AAVE em si atingiu $60B em depósitos, mas ainda é ASSUSTADOR usar DeFi -- você sabia que há algum tempo o SAFE, o padrão para gerenciar bilhões de dólares em cripto, teve seu front-end hackeado?
hacks de front-end roubaram bilhões de dólares em cripto
por quê? e como melhorar?
a interface de um dapp em si tem muitas peças e variáveis em movimento, cada uma tocando muitas partes diferentes do ciclo de vida de uma transação que se origina do usuário
a interface de um dapp tem muitos vetores de ataque possíveis, incluindo o próprio registrador de domínio até a sua equipe a empurrar um commit ruim
acho que deve ser muito importante e uma prática de segurança padrão para cada aplicativo fazer divulgações sobre como gerem o domínio em si
qual registrador, o provedor de domínio já foi hackeado antes? e se forem hackeados, quais são as salvaguardas contra isso
após a manutenção adequada do domínio, o desenvolvedor de dapp deve então divulgar ou ter regras claras sobre commit, merge e revisão
acho que talvez a equipe SEAL também deva publicar melhores práticas sobre isso
e sempre, sempre, peça aos seus desenvolvedores para nunca baixar nada do laptop de trabalho
é melhor se puderem fornecer laptops de trabalho que venham pré-carregados com todas as restrições, como as empresas fazem
sei que parece estranho, mas é importante estabelecer firewalls adequados contra cenários como o hack SAFE, onde um desenvolvedor baixou um malware sem saber e isso injetou um malware no próprio front-end.
quero dizer, mesmo que faças tudo isso, e a carteira de alguém tenha sido hackeada também devido a um hack de front-end, ainda estás em risco
imagina que alguém tomou conta de uma carteira de extensão de nível 2 e tentou obter as chaves privadas ou apenas a palavra-passe
depois também estás f*cked
o que devemos fazer então? eu acho que cada dapp, na melhor das suas capacidades, deve tentar focar e criar um front-end que seja super seguro contra esse tipo de ataques, não há uma maneira perfeita. você só tem que estar paranoico o tempo todo, pensando que qualquer coisa que possa dar errado, dará errado.
e ser rápido em detectar e responder a qualquer tipo de problema desse tipo -- esqueça que você tem uma vida se está construindo em defi.
em cima, faça sempre KYC dos seus funcionários, mantenha uma boa higiene de domínio, uma boa higiene de controlo de acesso ao git, higiene dos portáteis de trabalho e bloqueie por padrão quaisquer carteiras que você considere suspeitas
limite o acesso apenas às carteiras que seguem os melhores padrões
ou introduza um modo yolo e seguro para os seus utilizadores
no modo yolo, todas as carteiras são permitidas, e pense que são yolo, mas no modo seguro está realmente muito focado apenas na segurança, o que significa que está completamente até hospedado sobre um ipfs e apenas as coisas necessárias são acessíveis
para análises, os utilizadores podem ver no modo yolo
para concluir, só quero deixar claro que construir em defi tem muitos vetores de ataque e é necessário mais do que ler livros didáticos para realmente servir os seus usuários da melhor maneira possível
nós da @SuperlendHQ levamos isso muito a sério para o que estamos construindo -- uma interface unificada para finanças onchain
a propósito, isto era apenas sobre vetores de ataque de front-end, tenho certeza de que podem haver mais cenários também, que estamos constantemente a debater e a trabalhar
mas há uma enorme caixa de pandora quando falamos sobre a segurança económica dos próprios protocolos de defi
mais em breve, sobre como lidamos com todos os aspectos da segurança na @SuperlendHQ enquanto construímos a melhor experiência de utilizador
@SuperlendHQ interface*
desculpe os erros de digitação
4,53 mil
4
O conteúdo apresentado nesta página é fornecido por terceiros. Salvo indicação em contrário, a OKX não é o autor dos artigos citados e não reivindica quaisquer direitos de autor nos materiais. O conteúdo é fornecido apenas para fins informativos e não representa a opinião da OKX. Não se destina a ser um endosso de qualquer tipo e não deve ser considerado conselho de investimento ou uma solicitação para comprar ou vender ativos digitais. Na medida em que a IA generativa é utilizada para fornecer resumos ou outras informações, esse mesmo conteúdo gerado por IA pode ser impreciso ou inconsistente. Leia o artigo associado para obter mais detalhes e informações. A OKX não é responsável pelo conteúdo apresentado nos sites de terceiros. As detenções de ativos digitais, incluindo criptomoedas estáveis e NFTs, envolvem um nível de risco elevado e podem sofrer grandes flutuações. Deve considerar cuidadosamente se o trading ou a detenção de ativos digitais é adequado para si à luz da sua condição financeira.