A própria AAVE atingiu depósitos de US$ 60 bilhões, mas ainda é ASSUSTADOR usar DeFi - você sabia há algum tempo que o SAFE, o padrão para gerenciar bilhões de dólares em criptomoedas, teve seu front-end hackeado
hacks de front-end roubaram bilhões de dólares em criptomoedas
por que? e como melhorar?
Um front-end de um dapp em si é um monte de peças e variáveis móveis, cada uma tocando muitas partes diferentes do ciclo de vida de uma transação originada pelo usuário
Um front-end de um dapp tem muitos vetores de ataque possíveis, incluindo o próprio registrador de domínio até sua equipe enviando um commit incorreto
Acho que deveria ser muito importante e uma prática de segurança padrão para cada aplicativo fazer divulgações sobre como eles gerenciam o próprio domínio
Qual registrador, o provedor de domínio já foi hackeado antes? e se eles forem hackeados, quais são as falhas contra isso
Depois que a higiene adequada da manutenção do domínio for feita, o desenvolvedor do dApp deve divulgar ou ter regras claras sobre confirmação, mesclagem e revisão
acho que talvez a equipe do SEAL também deva publicar as melhores práticas em torno disso
E sempre, sempre, peça aos seus desenvolvedores que nunca baixem nada do laptop de trabalho
É melhor se você puder fornecer laptops de trabalho pré-carregados com todas as restrições, como a forma como as empresas fazem isso
ik parece estranho, mas é importante definir firewalls adequados contra cenários como o hack SAFE, onde um desenvolvedor baixou um malware sem saber e injetou um malware no próprio front-end
Quero dizer, mesmo que você faça tudo isso, e a própria carteira de alguém tenha sido hackeada também devido a um hack de front-end, você ainda está em risco
Imagine que alguém assumiu uma carteira de extensão de nível 2 e tentou obter as chaves privadas ou apenas a senha
então você também está f*dido
O que devemos fazer então? Acho que todo dapp da melhor maneira possível tenta se concentrar e criar um front-end que seja super seguro contra esse tipo de ataque, não há uma maneira perfeita. Você só precisa ser paranóico o tempo todo, pensando que qualquer coisa que possa dar errado vai dar errado.
E seja rápido em detectar e responder a qualquer tipo de problema - esqueça que você tem uma vida se estiver construindo em DeFi
Além disso, sempre faça KYC de seus funcionários, faça uma boa higiene de domínio, boa higiene de controle de acesso Git, higiene de laptop de trabalho e bloqueie por padrão todas as carteiras que você acha que são obscuras
Limite o acesso de carteiras que seguem apenas os melhores padrões
ou introduza um yolo e um modo de segurança para seus usuários
No modo Yolo, todas as carteiras são permitidas, e acho que são Yolo e, mas no modo de segurança você está realmente focado puramente na segurança, o que significa que você está completamente hospedado em um IPFS e apenas as coisas necessárias estão acessíveis
Para análise, os usuários podem ver no modo Yolo
Para concluir, quero deixar claro que a construção em DeFi tem muitos vetores de ataque e é preciso mais do que a leitura de livros didáticos para realmente atender seus usuários da melhor maneira possível
Nós da @SuperlendHQ levamos isso muito a sério pelo que estamos construindo - uma interface unificada para finanças onchain
A propósito, tratava-se apenas de vetores de ataque front-end, tenho certeza de que também pode haver mais cenários que estamos constantemente debatendo e trabalhando
Mas há muita caixa de Pandora quando falamos sobre segurança econômica em si ou protocolos DeFi em si
Mais do que em breve, sobre como lidamos com todos os aspectos da segurança na @SuperlendHQ enquanto construímos a melhor experiência do usuário
@SuperlendHQ interface*
desculpe os erros de digitação
3,41 mil
4
O conteúdo desta página é fornecido por terceiros. A menos que especificado de outra forma, a OKX não é a autora dos artigos mencionados e não reivindica direitos autorais sobre os materiais apresentados. O conteúdo tem um propósito meramente informativo e não representa as opiniões da OKX. Ele não deve ser interpretado como um endosso ou aconselhamento de investimento de qualquer tipo, nem como uma recomendação para compra ou venda de ativos digitais. Quando a IA generativa é utilizada para criar resumos ou outras informações, o conteúdo gerado pode apresentar imprecisões ou incoerências. Leia o artigo vinculado para mais detalhes e informações. A OKX não se responsabiliza pelo conteúdo hospedado em sites de terceiros. Possuir ativos digitais, como stablecoins e NFTs, envolve um risco elevado e pode apresentar flutuações significativas. Você deve ponderar com cuidado se negociar ou manter ativos digitais é adequado para sua condição financeira.