AAVE ha toccato $60 miliardi di depositi, ma è ancora SPAVENTOSO usare DeFi -- sapevi che un po' di tempo fa SAFE, lo standard per gestire miliardi di dollari in crypto, ha subito un attacco al front-end?
Gli attacchi al front-end hanno rubato miliardi di dollari in crypto.
Perché? E come migliorare?
un front-end di un dapp è composto da molti elementi e variabili che toccano diverse parti del ciclo di vita di una transazione che ha origine dall'utente
un front-end di un dapp ha molti vettori di attacco possibili, incluso il registrar di dominio stesso fino al suo team che spinge un commit dannoso
Penso che dovrebbe essere molto importante e una pratica di sicurezza standard per ogni app fare divulgazioni su come gestiscono il dominio stesso.
Quale registrar, il fornitore del dominio è mai stato hackerato prima? E se vengono hackerati, quali sono le misure di sicurezza contro di esso?
dopo che è stata effettuata una corretta manutenzione del dominio, lo sviluppatore di dapp dovrebbe quindi divulgare o avere regole chiare riguardo a commit, merge e review
penso che forse il team SEAL dovrebbe anche pubblicare le migliori pratiche al riguardo
e, sempre, chiedere ai tuoi sviluppatori di non scaricare mai nulla dal laptop di lavoro
è meglio se puoi fornire laptop aziendali già caricati con tutte le restrizioni, come fanno le aziende
so che sembra strano, ma è importante impostare dei firewall adeguati contro scenari come l'hack di SAFE, dove un sviluppatore ha scaricato un malware senza saperlo e questo ha iniettato un malware nel front-end stesso.
intendo dire, anche se fai tutto questo, e il portafoglio di qualcuno è stato hackerato a causa di un attacco front-end, sei comunque a rischio.
immagina che qualcuno prenda il controllo di un portafoglio di estensione di livello 2 e tenti di ottenere le chiavi private o semplicemente la password.
allora sei f*ttuto.
cosa dovremmo fare allora? penso che ogni dapp, per quanto possibile, cerchi di concentrarsi e creare un front-end che sia super sicuro contro questo tipo di attacchi, non c'è un modo perfetto. devi solo essere paranoico tutto il tempo, pensando che qualsiasi cosa possa andare male andrà male.
e devi essere veloce nel rilevare e rispondere a qualsiasi tipo di problema del genere -- dimentica che hai una vita se stai costruendo in defi.
in cima, fai sempre il KYC dei tuoi dipendenti, mantieni una buona igiene del dominio, una buona igiene del controllo degli accessi su Git, igiene dei laptop di lavoro e blocca per impostazione predefinita qualsiasi wallet che pensi sia sospetto
limita l'accesso solo ai wallet che seguono i migliori standard
o introduci una modalità yolo e una modalità sicura per i tuoi utenti
nella modalità yolo, ogni wallet è consentito, e pensa che sia yolo, ma nella modalità sicura sei davvero, davvero concentrato esclusivamente sulla sicurezza, il che significa che sei completamente ospitato su un ipfs e solo le cose necessarie sono accessibili
per le analisi, gli utenti possono vedere nella modalità yolo
per concludere, voglio solo chiarire che costruire in defi presenta molti vettori di attacco e ci vuole più che una lettura da manuale per servire realmente i propri utenti nel miglior modo possibile.
Noi di @SuperlendHQ prendiamo molto sul serio ciò che stiamo costruendo: un'interfaccia unificata per la finanza on-chain.
a proposito, questo riguardava solo i vettori di attacco front-end, sono sicuro che ci possano essere anche altri scenari su cui stiamo costantemente dibattendo e lavorando
ma c'è un intero Pandora's box quando parliamo della sicurezza economica dei protocolli DeFi stessi
presto parleremo di più su come gestiamo tutti gli aspetti della sicurezza su @SuperlendHQ mentre costruiamo la migliore esperienza utente.
@SuperlendHQ interfaccia*
scusate gli errori di battitura
2.623
4
Il contenuto di questa pagina è fornito da terze parti. Salvo diversa indicazione, OKX non è l'autore degli articoli citati e non rivendica alcun copyright sui materiali. Il contenuto è fornito solo a scopo informativo e non rappresenta le opinioni di OKX. Non intende essere un'approvazione di alcun tipo e non deve essere considerato un consiglio di investimento o una sollecitazione all'acquisto o alla vendita di asset digitali. Nella misura in cui l'IA generativa viene utilizzata per fornire riepiloghi o altre informazioni, tale contenuto generato dall'IA potrebbe essere impreciso o incoerente. Leggi l'articolo collegato per ulteriori dettagli e informazioni. OKX non è responsabile per i contenuti ospitati su siti di terze parti. Gli holding di asset digitali, tra cui stablecoin e NFT, comportano un elevato grado di rischio e possono fluttuare notevolmente. Dovresti valutare attentamente se effettuare il trading o detenere asset digitali è adatto a te alla luce della tua situazione finanziaria.