Šis raksts sniegs ICO dalībniekiem informāciju par elementiem, kas veido drošu ICO projektu. Tas ir paredzēts arī ieguldītājiem kā kontrolsaraksta veids, lai pārbaudītu projekta patieso drošību. Jebkurā projektā būtu jāņem vērā vismaz šajā rakstā uzskaitītie elementi.
Galvenie vadošie principi
Pēc Liraz Siri, profesionāla baltās cepures hakera, kurš izpelnījās savu reputāciju slavenajā Izraēlas kibervienībā 8200, riskus var ārkārtīgi mazināt, piemērojot likumu 80/20 (80% labums un 20% piepūles). Šeit ir viņa četri galvenie principi:
- Pamatnoteikums: saglabājiet to vienkārši! Drošības jautājumi parādās, kad tiek izstrādātas sarežģītas sistēmas. Sistēma ar zemāku sarežģītības pakāpi ir mazāk pakļauta kritisku drošības ievainojamību atrašanai.
- Nenovērtējiet par zemu drošību: ir viegli domāt, ka jūsu sistēma ir droša, tomēr cilvēki ir gudri un cenšas atrast drošības nepilnības. Neaizmirstiet, ka ICO industrija ir pilna ar neatlaidīgiem hakeriem – vairāk nekā 10 procenti ICO ieņēmumu ir pazuduši, un veiksmīgu uzlaužu dēļ kriptogrāfijas biržas zaudēja vidēji 2 miljardus USD.
- Paciest neveiksmes: Neveiksmes var notikt un notiks. Negaidiet, ka nekas nekad nenotiks nepareizi. Pārliecinieties, vai ir izveidots rezerves mehānisms, lai kompensētu vissliktākās kļūmes un mazinātu zaudējumus.
- Izmantojiet sistēmu, kurai piešķirta atļauja. Ir svarīgi ieviest sistēmu, kurai piešķirta atļauja, un katram dalībniekam piešķirt minimālo tiesību kopumu, kas nepieciešams viņa uzdevuma veikšanai. Gadījumā, ja kāds no jūsu darbiniekiem tiek apdraudēts, uzbrucējs varēs veikt tikai dažas ļaunprātīgas darbības, jo sistēma viņu ierobežo.
1. Konfigurējiet īpašas ierīces
Tīkla iespējotas mobilās ierīces un klēpjdatori, kas pieder komandas dalībniekiem, ir kopīgi Ahileja papēži. Komandas dalībnieki ir galvenais uzbrucēju mērķis, jo tie ir vājie posmi un ir neaizsargāti pret pikšķerēšanu vai sociālo inženieriju. Tāpēc ir ieteicams iestatīt īpašas ierīces komandas dalībniekiem, kā arī marķieru tirdzniecībai, lai samazinātu risku, ka uzbrucējs iegūst piekļuvi šai ierīcei..
2. Izvairieties no tālruņa autentifikācijas
Ir ļoti svarīgi izmantot divu faktoru autentifikāciju, tomēr nav ieteicams izmantot autentifikāciju pa tālruni, piemēram, īsziņas vai tālruņa zvanus. Drošības eksperts Lirazs Siri paskaidroja, ka tālruņa zvanus var pārtvert, izmantojot SS7 uzbrukumus – SS7 ir protokolu kopums, kas ļauj tālruņu tīkliem apmainīties ar informāciju, kas nepieciešama zvanu un īsziņu pārsūtīšanai savā starpā..
Tomēr SS7 ir zināms, ka tā protokolos ir nopietnas ievainojamības. Hakeri var lasīt īsziņas, klausīties tālruņa zvanus un izsekot mobilo tālruņu lietotāju atrašanās vietas, tikai zinot viņu tālruņa numuru, izmantojot pasaules mobilo tālruņu tīkla infrastruktūras ievainojamību. Tāpēc ieteicams izvairīties no īsziņām un tā vietā izmantot šifrētus ziņojumus.
Liraz Siri iesaka izmantot aparatūras marķierus, piemēram, Gemalto vai YubiKey, jo uzbrucējam vajadzētu būt fiziskai piekļuvei, lai izgūtu šo kodu. Šie aparatūras marķieri jāizmanto kopā ar Google Authenticator kā alternatīvu autentifikācijai pa tālruni. YubiKey nodrošina mobilo lietojumprogrammu, kas saglabā vienreizējas paroles (OTP) sēklas un pārsūta šīs OTP uz Google Authenticator, izmantojot NFC sensorus.
3. Izmantojiet Ethereum Name Service (ENS)
Katram Ethereum ICO ir jāizveido Ethereum nosaukuma dienests, kas norāda uz viņu viedo līgumu. Labākā prakse šeit ir tieši tāda paša nosaukuma izmantošana kā jūsu oficiālās vietnes domēna vārdam. Agrāk ir gadījies, ka tika uzlauzta vietne un mainīta Ethereum adrese. Sniedzot saviem lietotājiem nepatiesu norādi uz jūsu pārdošanas līgumu, varat novērst šāda veida uzlaušanu. Lai samazinātu pikšķerēšanas risku, noteikti reģistrējiet variantus arī savā domēna nosaukumā.
4. Gudra līgumu revīzija
ICO viedie līgumi satur digitālos aktīvus miljonu dolāru vērtībā, un saskaņā ar drošības audita firmas QuillAudits pētījumu aptuveni 3,4% viedo līgumu tiek atzīti par kļūdainiem, tikai izmantojot algoritmu pārbaudot visbiežāk izmantotās iespējas.
Kad viedais līgums ir publicēts Ethereum, tas ir nemainīgs, un tāpēc ir svarīgi, lai līgums būtu rūpīgi pārbaudīts, pirms tas faktiski tiek izlaists galvenajā tīklā..
Uzņēmums QuillAudits, kas specializējies viedo līgumu revīzijā, sniedza mums ieskatu. Rajat Gahlot, QuillAudits auditors, runā par nepieciešamajiem soļiem, lai nodrošinātu viedo līgumu augstāko kvalitāti. Pirmkārt, ir ļoti svarīgi zināt, ka viedo līgumu nekad nevar nodrošināt par 100%, jo ir gadījumi, kad pat kļūdas programmēšanas valodā vai aparatūrā izraisīja nopietnas drošības vājās vietas. Tāpēc ņemiet vērā šādas drošības prakses:
1 / Uzrakstiet testus un manuāli pārskatiet kodu. Testa gadījumi ir ieprogrammēti, lai pārbaudītu viedā līguma darbību, saskaroties ar visaugstākajiem gadījumiem, piemēram, neparedzētu ievadi. Viedajam līgumam vajadzētu būt iespējai rīkoties šajās malās, noraidot vai izmetot kļūdu. Papildus šo testu rakstīšanai kods tiek manuāli pārskatīts, uzlabojot koda efektivitāti un struktūru.
2 / Automatizētā revīzija. Pastāv daudzi rīki, kas meklē īpašas jūsu Solidity koda ievainojamības. Tomēr līguma revīzija, izmantojot tikai automatizētus rīkus, neaptver pilnīgu revīziju, jo tajos tiek pārbaudītas tikai konkrētas zināmas ievainojamības.
3 / Bug Bounty. Bug bounty ļauj ekspertiem piedalīties likumīgā līgumā, kurā viņi var iekļūt viedo līgumu pārbaudē. Gadījumā, ja viņi atrod kļūdu, viņiem parasti tiek piedāvāts liels atalgojums par kritiskas kļūdas atrašanu. Tas ir efektīvs veids, kā pārbaudīt jūsu viedo līgumu, jo daudzi pieredzējuši kodētāji mēģina lauzt līgumu apmaiņā pret atlīdzību.
5. Daudzparakstu maciņš
Kā kripto ICO projekta laikā ir svarīgi droši uzglabāt savāktos līdzekļus. Pirmkārt, izmantojiet daudzparakstu maku. Tālāk ir ieteicams uzglabāt līdzekļus vairākos aparatūras maciņos, piemēram, Trezor vai Ledger, kurus kontrolē īpaši paredzēti klēpjdatori. Kā teikts sadaļā “Galvenie elementi”, labāk sagatavoties neveiksmei: ja kāds no aparatūras maciņiem kāda iemesla dēļ ir bojāts vai uzlauzts, jums joprojām ir liela daļa līdzekļu, kas sadalīti pār pārējiem makiem..
6. Meklētājprogrammu optimizācija (SEO)
Iespējams, ka ICO jau tagad tērē lielu daļu sava mārketinga budžeta SEO, lai Google ierindotos augstāk. Tomēr, šādi rīkojoties, jūs arī mazināt risku, ka investori nonāk nepareizā vietnē (pikšķerēšanas vietnes)..
7. Droša komunikācija
Mūsdienās Telegramma un Slack nav drošākais saziņas līdzeklis, ko varat izmantot iekšējai saziņai. Vissvarīgākā prasība ir drošas vienādranga ziņojumu šifrēšanas pieejamība. WhatsApp piedāvā šifrētus ziņojumus, tomēr ir pieejami labāki projekti, kas ir arī atvērtā koda.
Pirmā iespēja ir Keybase – Keybase ļauj izveidot komandas un drošas grupas tērzēšanas ar šifrētu failu koplietošanu. Keybase balstās uz atslēgu pāra principu, ko izmanto ziņojumu parakstīšanai un apstiprināšanai.
Keybase vietnē mēs varam atrast īsu kopsavilkumu par to, kā projekts izveido uzticību starp kontiem: "Keybase rada uzticību, izveidojot savienojumu ar personas sociālajiem kontiem. Tas prasīs, lai katrā no viņa kontiem tiktu ievietots unikāls ziņojums, lai apgalvotu, ka viņam faktiski piederošie konti, un tos sasaistot ar savu Keybase kontu. Tāpēc tagad citi var pārliecināties par viņa identitāti un droši zināt, ka persona, kas apgalvo, ka ir viņa čivināt, patiesībā ir pareizā persona (tāpat kā Facebook, Github utt.). Tas pastiprina cilvēku pārliecību par šīs personas publisko atslēgu."
Turklāt Keybase ir rezerves mehānisms, ja kāda no jūsu ierīcēm tiek uzlauzta. Tā kā Keybase katru ierīci saista ar unikālu šifrēšanas atslēgu, varat pieteikties ar citu ierīci, kas pievienota jūsu kontam, lai noņemtu ļaunprātīgo ierīci no ierīču saraksta. To darot, cilvēki jūsu uzticības lokā tiks brīdināti, ka hakeris ir apdraudējis vienu no jūsu ierīcēm un viņi vairs nevar nosūtīt ziņojumus uz šo ierīci..
Vēl viena iespēja ir izmantot atvērtā koda projektu Signal, kas ir vērsts uz vienkāršību un šifrēšanu. Tas izskatās kā parasta ziņojumapmaiņas lietotne ar pievienotām šifrēšanas funkcijām, lai jūsu tērzēšanas sarunas būtu privātas. Ir iespējams arī izveidot privātas grupas tērzēšanu ar Signal.
Bonuss: vietnes aizsardzība
Svarīgi, lai ICO pārdošanas procesā paliktu tiešsaistē. Tomēr tas nav viegls uzdevums, kad internetu ikdienā moka izplatīti pakalpojumu atteikuma uzbrukumi. DDoS uzbrukums spēj nojaukt vietnes, kas jau iepriekš ir noticis kriptogrāfijas telpā.
Brīdī, kad pārdošana sāk darboties, ir visneaizsargātākais laiks. Kad APEX ICO sāka darboties, ļaunprātīgi dalībnieki iznīcināja viņu vietni, kā rezultātā viņi bija spiesti nojaukt vietni, lai aizsargātu potenciālos investorus. APEX izpilddirektors bija spiests izmantot savus sociālos medijus, lai ievietotu pašbildi ar pareizu pārdošanas adresi. Diemžēl ICO vietnes ir viens no galvenajiem uzbrukuma punktiem pūļa pārdošanas laikā.
Tādēļ tādi pakalpojumi kā Cloudbric vai Cloudflare palīdz jums mazināt un bloķēt DDoS uzbrukumus un palīdz jūsu projekta vietnei palikt tiešsaistē. Piemēram, Cloudbric ir izveidotas tīmekļa lietojumprogrammu drošības tehnoloģiju funkcijas, kas var noteikt iespējamos DDoS uzbrukuma draudus un bloķēt klientus, kuri pārāk bieži pieprasa pārdošanas lapu..
Apakšējā līnija
Mēģinot strukturēt drošu ICO projektu un pasargāt savus komandas biedrus no pikšķerēšanas uzbrukumiem, ir jāpievērš uzmanība vairāk. Tomēr kļūdu var viegli izdarīt, pārliecinieties, ka ir izveidoti rezerves mehānismi, jo kļūdas ir daļa no ceļojuma. Iepriekš minēto informāciju investori var izmantot arī, lai pārbaudītu jauna projekta drošību. Jebkurš jauns projekts vispirms jāsāk, ieviešot atbilstošus drošības mehānismus, pirms sākt strādāt ar pašu marķieru pārdošanu.