Samotné AAVE se dotklo vkladů 60 miliard dolarů, ale stále je strašné používat DeFi – věděli jste před chvílí SAFE, standard pro správu miliard dolarů v kryptoměnách, měl hacknutý front-end
Front-end hacky ukradly kryptoměny za miliardy dolarů
Proč? A jak se zlepšit?
Front-end samotné decentralizované aplikace je spousta pohyblivých částí a proměnných, z nichž každá se dotýká mnoha různých částí životního cyklu transakce pocházejících od uživatele
Front-end decentralizované aplikace má mnoho možných vektorů útoku, včetně samotného registrátora domény až po jeho tým, který prosazuje chybnou revizi
Myslím, že by mělo být velmi důležité a standardní bezpečnostní praxí pro každou aplikaci zveřejňovat informace o tom, jak spravují samotnou doménu
U kterého registrátora byl poskytovatel domény někdy předtím hacknut? A pokud se dostanou do hackerského útoku, jaké jsou proti tomu pojistky
Po provedení správné hygieny údržby domény by měl vývojář aplikace Dapp zveřejnit nebo by měl mít jasná pravidla týkající se potvrzení, sloučení a kontroly
Myslím, že by možná tým SEAL měl také zveřejnit osvědčené postupy v této oblasti
A vždy, vždy požádejte své vývojáře, aby nikdy nic nestahovali z pracovního notebooku
Je lepší, když můžete dát pracovní notebooky, které jsou předem nainstalované se všemi omezeními, jako je to, jak to dělají korporace
Ik Zní to divně, ale je důležité nastavit správné firewally proti scénářům, jako je SAFE hack, kdy si jeden vývojář nevědomky stáhl malware a ten vložil malware do samotného front-endu
Chci říct, že i když to všechno uděláte a něčí peněženka sama byla hacknuta také kvůli front-end hacku, stále jste v ohrožení
Představte si, že někdo převzal peněženku s rozšířením úrovně 2 a pokusil se získat samotné soukromé klíče nebo pouze heslo
pak jsi také v prdeli
Co bychom tedy měli dělat? Myslím, že každá decentralizovaná aplikace se v nejlepší míře snaží zaměřit a vytvořit front-end, který je super bezpečný proti těmto druhům útoků, neexistuje žádný dokonalý způsob. Musíte být neustále paranoidní a myslet si, že cokoli, co se může pokazit, se pokazí.
A buďte rychlí v detekci a reakci na jakýkoli takový druh problému -- zapomeňte na to, že máte život, pokud stavíte na DeFi
Kromě toho vždy provádějte KYC svých zaměstnanců, provádějte dobrou hygienu domény, dobrou hygienu kontroly přístupu Git, hygienu pracovních notebooků a ve výchozím nastavení zablokujte všechny peněženky, o kterých si myslíte, že jsou stinné
omezte přístup pouze peněženkám, které dodržují pouze ty nejlepší standardy
Nebo zaveďte pro uživatele režim yolo a bezpečný režim
V režimu Yolo je povolena každá peněženka a myslím, že jsou Yolo a ale v nouzovém režimu se opravdu opravdu soustředíte čistě na bezpečnost, což znamená, že jste zcela vyrovnaně hostováni přes IPFS a přístupné jsou pouze nezbytné věci
Pro analýzu mohou uživatelé vidět v režimu Yolo
Na závěr chci jen objasnit, že budování v DeFi má mnoho vektorů útoku a vyžaduje více než jen čtení učebnice, abyste skutečně mohli svým uživatelům sloužit tím nejlepším možným způsobem
My v @SuperlendHQ to bereme velmi vážně pro to, co budujeme – sjednocenou integraci pro Onchain Finance
Mimochodem, tohle bylo jen o vektorech front-end útoku, jsem si jistý, že by mohly existovat i další scénáře, o kterých neustále diskutujeme a pracujeme na nich
Ale je tu spousta Pandořiny skříňky, když mluvíme o samotné ekonomické bezpečnosti samotných protokolů DeFi
Více na Než brzy, o tom, jak zvládáme všechny aspekty zabezpečení v @SuperlendHQ při vytváření nejlepšího UX
@SuperlendHQ rozhraní*
omluvte překlepy
2,64 tis.
4
Obsah na této stránce poskytují třetí strany. Není-li uvedeno jinak, společnost OKX není autorem těchto informací a nenárokuje si u těchto materiálů žádná autorská práva. Obsah je poskytován pouze pro informativní účely a nevyjadřuje názory společnosti OKX. Nejedná se o doporučení jakéhokoli druhu a nemělo by být považováno za investiční poradenství ani nabádání k nákupu nebo prodeji digitálních aktiv. Tam, kde se k poskytování souhrnů a dalších informací používá generativní AI, může být vygenerovaný obsah nepřesný nebo nekonzistentní. Další podrobnosti a informace naleznete v připojeném článku. Společnost OKX neodpovídá za obsah, jehož hostitelem jsou externí weby. Držená digitální aktiva, včetně stablecoinů a tokenů NFT, zahrnují vysokou míru rizika a mohou značně kolísat. Měli byste pečlivě zvážit, zde je pro vás obchodování s digitálními aktivy nebo jejich držení vhodné z hlediska vaší finanční situace.