zhakowany? A jeśli zostanie zhakowany, jakie są zabezpieczenia przed tym?
po przeprowadzeniu odpowiedniej higieny utrzymania domeny, deweloper dapp powinien ujawnić lub mieć jasne zasady dotyczące commitów, merge'ów i przeglądów
myślę, że może zespół SEAL powinien również opublikować najlepsze praktyki w tej kwestii
i zawsze, zawsze, proś swoich deweloperów, aby nigdy nie pobierali niczego na laptopa służbowego
lepiej, jeśli możesz dać laptopy robocze, które są wstępnie załadowane ze wszystkimi ograniczeniami, tak jak robią to korporacje
wiem, że to brzmi dziwnie, ale ważne jest, aby ustawić odpowiednie zapory przeciwko scenariuszom takim jak atak SAFE, gdzie jeden deweloper nieświadomie pobrał złośliwe oprogramowanie, które wprowadziło złośliwe oprogramowanie do samego front-endu.
mam na myśli, że nawet jeśli zrobisz to wszystko, a czyjś portfel został zhakowany również z powodu ataku na front-end, nadal jesteś narażony
wyobraź sobie, że ktoś przejął portfel z rozszerzeniem tier-2 i próbował zdobyć klucze prywatne lub po prostu hasło
wtedy też jesteś w d*pie
co powinniśmy więc zrobić? Myślę, że każda dapp powinna w miarę swoich możliwości skupić się na stworzeniu front-endu, który jest super bezpieczny przed tego rodzaju atakami, nie ma idealnego rozwiązania. Musisz być po prostu cały czas podejrzliwy, myśląc, że wszystko, co może pójść źle, pójdzie źle.
I bądź szybki w wykrywaniu i reagowaniu na jakiekolwiek tego rodzaju problemy -- zapomnij, że masz życie, jeśli budujesz w defi.
na górze, zawsze przeprowadzaj KYC swoich pracowników, dbaj o dobrą higienę domeny, dobrą kontrolę dostępu do GIT, higienę laptopów roboczych i domyślnie blokuj wszelkie portfele, które uważasz za podejrzane
ogranicz dostęp tylko do portfeli, które spełniają najlepsze standardy
lub wprowadź tryb yolo i tryb bezpieczny dla swoich użytkowników
w trybie yolo każda portfel jest dozwolony, a myślenie jest yolo, ale w trybie bezpiecznym naprawdę koncentrujesz się wyłącznie na bezpieczeństwie, co oznacza, że jesteś całkowicie hostowany na ipfs i tylko niezbędne rzeczy są dostępne
w przypadku analityki użytkownicy mogą zobaczyć w trybie yolo
Na koniec chcę tylko wyjaśnić, że budowanie w DeFi ma wiele wektorów ataku i wymaga więcej niż tylko czytania podręczników, aby naprawdę służyć swoim użytkownikom w najlepszy możliwy sposób.
My w @SuperlendHQ traktujemy to bardzo poważnie w tym, co budujemy -- zjednoczony interfejs dla finansów on-chain.
przy okazji, to dotyczyło tylko wektorów ataku front-end, jestem pewien, że mogą być też inne scenariusze, nad którymi ciągle debatujemy i pracujemy
ale jest cała masa otwartej puszki Pandory, gdy mówimy o bezpieczeństwie ekonomicznym samych protokołów defi
więcej na ten temat wkrótce, jak radzimy sobie ze wszystkimi aspektami bezpieczeństwa w @SuperlendHQ, budując najlepsze UX
interfejs @SuperlendHQ*
przepraszam za literówki
3,95 tys.
4
Treści na tej stronie są dostarczane przez strony trzecie. O ile nie zaznaczono inaczej, OKX nie jest autorem cytowanych artykułów i nie rości sobie żadnych praw autorskich do tych materiałów. Treść jest dostarczana wyłącznie w celach informacyjnych i nie reprezentuje poglądów OKX. Nie mają one na celu jakiejkolwiek rekomendacji i nie powinny być traktowane jako porada inwestycyjna lub zachęta do zakupu lub sprzedaży aktywów cyfrowych. Treści, w zakresie w jakim jest wykorzystywana generatywna sztuczna inteligencja do dostarczania podsumowań lub innych informacji, mogą być niedokładne lub niespójne. Przeczytaj podlinkowany artykuł, aby uzyskać więcej szczegółów i informacji. OKX nie ponosi odpowiedzialności za treści hostowane na stronach osób trzecich. Posiadanie aktywów cyfrowych, w tym stablecoinów i NFT, wiąże się z wysokim stopniem ryzyka i może podlegać znacznym wahaniom. Musisz dokładnie rozważyć, czy handel lub posiadanie aktywów cyfrowych jest dla Ciebie odpowiednie w świetle Twojej sytuacji finansowej.