AAVE 本身的存款已达到 600 亿美元,但使用 DeFi 仍然让人感到害怕——你知道吗,前一段时间 SAFE,这个管理数十亿美元加密货币的标准,其前端被黑客攻击了
前端攻击已经盗取了数十亿美元的加密货币
为什么?如何改善?
去中心化应用(dapp)的前端本身包含许多动态组件和变量,每个组件都涉及到用户发起的交易生命周期的不同部分。
dapp的前端可能存在许多攻击向量,包括域名注册商本身以及其团队推送的恶意提交。
我认为,对于每个应用来说,如何管理域名本身进行披露应该是非常重要的标准安全实践。
使用哪个注册商,域名提供商是否曾经被黑客攻击过?如果他们被黑客攻击,针对这种情况有什么保障措施?
在进行适当的域名维护卫生后,DApp 开发者应该公开或制定明确的提交、合并和审查规则。
我认为 SEAL 团队也应该发布关于此的最佳实践。
并且,始终,始终要求你的开发人员不要从工作笔记本电脑上下载任何东西。
如果你能提供预装了所有限制的工作笔记本电脑,那会更好,就像企业所做的那样。
我知道这听起来很奇怪,但设置适当的防火墙以防止像SAFE黑客攻击这样的情况是很重要的,在这种情况下,一名开发者在不知情的情况下下载了恶意软件,并将其注入到前端。
我的意思是,即使你做了所有这些,如果某人的钱包本身由于前端攻击被黑客入侵,你仍然面临风险。
想象一下,有人接管了一个二级扩展钱包,并试图获取私钥或仅仅是密码。
那么你也就完蛋了。
那么我们该怎么办呢?我认为每个去中心化应用(dapp)都应该尽其所能,专注于创建一个对这些攻击超级安全的前端,没有完美的方法。你必须时刻保持警惕,想着任何可能出错的事情都会出错。
并且要快速检测和响应任何此类问题——如果你在构建去中心化金融(defi),就忘记你还有生活吧。
首先,始终对员工进行KYC,保持良好的域名卫生,良好的Git访问控制卫生,工作笔记本卫生,并默认阻止任何你认为可疑的钱包。
仅限于遵循最佳标准的钱包访问。
或者为您的用户引入一个 yolo 和安全模式
在 yolo 模式下,每个钱包都是允许的,想想 yolo,但在安全模式下,您真的非常专注于安全,这意味着您完全托管在 ipfs 上,只有必要的内容可以访问
对于分析,用户可以在 yolo 模式下查看
最后,我想明确一点,构建去中心化金融(DeFi)有许多攻击向量,真正为用户提供最佳服务需要的不仅仅是课本上的知识。
我们在 @SuperlendHQ 对我们正在构建的东西非常认真——一个统一的链上金融界面。
顺便说一下,这只是关于前端攻击向量的,我相信可能还有更多的场景,我们一直在讨论和研究。
但是当我们谈论去中心化金融协议本身的经济安全时,就会打开一个潘多拉的盒子。
更多的内容很快会分享,关于我们在 @SuperlendHQ 如何处理安全的各个方面,同时构建最佳用户体验。
@SuperlendHQ 界面*
请原谅打字错误
3,304
4
本页面内容由第三方提供。除非另有说明,欧易不是所引用文章的作者,也不对此类材料主张任何版权。该内容仅供参考,并不代表欧易观点,不作为任何形式的认可,也不应被视为投资建议或购买或出售数字资产的招揽。在使用生成式人工智能提供摘要或其他信息的情况下,此类人工智能生成的内容可能不准确或不一致。请阅读链接文章,了解更多详情和信息。欧易不对第三方网站上的内容负责。包含稳定币、NFTs 等在内的数字资产涉及较高程度的风险,其价值可能会产生较大波动。请根据自身财务状况,仔细考虑交易或持有数字资产是否适合您。