AAVE a atins depozite de 60 de miliarde de dolari, dar este încă înfricoșător să folosești DeFi - știați cu ceva timp în urmă că SAFE, standardul pentru gestionarea miliardelor de dolari în criptomonede a fost piratat front-end-ul
Hack-urile front-end au furat miliarde de dolari în criptomonede
de ce? Și cum să mă îmbunătățesc?
Un front-end al unei aplicații dapp în sine este o mulțime de piese și variabile în mișcare, fiecare atingând multe părți diferite ale ciclului de viață al unei tranzacții care provin de la utilizator
Un front-end al unei aplicații dapp are mulți vectori de atac posibili, inclusiv registratorul de domenii în sine până la echipa sa care împinge un commit prost
Cred că ar trebui să fie foarte important și o practică standard de securitate pentru fiecare aplicație să facă dezvăluiri despre modul în care gestionează domeniul în sine
Ce registrator, furnizorul de domeniu a fost vreodată piratat înainte? și dacă sunt piratate, care sunt măsurile de protecție împotriva lor
După ce se face o igienă adecvată de întreținere a domeniului, dezvoltatorul de aplicații ar trebui să dezvăluie sau ar trebui să aibă reguli clare despre comitere, fuziune și revizuire
cred că poate echipa SEAL ar trebui să publice și cele mai bune practici în acest sens
și întotdeauna, întotdeauna, cereți-le dezvoltatorilor să nu descarce niciodată nimic de pe laptopul de serviciu
Este mai bine dacă puteți oferi laptopuri de lucru care sunt preîncărcate cu toate restricțiile, cum ar fi modul în care corporațiile fac acest lucru
sună ciudat, dar este important să setați firewall-uri adecvate împotriva unor scenarii precum hack-ul SAFE, în care un dezvoltator a descărcat un malware fără să știe și a injectat un malware în front-end-ul însuși
Adică, chiar dacă faci toate astea, iar portofelul cuiva în sine a fost spart tot din cauza unui hack front-end, tot ești în pericol
Imaginați-vă că cineva a preluat un portofel de extensie de nivel 2 și a încercat să obțină cheile private în sine sau doar parola
Atunci ești și dracului
Ce ar trebui să facem atunci? Cred că fiecare DAPP încearcă să se concentreze și să creeze un front-end care este super sigur împotriva acestui tip de atacuri, nu există o cale perfectă. Trebuie doar să fii paranoic tot timpul, gândindu-te că orice poate merge prost va merge prost.
și să fie rapid în detectarea și răspunsul la orice astfel de problemă - uitați că aveți o viață dacă construiți în DeFi
În plus, faceți întotdeauna KYC angajaților dvs., faceți o bună igienă a domeniului, o bună igienă de control al accesului Git, igiena laptopului de lucru și blocați în mod implicit orice portofele pe care le considerați umbrite
limitați accesul doar pentru portofelele care respectă cele mai bune standarde
Sau introduceți un mod Yolo și sigur pentru utilizatorii dvs.
În modul Yolo, fiecare portofel este permis, dar în modul sigur ești foarte concentrat exclusiv pe siguranță, ceea ce înseamnă că ești complet găzduit pe un IPFS și doar lucrurile necesare sunt accesibile
Pentru analize, utilizatorii pot vedea în modul Yolo
În concluzie, vreau doar să clarific faptul că construirea în DeFi are mulți vectori de atac și este nevoie de mai mult decât citirea manualelor pentru a vă servi cu adevărat utilizatorii în cel mai bun mod posibil
Noi, cei de la @SuperlendHQ, luăm acest lucru foarte în serios pentru ceea ce construim - o interacțiune unificată pentru finanțarea onchain
Apropo, a fost vorba doar despre vectorii de atac front-end, sunt sigur că ar putea exista și mai multe scenarii pe care le dezbatem și lucrăm în mod constant
Dar există o mulțime de cutie Pandora atunci când vorbim despre securitatea economică în sine a protocoalelor DeFi în sine
Mai multe despre cum gestionăm toate aspectele de securitate la @SuperlendHQ în timp ce construim cel mai bun UX
@SuperlendHQ interfață*
Scuzați greșelile de scriere
2,6 K
4
Conținutul de pe această pagină este furnizat de terți. Dacă nu se menționează altfel, OKX nu este autorul articolului citat și nu revendică niciun drept intelectual pentru materiale. Conținutul este furnizat doar pentru informare și nu reprezintă opinia OKX. Nu este furnizat pentru a fi o susținere de nicio natură și nu trebuie să fie considerat un sfat de investiție sau o solicitare de a cumpăra sau vinde active digitale. În măsura în care AI-ul de generare este utilizat pentru a furniza rezumate sau alte informații, astfel de conținut generat de AI poate să fie inexact sau neconsecvent. Citiți articolul asociat pentru mai multe detalii și informații. OKX nu răspunde pentru conținutul găzduit pe pagini terțe. Deținerile de active digitale, inclusiv criptomonedele stabile și NFT-urile, prezintă un grad ridicat de risc și pot fluctua semnificativ. Trebuie să analizați cu atenție dacă tranzacționarea sau deținerea de active digitale este adecvată pentru dumneavoastră prin prisma situației dumneavoastră financiare.