7 alternative Tipps zur Sicherung von ICOs

Dieser Artikel führt ICO-Mitglieder durch die Elemente, aus denen ein sicheres ICO-Projekt besteht. Es ist auch für Investoren als eine Art Checkliste gedacht, um zu überprüfen, wie sicher ein Projekt tatsächlich ist. Jedes Projekt sollte mindestens die in diesem Artikel aufgeführten Elemente berücksichtigen.

Wichtige Leitprinzipien

Laut Liraz Siri, einem professionellen White-Hat-Hacker, der sich in der berühmten israelischen Cyber-Einheit 8200 einen Namen gemacht hat, können Risiken durch Anwendung der 80/20-Regel (80 Prozent Nutzen und 20 Prozent Aufwand) enorm reduziert werden. Hier sind seine vier Grundprinzipien:

  • Grundregel: Halte es einfach! Sicherheitsprobleme treten auf, wenn komplexe Systeme entwickelt werden. Ein System mit geringerer Komplexität ist weniger anfällig für das Auffinden kritischer Sicherheitslücken.
  • Unterschätzen Sie die Sicherheit nicht: Es ist leicht zu glauben, dass Ihr System sicher ist. Die Leute sind jedoch schlau und versuchen, Sicherheitslücken zu finden. Vergessen Sie nicht, dass die ICO-Branche voll von hartnäckigen Hackern ist – über 10 Prozent der ICO-Einnahmen gehen verloren und der Krypto-Austausch verlor durchschnittlich 2 Milliarden US-Dollar aufgrund erfolgreicher Hacks.
  • Fehler tolerieren: Fehler können passieren und werden passieren. Erwarten Sie nicht, dass jemals etwas schief gehen wird. Stellen Sie sicher, dass ein Fallback-Mechanismus vorhanden ist, um die schlimmsten Fehler zu kompensieren und den Schaden zu verringern.

  • Verwenden Sie ein Berechtigungssystem: Es ist wichtig, ein Berechtigungssystem einzurichten und jedem Mitglied die Mindestrechte zu gewähren, die es zur Ausführung seiner Aufgabe benötigt. Wenn einer Ihrer Mitarbeiter kompromittiert wird, kann der Angreifer nur eine Handvoll böswilliger Aktionen ausführen, da er vom System eingeschränkt wird.

1. Konfigurieren Sie dedizierte Geräte

Netzwerkfähige mobile Geräte und Laptops von Teammitgliedern sind übliche Sicherheitsaspekte von Achilles. Teammitglieder sind das Hauptziel für Angreifer, da sie das schwache Glied sind und anfällig für Phishing oder Social Engineering sind. Daher wird empfohlen, dedizierte Geräte für Ihre Teammitglieder, aber auch für Ihren Token-Verkauf einzurichten, um das Risiko zu minimieren, dass ein Angreifer Zugriff auf dieses Gerät erhält.

2. Vermeiden Sie die telefonbasierte Authentifizierung

Die Verwendung der Zwei-Faktor-Authentifizierung ist von entscheidender Bedeutung. Es wird jedoch nicht empfohlen, eine telefonbasierte Authentifizierung wie SMS oder Telefonanrufe zu verwenden. Der Sicherheitsexperte Liraz Siri erklärte, dass Telefonanrufe über SS7-Angriffe abgefangen werden können. SS7 ist eine Reihe von Protokollen, mit denen Telefonnetzwerke die Informationen austauschen können, die zum Weiterleiten von Anrufen und Textnachrichten untereinander erforderlich sind.

Es ist jedoch bekannt, dass SS7 schwerwiegende Sicherheitslücken in seinen Protokollen aufweist. Hacker können Textnachrichten lesen, Anrufe abhören und die Standorte von Mobiltelefonbenutzern verfolgen, indem sie nur ihre Telefonnummer kennen. Dabei wird eine Sicherheitsanfälligkeit in der weltweiten Mobilfunknetzinfrastruktur festgestellt. Es wird daher empfohlen, SMS zu vermeiden und stattdessen verschlüsselte Nachrichten zu verwenden.

Liraz Siri empfiehlt die Verwendung von Hardware-Token wie Gemalto oder YubiKey, da ein Angreifer physischen Zugriff haben muss, um diesen Code abzurufen. Diese Hardware-Token sollten in Kombination mit Google Authenticator als Alternative zur telefonbasierten Authentifizierung verwendet werden. YubiKey bietet eine mobile Anwendung, die OTP-Seeds (One-Time-Password) speichert und diese OTPs über NFC-Sensoren an Google Authenticator überträgt.

3. Verwenden Sie den Ethereum Name Service (ENS).

Ethereum Name Service

Jeder Ethereum ICO sollte einen Ethereum Name Service einrichten, der auf seinen intelligenten Vertrag verweist. Hier empfiehlt es sich, genau denselben Namen wie den Domainnamen Ihrer offiziellen Website zu verwenden. In der Vergangenheit wurde eine Website gehackt und die Ethereum-Adresse geändert. Indem Sie Ihren Benutzern einen narrensicheren Hinweis auf Ihren Kaufvertrag geben, können Sie diese Art von Hack verhindern. Um das Phishing-Risiko zu verringern, müssen Sie auch Varianten Ihres Domain-Namens registrieren.

4. Intelligente Vertragsprüfung

ICO-Smart-Verträge enthalten digitale Assets im Wert von mehreren Millionen US-Dollar. Laut der Studie des Sicherheitsprüfungsunternehmens QuillAudits werden rund 3,4% der Smart-Verträge als fehlerhaft eingestuft, wenn nur über einen Algorithmus nach den häufigsten Exploit-Möglichkeiten gesucht wird.

Sobald ein intelligenter Vertrag auf Ethereum veröffentlicht wurde, ist er unveränderlich und daher ist es wichtig, dass der Vertrag sorgfältig geprüft wurde, bevor er tatsächlich im Hauptnetzwerk veröffentlicht wird.

QuillAudits, ein auf die Prüfung intelligenter Verträge spezialisiertes Unternehmen, gab uns Einblicke. Rajat Gahlot, Auditor bei QuillAudits, spricht über die notwendigen Schritte, um die höchste Qualität intelligenter Verträge sicherzustellen. Zunächst ist es wichtig zu wissen, dass ein intelligenter Vertrag niemals zu 100% gesichert werden kann, da es Fälle gibt, in denen selbst Fehler in der Programmiersprache oder der Hardware schwerwiegende Sicherheitslücken verursachten. Beachten Sie daher die folgenden Sicherheitspraktiken:

1 / Schreiben Sie Tests und überprüfen Sie den Code manuell. Testfälle sind so programmiert, dass sie die Funktion des intelligenten Vertrags überprüfen, wenn Randfälle wie unerwartete Eingaben auftreten. Der Smart-Vertrag sollte in der Lage sein, diese Randfälle zu behandeln, indem er einen Fehler ablehnt oder auslöst. Neben dem Schreiben dieser Tests wird der Code auch manuell überprüft, um die Effizienz und Struktur des Codes zu verbessern.

2 / Automatisierte Prüfung. Es gibt viele Tools, die nach bestimmten Schwachstellen in Ihrem Solidity-Code suchen. Die Prüfung eines Vertrags mit nur automatisierten Tools umfasst jedoch keine vollständige Prüfung, da nur bestimmte bekannte Schwachstellen überprüft werden.

3 / Bug Bounty. Mit einer Bug Bounty können Experten an einer rechtlichen Vereinbarung teilnehmen, in der sie die intelligenten Verträge einem Penetrationstest unterziehen können. Für den Fall, dass sie einen Fehler finden, wird ihnen im Allgemeinen eine hohe Belohnung für das Auffinden eines kritischen Fehlers angeboten. Dies ist eine effiziente Methode zur Prüfung Ihres intelligenten Vertrags, da viele erfahrene Programmierer versuchen, den Vertrag gegen eine Belohnung zu kündigen.

5. Multisignatur-Brieftasche

Als ein Krypto-ICO Projekt ist es wichtig, die gesammelten Gelder sicher aufzubewahren. Verwenden Sie zunächst eine Multisignatur-Brieftasche. Als Nächstes empfiehlt es sich, das Guthaben auf mehreren Hardware-Portemonnaies wie Trezor oder Ledger zu speichern, die von dedizierten Laptops gesteuert werden. Wie im Abschnitt “Schlüsselelemente” erwähnt, ist es besser, sich auf einen Ausfall vorzubereiten: Wenn eine der Hardware-Brieftaschen aus irgendeinem Grund beschädigt oder gehackt ist, ist immer noch ein großer Teil des Geldes auf die anderen Brieftaschen verteilt.

6. Suchmaschinenoptimierung (SEO)

Wahrscheinlich gibt ein ICO bereits einen großen Teil seines Marketingbudgets für SEO aus, um bei Google einen höheren Rang zu erreichen. Auf diese Weise verringern Sie jedoch auch das Risiko, dass Anleger auf die falsche Website gelangen (Phishing-Websites)..

7. Sichere Kommunikation

Heutzutage sind Telegramm und Slack nicht das sicherste Kommunikationsmittel, das Sie für die interne Kommunikation verwenden können. Die wichtigste Voraussetzung ist die Verfügbarkeit einer sicheren Peer-to-Peer-Verschlüsselung von Nachrichten. WhatsApp bietet verschlüsselte Nachrichten an, es gibt jedoch bessere Projekte, die auch Open Source sind.

Die erste Option ist Keybase – Keybase ermöglicht die Erstellung von Teams und sichere Gruppenchats mit verschlüsselter Dateifreigabe. Keybase basiert auf dem Prinzip eines Schlüsselpaars, das zum Signieren und Validieren von Nachrichten verwendet wird.

Auf der Keybase-Website finden Sie eine kurze Zusammenfassung, wie das Projekt Vertrauen zwischen Konten herstellt: "Keybase schafft Vertrauen, indem es eine Verbindung zu den sozialen Konten einer Person herstellt. Er muss auf jedem seiner Konten eine eindeutige Nachricht veröffentlichen, um zu behaupten, dass die Konten tatsächlich ihm gehören, und sie wieder mit seinem Keybase-Konto verknüpfen. Jetzt können andere seine Identität überprüfen und mit Sicherheit wissen, dass die Person, die behauptet, er auf Twitter zu sein, tatsächlich die richtige Person ist (wie bei Facebook, Github usw.). Dies stärkt die Überzeugung der Menschen im öffentlichen Schlüssel dieser Person."

Außerdem verfügt Keybase über einen Fallback-Mechanismus für den Fall, dass eines Ihrer Geräte gehackt wird. Da Keybase jedem Gerät einen eindeutigen Verschlüsselungsschlüssel zuordnet, können Sie sich mit einem anderen an Ihr Konto angeschlossenen Gerät anmelden, um das schädliche Gerät aus Ihrer Geräteliste zu entfernen. Auf diese Weise werden Personen in Ihrem Vertrauenskreis benachrichtigt, dass eines Ihrer Geräte von einem Hacker kompromittiert wurde und sie keine Nachrichten mehr an dieses Gerät senden können.

Signal Messaging App

Eine weitere Option ist die Verwendung des Open-Source-Projekts Signal, das sich auf Einfachheit und Verschlüsselung konzentriert. Es sieht aus wie eine normale Messaging-App mit zusätzlichen Verschlüsselungsfunktionen, um Ihre Chats privat zu halten. Es ist auch möglich, private Gruppenchats mit Signal zu erstellen.

Bonus: Website-Schutz

Es ist wichtig, dass ein ICO während des Verkaufsprozesses online bleibt. Es ist jedoch keine leichte Aufgabe, wenn das Internet täglich von verteilten Denial-of-Service-Angriffen geplagt wird. Ein DDoS-Angriff kann Websites entfernen, was zuvor im Kryptoraum geschehen ist.

Der Moment, in dem der Verkauf online geht, ist die verletzlichste Zeit. Als die APEX ICO online ging, haben böswillige Akteure ihre Website unkenntlich gemacht und waren daher gezwungen, die Website zu schließen, um potenzielle Investoren zu schützen. Der CEO von APEX war gezwungen, über seine sozialen Medien ein Selfie mit der richtigen Verkaufsadresse zu veröffentlichen. Leider sind ICO-Websites einer der Hauptangriffspunkte während eines Crowd Sale.

Dienste wie Cloudbric oder Cloudflare helfen Ihnen daher, DDoS-Angriffe abzuschwächen und zu blockieren und die Website Ihres Projekts online zu halten. Beispielsweise verfügt Cloudbric über Sicherheitsfunktionen für Webanwendungen, mit denen die potenzielle Bedrohung durch einen DDoS-Angriff erkannt und Clients blockiert werden können, die die Verkaufsseite zu häufig anfordern.

Das Endergebnis

Wenn Sie versuchen, ein sicheres ICO-Projekt zu strukturieren und Ihre Teammitglieder vor Phishing-Angriffen zu schützen, sollten Sie noch mehr beachten. Es kann jedoch leicht ein Fehler gemacht werden. Stellen Sie sicher, dass Fallback-Mechanismen vorhanden sind, da Fehler Teil der Reise sind. Die oben genannten Informationen können auch von Investoren verwendet werden, um die Sicherheit eines neuen Projekts zu überprüfen. Jedes neue Projekt sollte zunächst geeignete Sicherheitsmechanismen einrichten, bevor mit dem Token-Verkauf selbst begonnen wird.