Сам AAVE досяг депозитів у розмірі 60 мільярдів доларів, але все ще СТРАШНО використовувати DeFi - чи знали ви деякий час тому, що SAFE, стандарт для управління мільярдами доларів у криптовалюті, був зламаний на зовнішній кінець
Зовнішні хакери вкрали мільярди доларів у криптовалюті
Чому? І як поліпшити?
Інтерфейс децентралізованої програми сам по собі являє собою безліч рухомих частин і змінних, кожна з яких торкається різних частин життєвого циклу транзакції, що походять від користувача
Інтерфейс децентралізованого додатку має багато можливих векторів атак, включаючи сам реєстратор доменів до своєї команди, яка надсилає поганий коміт
Я вважаю, що це має бути дуже важливою і стандартною практикою безпеки для кожного додатка робити розкриття інформації про те, як вони керують самим доменом
Якого реєстратора провайдер доменів коли-небудь зламували раніше? І якщо їх зламають, то які є запобіжники проти цього
Після того, як належна гігієна обслуговування домену виконана, розробник децентралізованих додатків повинен оприлюднити або мати чіткі правила щодо фіксації, злиття та перевірки
Я думаю, що, можливо, команді SEAL також варто опублікувати найкращі практики щодо цього
І завжди, завжди, просіть своїх розробників ніколи нічого не завантажувати з робочого ноутбука
Краще, якщо можна подарувати робочі ноутбуки, на які попередньо встановлені всі обмеження, наприклад, як це роблять корпоративи
Це звучить дивно, але важливо встановити належні брандмауери проти таких сценаріїв, як злом SAFE, коли один розробник завантажив шкідливе програмне забезпечення несвідомо, і воно впровадило шкідливе програмне забезпечення в сам інтерфейс
Я маю на увазі, що навіть якщо ви все це зробите, а сам чийсь гаманець був зламаний також через фронтенд хакер, ви все одно наражаєтеся на небезпеку
Уявіть, що хтось заволодів розширеним гаманцем Tier-2 і спробував отримати самі приватні ключі або просто пароль
то ще й ти п*зд
Що ж тоді робити? Я думаю, що кожен децентралізований додаток у міру своєї міри намагається зосередитися та створити інтерфейс, який буде надзвичайно захищений від таких атак, ідеального способу не існує. Ви просто повинні бути параноїком весь час, думаючи, що все, що може піти не так, піде не так.
І будьте швидкими у виявленні та реагуванні на будь-які подібні проблеми – забудьте, що у вас є життя, якщо ви будуєте в DeFi
Крім того, завжди робіть KYC своїх співробітників, дотримуйтесь належної гігієни доменів, належної гігієни контролю доступу до Git, гігієни робочого ноутбука та блокуйте за замовчуванням будь-які гаманці, які ви вважаєте сумнівними
обмежити доступ лише гаманцями, які дотримуються найкращих стандартів
Або запровадьте йоло та безпечний режим для своїх користувачів
У режимі Yolo дозволено використовувати будь-який гаманець, і думайте про Yolo, але в безпечному режимі ви дійсно зосереджені виключно на безпеці, що означає, що ви повністю навіть розміщені на IPFS і доступні лише необхідні речі
Для аналітики користувачі можуть бачити в режимі Yolo
На завершення, я просто хочу прояснити, що побудова DeFi має багато векторів атак, і потрібно більше, ніж читання підручників, щоб дійсно служити вашим користувачам найкращим чином
Ми в @SuperlendHQ дуже серйозно ставимося до цього з огляду на те, що ми створюємо – єдиний взаємозв'язок для ончейн-фінансів
До речі, мова йшла лише про вектори фронтенд атак, я впевнений, що можуть бути й інші сценарії, які ми постійно обговорюємо та над якими працюємо
Але є ціла частина Pandora box, коли ми говоримо про економічну безпеку самих протоколів DeFi
Більше про те, як ми впораємося з усіма аспектами безпеки в @SuperlendHQ, створюючи найкращий UX
@SuperlendHQ інтерфейс*
Вибачте за друкарські помилки
2,62 тис.
4
Вміст на цій сторінці надається третіми сторонами. Якщо не вказано інше, OKX не є автором цитованих статей і не претендує на авторські права на матеріали. Вміст надається виключно з інформаційною метою і не відображає поглядів OKX. Він не є схваленням жодних дій і не має розглядатися як інвестиційна порада або заохочення купувати чи продавати цифрові активи. Короткий виклад вмісту чи інша інформація, створена генеративним ШІ, можуть бути неточними або суперечливими. Прочитайте статтю за посиланням, щоб дізнатися більше. OKX не несе відповідальності за вміст, розміщений на сторонніх сайтах. Утримування цифрових активів, зокрема стейблкоїнів і NFT, пов’язане з високим ризиком, а вартість таких активів може сильно коливатися. Перш ніж торгувати цифровими активами або утримувати їх, ретельно оцініть свій фінансовий стан.