AAVE 本身的存款已達到 600 億美元,但使用 DeFi 仍然讓人感到可怕 -- 你知道不久前 SAFE,管理數十億美元加密貨幣的標準,前端被駭客攻擊了嗎?
前端攻擊已竊取數十億美元的加密貨幣。
為什麼?以及如何改善?
dapp 的前端本身有很多移動的部分和變數,每個部分都涉及到用戶發起的交易生命周期的許多不同部分。
dapp 的前端有許多可能的攻擊向量,包括域名註冊商本身以及其團隊推送的壞提交。
我認為每個應用程式在管理域名本身時,進行披露應該是非常重要且標準的安全做法。
使用哪個註冊商?域名提供商是否曾經被駭客攻擊過?如果他們真的被駭客攻擊,對此有什麼防範措施?
在進行適當的域名維護後,dapp 開發者應該公開或制定清晰的提交、合併和審查規則。
我認為 SEAL 團隊也應該發布相關的最佳實踐。
而且,永遠,永遠要告訴你的開發人員不要從工作筆記本下載任何東西。
如果你能提供預先安裝了所有限制的工作筆記型電腦,那會更好,就像企業所做的那樣。
我知道這聽起來很奇怪,但設置適當的防火牆以防止像SAFE黑客攻擊這樣的情況是很重要的,因為有一位開發者不小心下載了惡意軟體,並且這導致了惡意軟體注入到前端本身。
我的意思是,即使你做了所有這些,如果某人的錢包本身因為前端漏洞被駭客入侵,你仍然面臨風險。
想像一下,有人接管了一個二級擴展錢包,試圖獲取私鑰或只是密碼。
那麼你也就完蛋了。
那我們該怎麼做呢?我認為每個去中心化應用(dapp)都應該盡其所能,專注於創建一個對這類攻擊超級安全的前端,沒有完美的方法。你必須時刻保持警惕,思考任何可能出錯的事情都會出錯。
並且要快速檢測和應對任何此類問題——如果你在構建去中心化金融(defi),就忘記你還有生活吧。
首先,始終對您的員工進行 KYC,保持良好的域名衛生,良好的 Git 訪問控制衛生,工作筆記本電腦的衛生,並默認阻止您認為可疑的任何錢包。
僅限於遵循最佳標準的錢包的訪問權限。
或為您的用戶引入一個 yolo 和安全模式
在 yolo 模式下,每個錢包都是被允許的,並且認為是 yolo,但在安全模式下,您真的非常專注於安全,這意味著您完全是通過 ipfs 托管,並且只有必要的東西是可訪問的
對於分析,用戶可以在 yolo 模式下查看
總結來說,我想明確表示,在去中心化金融(DeFi)中構建有許多攻擊向量,僅僅依賴教科書的閱讀並不足以真正以最佳方式服務於用戶。
我們在 @SuperlendHQ 對我們所構建的這一點非常重視——一個統一的鏈上金融介面。
順便提一下,這僅僅是關於前端攻擊向量的討論,我相信還有更多的情境,我們不斷在辯論和研究。
但當我們談論去中心化金融協議本身的經濟安全時,這是一個充滿潘多拉盒子的話題。
不久後會有更多關於我們如何在@SuperlendHQ處理所有安全方面的內容,同時打造最佳的用戶體驗。
@SuperlendHQ 介面*
請原諒打字錯誤
2,515
4
本頁面內容由第三方提供。除非另有說明,OKX 不是所引用文章的作者,也不對此類材料主張任何版權。該內容僅供參考,並不代表 OKX 觀點,不作為任何形式的認可,也不應被視為投資建議或購買或出售數字資產的招攬。在使用生成式人工智能提供摘要或其他信息的情況下,此類人工智能生成的內容可能不準確或不一致。請閱讀鏈接文章,瞭解更多詳情和信息。OKX 不對第三方網站上的內容負責。包含穩定幣、NFTs 等在內的數字資產涉及較高程度的風險,其價值可能會產生較大波動。請根據自身財務狀況,仔細考慮交易或持有數字資產是否適合您。