Ta članek bo člane ICO vodil skozi elemente, ki sestavljajo varen projekt ICO. Prav tako je namenjen vlagateljem kot oblika kontrolnega seznama za preverjanje, kako varen je projekt dejansko. Vsak projekt mora upoštevati vsaj elemente, naštete v tem članku.

Ključna vodilna načela

Po mnenju Liraza Sirija, profesionalnega hekerja z belimi klobuki, ki si je prislužil sloves v znameniti izraelski kiber enoti 8200, je mogoče z uporabo pravila 80/20 izjemno zmanjšati (80-odstotna korist in 20-odstotni napor). Tu so njegova štiri ključna načela:

  • Osnovno pravilo: naj bo preprosto! Varnostna vprašanja se pojavijo, ko se razvijejo zapleteni sistemi. Sistem, ki gosti nižjo stopnjo zapletenosti, je manj nagnjen k iskanju kritičnih varnostnih ranljivosti.
  • Ne podcenjujte varnosti: lahko je misliti, da je vaš sistem varen, vendar so ljudje pametni in poskušajo najti varnostne vrzeli. Ne pozabite, da je industrija ICO polna vztrajnih hekerjev – več kot 10 odstotkov prihodkov od ICO je izginilo in kripto borze so zaradi uspešnih vdorov v povprečju izgubile 2 milijardi dolarjev.
  • Dopustite napake: napake se lahko zgodijo in se bodo še zgodile. Ne pričakujte, da nikoli ne bo šlo nič narobe. Poskrbite, da imate nameščen nadomestni mehanizem za nadomestitev najhujših napak in zmanjšanje škode.

  • Uporabite pooblaščeni sistem: Pomembno je, da vzpostavite pooblaščeni sistem in vsakemu članu zagotovite najmanjši nabor pravic, ki jih potrebuje za izvajanje svoje naloge. V primeru, da bo eden od vaših zaposlenih ogrožen, bo napadalec lahko izvedel le nekaj zlonamernih ukrepov, saj ga sistem omejuje.

1. Konfigurirajte namenske naprave

Omrežne mobilne naprave in prenosniki, ki so v lasti članov ekipe, so običajne varnostne Ahilove pete. Člani ekipe so glavna tarča napadalcev, saj so šibka povezava in so ranljivi za lažno predstavljanje ali socialni inženiring. Zato je priporočljiva možnost, da nastavite namenske naprave za člane ekipe, pa tudi za prodajo žetonov, da zmanjšate tveganje, da napadalec pridobi dostop do te naprave..

2. Izogibajte se preverjanju pristnosti po telefonu

Ključnega pomena je uporaba dvofaktorske avtentikacije, vendar ni priporočljivo uporabljati avtentikacije na podlagi telefona, kot so SMS ali telefonski klici. Strokovnjakinja za varnost Liraz Siri je pojasnila, da je telefonske klice mogoče prestreči z napadi SS7 – SS7 je niz protokolov, ki telefonskim omrežjem omogoča izmenjavo informacij, potrebnih za medsebojno prenašanje klicev in besedilnih sporočil..

Vendar pa je SS7 znan po resnih ranljivostih v svojih protokolih. Hekerji lahko berejo besedilna sporočila, poslušajo telefonske klice in spremljajo lokacije uporabnikov mobilnih telefonov samo s poznavanjem njihove telefonske številke z uporabo ranljivosti v svetovni infrastrukturi mobilnega telefona. Zato je priporočljivo, da se izogibate SMS-om in namesto tega uporabljate šifrirana sporočila.

Liraz Siri priporoča uporabo žetonov strojne opreme, kot sta Gemalto ali YubiKey, saj bi moral napadalec imeti fizični dostop za pridobitev te kode. Te žetone strojne opreme je treba uporabljati v kombinaciji z Google Authenticator kot alternativo preverjanju pristnosti s pomočjo telefona. YubiKey ponuja mobilno aplikacijo, ki shrani semena enkratnega gesla (OTP) in jih prek senzorjev NFC prenese v Google Authenticator.

3. Uporabite Ethereum Name Service (ENS)

Ime storitve Ethereum

Vsak Ethereum ICO bi moral ustanoviti Ethereum Name Service, ki kaže na njihovo pametno pogodbo. Najboljša praksa je, da uporabite popolnoma isto ime kot ime domene vašega uradnega spletnega mesta. V preteklosti se je že zgodilo, da je bilo spletno mesto vdrto in je bil naslov Ethereum spremenjen. Če svojim uporabnikom zagotovite neprekinjen kazalec prodajne pogodbe, lahko tovrstne vdore preprečite. Da bi zmanjšali tveganje za lažno predstavljanje, ne pozabite registrirati različic tudi na svojem domenskem imenu.

4. Pametno revidiranje pogodb

Pametne pogodbe ICO imajo digitalno premoženje v vrednosti milijonov dolarjev, po podatkih raziskave varnostnega revizijskega podjetja QuillAudits pa je okrog 3,4% pametnih pogodb ugotovljenih kot napačnih, če le prek algoritma preverijo najpogostejše možnosti izkoriščanja.

Ko je pametna pogodba objavljena na Ethereumu, je nespremenljiva, zato je bistveno, da je bila pogodba skrbno revidirana, preden jo je dejansko objavila v glavnem omrežju..

QuillAudits, podjetje, specializirano za revidiranje pametnih pogodb, nam je dalo vpogled. Rajat Gahlot, revizor pri QuillAudits, govori o potrebnih korakih za zagotovitev najvišje kakovosti pametnih pogodb. Najprej je pomembno vedeti, da pametne pogodbe nikoli ni mogoče stoodstotno zavarovati, saj obstajajo primeri, ko celo napake v programskem jeziku ali strojni opremi povzročajo resne varnostne ranljivosti. Torej, upoštevajte naslednje varnostne prakse:

1 / Napišite teste in ročno preglejte kodo. Testni primeri so programirani za preverjanje delovanja pametne pogodbe, kadar se soočajo z robnimi primeri, kot je nepričakovan vnos. Pametna pogodba bi morala biti sposobna obravnavati te robne primere tako, da zavrne ali vrže napako. Poleg pisanja teh testov se koda pregleda tudi ročno, da se poveča učinkovitost in struktura kode.

2 / Avtomatizirano revidiranje. Obstaja veliko orodij, ki v vaši kodi Solidity iščejo posebne ranljivosti. Vendar revizija pogodbe samo z avtomatiziranimi orodji ne zajema popolne revizije, saj preverjajo le posebne znane ranljivosti.

3 / Nagrada za napake. Nagrada za napake strokovnjakom omogoča sodelovanje v pravnem sporazumu, v katerem lahko prodrejo in preizkusijo pametne pogodbe. V primeru, da najdejo napako, jim na splošno ponudijo visoko nagrado za iskanje kritične napake. To je učinkovit način revizije vaše pametne pogodbe, saj mnogi izkušeni programerji poskušajo pogodbo prekiniti v zameno za nagrado.

5. Denarnica z več podpisi

Kot kripto ICO ključnega pomena varno shranjevanje zbranih sredstev. Najprej uporabite denarnico z več podpisi. Nato je najboljša praksa shranjevanje sredstev na več denarnicah strojne opreme, kot sta Trezor ali Ledger, ki jih nadzorujejo namenski prenosniki. Kot rečeno v poglavju s ključnimi elementi, je bolje, da se pripravite na neuspeh: če je katera od denarnic strojne opreme iz kakršnega koli razloga poškodovana ali vdrta, imate še vedno velik del sredstev, razporejenih na druge denarnice.

6. Optimizacija iskalnikov (SEO)

Verjetno ICO že porabi ogromen del svojega tržnega proračuna za SEO, da bi se uvrstil višje v Googlu. Vendar s tem zmanjšujete tudi tveganje, da vlagatelji pridejo na napačno spletno mesto (spletna mesta z lažnim predstavljanjem).

7. Varna komunikacija

Danes Telegram in Slack nista najbolj varna komunikacijska sredstva, ki jih lahko uporabite za interno komunikacijo. Najpomembnejša zahteva je razpoložljivost varnega medsebojnega šifriranja sporočil. WhatsApp sicer ponuja šifrirana sporočila, vendar obstajajo boljši projekti, ki so tudi odprtokodni.

Prva možnost je Keybase – Keybase omogoča ustvarjanje skupin in varne skupinske klepete s šifrirano skupno rabo datotek. Keybase temelji na principu pari ključev, ki se uporablja za podpisovanje in preverjanje veljavnosti sporočil.

Na spletnem mestu Keybase lahko najdemo kratek povzetek, kako projekt vzpostavlja zaupanje med računi: "Keybase ustvarja zaupanje s povezovanjem s socialnimi računi osebe. Zahteval bo, da na vsakem od svojih računov objavi edinstveno sporočilo, da bo trdil, da računi dejansko pripadajo njemu, in jih ponovno povezal s svojim računom Keybase. Zdaj lahko drugi preverijo njegovo identiteto in z gotovostjo vedo, da je oseba, ki trdi, da je on na Twitterju, dejansko prava oseba (kot pri Facebooku, Githubu itd.). To krepi prepričanje ljudi v javni ključ te osebe."

Poleg tega ima Keybase vzpostavljen nadomestni mehanizem za primer vdora v katero od vaših naprav. Ker Keybase vsako napravo poveže z edinstvenim šifrirnim ključem, se lahko prijavite z drugo napravo, ki je priključena na vaš račun, da zlonamerno napravo odstranite s seznama naprav. S tem bodo ljudje v vašem krogu zaupanja opozorjeni, da je heker ogrozil eno od vaših naprav in ne morejo več pošiljati sporočil tej napravi.

Aplikacija za sporočanje signalov

Druga možnost je uporaba odprtokodnega projekta Signal, ki je osredotočen na preprostost in šifriranje. Videti je kot običajna aplikacija za pošiljanje sporočil z dodanimi funkcijami šifriranja, da bodo vaši klepeti zasebni. Z Signalom je mogoče ustvariti tudi zasebne skupinske klepete.

Bonus: zaščita spletnega mesta

Za ICO je ključnega pomena, da med postopkom prodaje ostane na spletu. Kljub temu ni lahka naloga, če internet vsak dan trpijo zaradi porazdeljenih napadov zavrnitve storitve. DDoS napad lahko uniči spletna mesta, kar se je že zgodilo v kripto prostoru.

Trenutek prodaje začne najbolj ranljiv čas. Ko je APEX ICO zaživel, so zlonamerni igralci pokvarili njihovo spletno stran, zato so bili prisiljeni odstraniti spletno mesto, da bi zaščitili potencialne vlagatelje. Predsednik uprave APEX-a je bil prisiljen s pomočjo svojih družabnih omrežij objaviti selfi s pravilnim prodajnim naslovom. Na žalost so spletna mesta ICO med glavnimi napadi med množično prodajo.

Zato vam storitve, kot sta Cloudbric ali Cloudflare, pomagajo omiliti in blokirati DDoS napade ter pomagajo spletnemu mestu vašega projekta ostati v spletu. Cloudbric ima na primer vgrajene funkcije varnostne tehnologije spletnih aplikacij, ki lahko zaznajo potencialno nevarnost napada DDoS in blokirajo odjemalce, ki prepogosto zahtevajo stran za prodajo.

Spodnja črta

Pri poskusu strukturiranja varnega projekta ICO in zaščiti članov vaše ekipe pred napadi z lažnim predstavljanjem je treba paziti še več. Vendar se lahko zlahka naredi napaka, poskrbite, da so na voljo nadomestni mehanizmi, saj so napake del poti. Zgornje informacije lahko vlagatelji uporabijo tudi za preverjanje varnosti novega projekta. Vsak nov projekt se mora najprej začeti z vzpostavitvijo ustreznih varnostnih mehanizmov, preden začnete delati na sami prodaji žetonov.