AAVE сам по себе достиг $60B депозитов, но использовать DeFi все еще СТРАШНО -- вы знали, что некоторое время назад SAFE, стандарт для управления миллиардами долларов в криптовалюте, был взломан
взломы фронтенда украли миллиарды долларов в криптовалюте
почему? и как это улучшить?
фронтенд dapp сам по себе состоит из множества движущихся частей и переменных, каждая из которых касается многих различных аспектов жизненного цикла транзакции, исходящей от пользователя
фронтенд dapp имеет множество возможных векторов атак, включая самого регистратора домена и его команду, которая может внести плохой коммит
Я думаю, что это должно быть очень важно и стандартной практикой безопасности для каждого приложения делать раскрытия информации о том, как они управляют самим доменом.
Какой регистратор, был ли провайдер домена когда-либо взломан? И если его взломают, какие меры предосторожности предусмотрены против этого?
После того как проведена надлежащая гигиена обслуживания домена, разработчик dapp должен раскрыть или иметь четкие правила относительно коммитов, слияний и ревью.
Я думаю, что команда SEAL также должна опубликовать лучшие практики по этому поводу.
И всегда, всегда просите ваших разработчиков никогда не загружать ничего с рабочего ноутбука.
Лучше, если вы сможете предоставить рабочие ноутбуки, которые заранее загружены со всеми ограничениями, как это делают корпорации.
Знаю, это звучит странно, но важно установить правильные межсетевые экраны против сценариев, подобных взлому SAFE, когда один разработчик незаметно загрузил вредоносное ПО, и оно внедрилось в сам фронтенд.
Я имею в виду, даже если вы сделаете все это, и чей-то кошелек сам по себе был взломан из-за фронтенд-атаки, вы все равно находитесь под угрозой.
Представьте, что кто-то захватил кошелек расширения второго уровня и попытался получить сами приватные ключи или просто пароль.
Тогда вы тоже в жопе.
что нам тогда делать? Я думаю, что каждая dapp в меру своих возможностей должна сосредоточиться на создании фронтенда, который будет супер безопасным против таких атак, идеального способа не существует. Вам просто нужно быть параноиком все время, думая, что все, что может пойти не так, пойдет не так.
и быстро реагировать на любые подобные проблемы — забудьте, что у вас есть жизнь, если вы строите в DeFi.
в первую очередь, всегда проводите KYC ваших сотрудников, обеспечивайте хорошую гигиену домена, хорошую гигиену контроля доступа к git, гигиену рабочих ноутбуков и по умолчанию блокируйте любые кошельки, которые вам кажутся подозрительными.
ограничьте доступ только кошельками, которые соответствуют лучшим стандартам.
или введите режим yolo и безопасный режим для ваших пользователей
в режиме yolo разрешены все кошельки, и думайте, что это yolo, а в безопасном режиме вы действительно сосредоточены исключительно на безопасности, что означает, что вы полностью даже размещены на ipfs, и доступны только необходимые вещи
для аналитики пользователи могут видеть в режиме yolo
В заключение, я просто хочу прояснить, что создание в DeFi имеет множество векторов атак, и для того, чтобы действительно обслуживать своих пользователей наилучшим образом, нужно больше, чем просто чтение учебников.
Мы в @SuperlendHQ относимся к этому очень серьезно в том, что мы строим — единый интерфейс для ончейн-финансов.
кстати, это касалось только векторов атак на фронт-энде, я уверен, что могут быть и другие сценарии, над которыми мы постоянно обсуждаем и работаем
но когда мы говорим о экономической безопасности самих протоколов DeFi, это целая коробка Пандоры
скоро будет больше информации о том, как мы справляемся со всеми аспектами безопасности в @SuperlendHQ, создавая лучший UX
@SuperlendHQ интерфейс*
извините за опечатки
2,35 тыс.
4
Содержание этой страницы предоставляется третьими сторонами. OKX не является автором цитируемых статей и не имеет на них авторских прав, если не указано иное. Материалы предоставляются исключительно в информационных целях и не отражают мнения OKX. Материалы не являются инвестиционным советом и призывом к покупке или продаже цифровых активов. Раздел использует ИИ для создания обзоров и кратких содержаний предоставленных материалов. Обратите внимание, что информация, сгенерированная ИИ, может быть неточной и непоследовательной. Для получения полной информации изучите соответствующую оригинальную статью. OKX не несет ответственности за материалы, содержащиеся на сторонних сайтах. Цифровые активы, в том числе стейблкоины и NFT, подвержены высокому риску, а их стоимость может сильно колебаться. Перед торговлей и покупкой цифровых активов оцените ваше финансовое состояние и принимайте только взвешенные решения.