Tento článok prevedie členov ICO prvkami, ktoré tvoria bezpečný projekt ICO. Je tiež určený pre investorov ako forma kontrolného zoznamu na overenie toho, aký bezpečný je projekt v skutočnosti. Akýkoľvek projekt by mal brať do úvahy aspoň prvky uvedené v tomto článku.
Kľúčové hlavné zásady
Podľa Liraza Siriho, profesionálneho hackera s bielym klobúkom, ktorý si získal reputáciu v známej izraelskej kybernetickej jednotke 8200, sa riziká dajú ohromne znížiť uplatnením pravidla 80/20 (80-percentný prínos a 20-percentné úsilie). Tu sú jeho štyri kľúčové princípy:
- Základné pravidlo: udržujte to jednoduché! Pri vývoji zložitých systémov sa objavia bezpečnostné problémy. Systém, ktorý hostí nižšiu úroveň zložitosti, je menej náchylný na hľadanie kritických bezpečnostných chýb.
- Nepodceňujte bezpečnosť: Je ľahké si myslieť, že váš systém je bezpečný, ľudia sú však šikovní a snažia sa nájsť medzery v zabezpečení. Nezabudnite, že priemysel ICO je plný vytrvalých hackerov – viac ako 10 percent výnosov z ICO je preč a kryptoburzy stratili v dôsledku úspešných hackerov v priemere 2 miliardy dolárov.
- Tolerujte zlyhania: Poruchy sa môžu stať a budú sa diať. Nečakajte, že sa nikdy nič nepokazí. Uistite sa, že máte nainštalovaný záložný mechanizmus na vyrovnanie najhorších porúch a zníženie poškodenia.
- Používajte oprávnený systém: Je dôležité zaviesť oprávnený systém a poskytnúť každému členovi minimálnu sadu práv, ktoré potrebuje na vykonávanie svojej úlohy. V prípade, že dôjde k napadnutiu jedného z vašich zamestnancov, útočník bude môcť vykonať iba niekoľko škodlivých akcií, pretože je obmedzený systémom.
1. Nakonfigurujte vyhradené zariadenia
Sieťové mobilné zariadenia a notebooky vlastnené členmi tímu sú bežné bezpečnostné Achillove päty. Členovia tímu sú hlavným cieľom útočníkov, pretože sú slabým článkom a sú zraniteľní voči phishingu alebo sociálnemu inžinierstvu. Preto je odporúčanou možnosťou nastaviť vyhradené zariadenia pre členov vášho tímu, ale aj pre predaj tokenov, aby ste minimalizovali riziko, že útočník získa prístup k tomuto zariadeniu.
2. Vyvarujte sa telefonickej autentifikácie
Je nevyhnutné používať dvojfaktorové overenie, neodporúča sa však používať telefónne overovanie, napríklad SMS alebo telefonické hovory. Bezpečnostný expert Liraz Siri vysvetlil, že telefónne hovory možno zachytiť útokmi SS7 – SS7 je sada protokolov, ktoré umožňujú telefónnym sieťam vymieňať si navzájom informácie potrebné na vzájomné odovzdávanie hovorov a textových správ..
O SS7 je však známe, že má vo svojich protokoloch vážne chyby. Hackeri môžu čítať textové správy, počúvať telefónne hovory a sledovať polohu používateľov mobilných telefónov iba so znalosťou ich telefónneho čísla, a to pomocou zraniteľnosti v celosvetovej sieťovej infraštruktúre mobilných telefónov. Preto sa odporúča vyhnúť sa SMS a radšej použiť šifrované správy.
Liraz Siri odporúča používať hardvérové tokeny ako Gemalto alebo YubiKey, pretože útočník by na získanie tohto kódu musel mať fyzický prístup. Tieto hardvérové tokeny by sa mali používať v kombinácii s Google Authenticator ako alternatíva k autentifikácii pomocou telefónu. YubiKey poskytuje mobilnú aplikáciu, ktorá šetrí semená jednorazových hesiel (OTP) a prenáša tieto OTP do aplikácie Google Authenticator prostredníctvom senzorov NFC.
3. Používajte službu Ethereum Name Service (ENS)
Každé ICO spoločnosti Ethereum by si malo zriadiť službu pomenovania ethereum, ktorá bude odkazovať na ich inteligentnú zmluvu. Osvedčeným postupom je používať presne ten istý názov ako názov domény vášho oficiálneho webu. V minulosti sa stávalo, že došlo k hacknutiu webových stránok a zmene adresy Ethereum. Ak poskytnete používateľom spoľahlivý odkaz na svoju kúpnu zmluvu, môžete tomuto typu hacku zabrániť. Aby ste znížili riziko phishingu, nezabudnite zaregistrovať varianty aj na svojom názve domény.
4. Inteligentný audit zmlúv
Inteligentné kontrakty ICO obsahujú digitálne aktíva v hodnote miliónov dolárov a podľa bezpečnostnej audítorskej spoločnosti QuillAudits sa zistilo, že približne 3,4% inteligentných kontraktov je chybných, iba ak sa pomocou algoritmu skontrolujú najbežnejšie možnosti zneužitia.
Akonáhle je inteligentná zmluva zverejnená na Ethereum, je nemenná, a preto je nevyhnutné, aby bola zmluva starostlivo skontrolovaná pred jej skutočným zverejnením v hlavnej sieti..
Štatistiky nám poskytla spoločnosť QuillAudits, ktorá sa špecializuje na audit inteligentných zmlúv. Rajat Gahlot, audítor spoločnosti QuillAudits, hovorí o potrebných krokoch na zabezpečenie najvyššej kvality inteligentných zmlúv. Najdôležitejšie je predovšetkým vedieť, že inteligentný kontrakt nikdy nemôže byť stopercentne zabezpečený, pretože existujú prípady, keď aj chyby v programovacom jazyku alebo hardvéri spôsobili vážne chyby zabezpečenia. Majte na pamäti nasledujúce bezpečnostné postupy:
1 / Napíšte testy a ručne skontrolujte kód. Testovacie prípady sú naprogramované na overenie fungovania inteligentnej zmluvy, keď sa stretneme s okrajovými prípadmi, ako je neočakávaný vstup. Inteligentná zmluva by mala byť schopná zvládnuť tieto okrajové prípady odmietnutím alebo vyhodením chyby. Okrem napísania týchto testov je kód tiež ručne skontrolovaný, aby sa zlepšila efektívnosť a štruktúra kódu.
2 / Automatizovaný audit. Existuje veľa nástrojov, ktoré hľadajú konkrétne chyby v kóde Solidity. Audit zmluvy iba s automatizovanými nástrojmi však nezahŕňa úplný audit, pretože kontroluje iba konkrétne známe chyby zabezpečenia.
3 / Bug Bounty. Odmena za chybu umožňuje odborníkom podieľať sa na právnej dohode, v rámci ktorej môžu penetračné testy inteligentných zmlúv testovať. V prípade, že nájdu chybu, zvyčajne sa im za nájdenie kritickej chyby ponúkne vysoká odmena. Je to efektívny spôsob kontroly vašej inteligentnej zmluvy, pretože veľa skúsených programátorov sa snaží zmluvu za odmenu porušiť.
5. Multisignature peňaženka
Ako krypto ICO je nevyhnutné bezpečne uložiť prostriedky, ktoré ste zhromaždili. Najskôr použite multisignatovú peňaženku. Ďalej je osvedčeným postupom ukladať prostriedky do viacerých hardvérových peňaženiek, ako sú Trezor alebo Ledger, ktoré sú ovládané vyhradenými notebookmi. Ako sa uvádza v časti s kľúčovými prvkami, je lepšie sa pripraviť na zlyhanie: ak je niektorá z hardvérových peňaženiek z nejakého dôvodu poškodená alebo napadnutá, stále máte veľkú časť finančných prostriedkov rozloženú do ostatných peňaženiek..
6. Optimalizácia vyhľadávacieho modulu (SEO)
Pravdepodobne ICO už vynakladá veľkú časť svojho marketingového rozpočtu na SEO, aby sa v Google umiestnilo vyššie. Týmto však zároveň znižujete riziko, že sa investori dostanú na nesprávny web (phishingové weby).
7. Bezpečná komunikácia
Telegram a Slack v dnešnej dobe nie sú najbezpečnejším komunikačným prostriedkom, ktorý môžete použiť na internú komunikáciu. Najdôležitejšou požiadavkou je dostupnosť zabezpečeného šifrovania správ peer-to-peer. WhatsApp ponúka šifrované správy, existujú však lepšie projekty, ktoré sú tiež otvorené.
Prvou možnosťou je Keybase – Keybase umožňuje vytváranie tímov a bezpečné skupinové chaty so šifrovaným zdieľaním súborov. Keybase sa spolieha na princíp kľúčového páru, ktorý sa používa na podpisovanie a overovanie správ.
Na webových stránkach spoločnosti Keybase nájdeme krátke zhrnutie toho, ako projekt vytvára dôveru medzi účtami: "Keybase vytvára dôveru pripojením k sociálnym účtom osoby. Bude od neho vyžadovať, aby na každý zo svojich účtov zverejnil jedinečnú správu, aby si mohol nárokovať, že mu účty skutočne patria, a prepojiť ich späť s jeho účtom Keybase. Takže teraz môžu ostatní overiť jeho totožnosť a s istotou vedieť, že osoba, ktorá o ňom tvrdí, že je na Twitteri, je v skutočnosti správna osoba (ako napríklad Facebook, Github atď.). To posilňuje presvedčenie ľudí vo verejný kľúč tejto osoby."
Okrem toho má Keybase záložný mechanizmus pre prípad, že dôjde k hacknutiu niektorého z vašich zariadení. Pretože Keybase spája každé zariadenie s jedinečným šifrovacím kľúčom, môžete sa prihlásiť do iného zariadenia pripojeného k vášmu účtu a odstrániť tak škodlivé zariadenie zo zoznamu zariadení. Týmto spôsobom budú ľudia vo vašom kruhu dôveryhodní upozornení, že jedno z vašich zariadení bolo napadnuté hackerom, a už na dané zariadenie nemôžu posielať správy..
Ďalšou možnosťou je použitie open source projektu Signal zameraného na jednoduchosť a šifrovanie. Vyzerá to ako bežná aplikácia na odosielanie správ s pridanými funkciami šifrovania, vďaka ktorým budú vaše chaty súkromné. Pomocou aplikácie Signal je tiež možné vytvárať súkromné skupinové chaty.
Bonus: ochrana webových stránok
Pre ICO je kľúčové zostať počas procesu predaja online. Nie je to však ľahká úloha, keď je internet každodenne zaťažovaný distribuovanými útokmi odmietnutia služby. Útok DDoS je schopný zneškodniť webové stránky, čo sa už stalo v kryptopriestore.
Najzraniteľnejším okamihom je okamih spustenia predaja. Keď začala byť APEX ICO v prevádzke, zlomyseľní herci poškodili ich web a v dôsledku toho boli nútení tento web deaktivovať, aby chránili potenciálnych investorov. Generálny riaditeľ spoločnosti APEX bol nútený použiť svoje sociálne médiá na zverejnenie selfie so správnou predajnou adresou. Bohužiaľ, webové stránky ICO sú jedným z hlavných bodov útoku počas davového predaja.
Služby ako Cloudbric alebo Cloudflare vám preto pomáhajú zmierňovať a blokovať útoky DDoS a pomáhajú webovým stránkam vášho projektu zostať online. Napríklad Cloudbric má zavedené funkcie technológie zabezpečenia webových aplikácií, ktoré dokážu detekovať potenciálnu hrozbu útoku DDoS a blokovať klientov, ktorí príliš často požadujú stránku predaja..
Spodný riadok
Pri pokuse o štruktúrovanie zabezpečeného projektu ICO a ochrane členov vášho tímu pred phishingovými útokmi si musíte dať pozor. Chybu však možno ľahko urobiť, nezabudnite mať pripravené núdzové mechanizmy, pretože chyby sú súčasťou cesty. Vyššie uvedené informácie môžu investori použiť aj na overenie bezpečnosti nového projektu. Akýkoľvek nový projekt by mal najskôr začať zavedením vhodných bezpečnostných mechanizmov, skôr ako začne pracovať na samotnom predaji tokenov.