7 consells alternatius per obtenir ICO

Aquest article guiarà els membres de l’ICO a través dels elements que conformen un projecte ICO segur. També està pensat per als inversors com a forma de llista de verificació per verificar la seguretat d’un projecte. Qualsevol projecte hauria de tenir en compte almenys els elements enumerats en aquest article.

Principis rectors clau

Segons Liraz Siri, un hacker professional de barrets blancs que es va guanyar la reputació a la famosa ciberunitat israeliana 8200, els riscos es poden reduir tremendament aplicant la regla 80/20 (80% de benefici i 20% d’esforç). Aquests són els seus quatre principis clau:

  • Regla base: sigui senzill. Els problemes de seguretat apareixen quan es desenvolupen sistemes complexos. Un sistema que allotja un nivell de complexitat inferior és menys propens a trobar vulnerabilitats de seguretat crítiques.
  • No menystingueu la seguretat: és fàcil pensar que el vostre sistema és segur, però la gent és intel·ligent i intenta trobar llacunes de seguretat. No oblideu que la indústria de l’ICO està plena de pirates informàtics persistents: més del 10 per cent dels ingressos de l’ICO han desaparegut i els intercanvis de criptografia van perdre una mitjana de 2.000 milions de dòlars a causa dels hacks que van tenir èxit..
  • Tolerar els fracassos: els fracassos poden passar i succeiran. No espereu que res no vagi malament. Assegureu-vos que disposeu d’un mecanisme de reserva per compensar els pitjors errors i reduir els danys.

  • Utilitzeu un sistema amb permís: és important establir un sistema amb permís i atorgar a cada membre el conjunt mínim de drets que necessita per realitzar la seva tasca. En cas que un dels vostres empleats es vegi compromès, l’atacant només podrà dur a terme un grapat d’accions malicioses, ja que el sistema el restringeix..

1. Configureu els dispositius dedicats

Els dispositius mòbils i ordinadors portàtils habilitats per xarxa propietats de membres de l’equip són talons d’Aquil·les de seguretat comuns. Els membres de l’equip són l’objectiu principal dels atacants, ja que són l’enllaç feble i són vulnerables a la pesca o l’enginyeria social. Per tant, és una opció recomanable configurar dispositius dedicats per als membres del vostre equip, però també per a la vostra venda de fitxes, per minimitzar el risc que un atacant accedeixi a aquest dispositiu..

2. Eviteu l’autenticació telefònica

És fonamental utilitzar l’autenticació de dos factors, però no es recomana utilitzar l’autenticació basada en telèfons, com ara SMS o trucades telefòniques. L’expert en seguretat, Liraz Siri, va explicar que les trucades telefòniques es poden interceptar mitjançant atacs SS7: SS7 és un conjunt de protocols que permeten a les xarxes telefòniques intercanviar la informació necessària per passar trucades i missatges de text..

Tanmateix, SS7 és conegut per tenir greus vulnerabilitats en els seus protocols. Els pirates informàtics poden llegir missatges de text, escoltar trucades i fer un seguiment de la ubicació dels usuaris de telèfons mòbils només amb el coneixement del seu número de telèfon mitjançant una vulnerabilitat a la infraestructura de la xarxa de telefonia mòbil de tot el món. Per tant, es recomana evitar els SMS i utilitzar missatges xifrats.

Liraz Siri recomana utilitzar fitxes de maquinari com Gemalto o YubiKey ja que un atacant hauria de tenir accés físic per recuperar aquest codi. Aquests testimonis de maquinari s’han d’utilitzar en combinació amb Google Authenticator com a alternativa a l’autenticació per telèfon. YubiKey proporciona una aplicació mòbil que guarda llavors de contrasenya única (OTP) i transfereix aquests OTP a Google Authenticator mitjançant sensors NFC.

3. Utilitzeu el servei de noms Ethereum (ENS)

Servei de noms Ethereum

Totes les ICO d’Ethereum haurien de configurar un servei de noms Ethereum que apunti al seu contracte intel·ligent. Una bona pràctica aquí és utilitzar exactament el mateix nom que el nom de domini del vostre lloc web oficial. En el passat, va passar que un lloc web es va piratejar i que es va canviar l’adreça d’Ethereum. En proporcionar als vostres usuaris un punter infal·lible al vostre contracte de venda, podeu evitar aquest tipus de pirateria. Per reduir el risc de pesca, assegureu-vos de registrar també variants al vostre nom de domini.

4. Auditoria intel·ligent de contractes

Els contractes intel·ligents ICO tenen actius digitals per valor de milions de dòlars i, segons la investigació de la firma d’auditoria de seguretat QuillAudits, al voltant del 3,4% dels contractes intel·ligents es troben defectuosos només comprovant mitjançant un algorisme les possibilitats d’explotació més habituals.

Un cop s’ha publicat un contracte intel·ligent a Ethereum, és immutable i, per tant, és essencial que el contracte s’hagi auditat acuradament abans de publicar-lo realment a la xarxa principal..

QuillAudits, una empresa especialitzada en l’auditoria de contractes intel·ligents, ens va proporcionar informació. Rajat Gahlot, auditor de QuillAudits, parla dels passos necessaris per garantir la màxima qualitat dels contractes intel·ligents. En primer lloc, és molt important saber que un contracte intel·ligent mai no es pot garantir al 100%, ja que hi ha casos en què fins i tot els errors del llenguatge de programació o del maquinari causen serioses vulnerabilitats de seguretat. Per tant, tingueu en compte les pràctiques de seguretat següents:

1 / Escriu proves i revisa manualment el codi. Els casos de prova estan programats per verificar el funcionament del contracte intel·ligent quan s’enfronten a casos marginals com a entrada inesperada. El contracte intel·ligent hauria de ser capaç de gestionar aquests casos marginals rebutjant o generant un error. A més d’escriure aquestes proves, el codi també es revisa manualment per millorar l’eficiència i l’estructura del codi.

2 / Auditoria automàtica. Existeixen moltes eines que cerquen vulnerabilitats específiques al vostre codi Solidity. Tot i això, l’auditoria d’un contracte només amb eines automatitzades no cobreix una auditoria completa, ja que només comprova si hi ha vulnerabilitats específiques conegudes.

3 / Bug Bounty. Una recompensa d’errors permet als experts participar en un acord legal en el qual poden provar la penetració dels contractes intel·ligents. En el cas que trobin un error, generalment se’ls ofereix una gran recompensa per trobar un error crític. És una manera eficient d’auditar el vostre contracte intel·ligent, ja que molts programadors experimentats intenten trencar el contracte a canvi d’una recompensa.

5. Cartera multisignatura

Com un ICO criptogràfic projecte, és crucial emmagatzemar els fons que heu recaptat amb seguretat. Primer de tot, utilitzeu una cartera multisignatura. A continuació, és una bona pràctica emmagatzemar els fons en diverses carteres de maquinari, com ara Trezor o Ledger, que es controlen mitjançant ordinadors portàtils dedicats. Com s’ha dit a la secció d’elements clau, és millor preparar-se per a un error: si alguna de les carteres de maquinari està corrompuda o piratejada per algun motiu, encara teniu una gran part dels fons repartits per les altres carteres..

6. Optimització de motors de cerca (SEO)

Probablement, una ICO ja gasta una gran part del seu pressupost de màrqueting en SEO per situar-se més a Google. Tot i això, fent això, també reduïu el risc que els inversors acabin en un lloc web equivocat (llocs web de pesca)..

7. Comunicació segura

Avui en dia, Telegram i Slack no són el mitjà de comunicació més segur que podeu utilitzar per a la comunicació interna. El requisit més important és la disponibilitat d’un xifratge segur dels missatges entre iguals. WhatsApp ofereix missatges xifrats, però hi ha millors projectes disponibles que també són de codi obert.

La primera opció és Keybase: Keybase permet la creació d’equips i xats de grup segurs amb compartició de fitxers xifrada. Keybase es basa en el principi d’un parell de claus que s’utilitza per signar i validar missatges.

Al lloc web de Keybase, podem trobar un petit resum de com el projecte estableix confiança entre comptes: "Keybase crea confiança en connectar-se als comptes socials d’una persona. Li requerirà que publiqui un missatge únic a cadascun dels seus comptes per tal de reclamar que els comptes li pertanyen realment i enllaçar-los al seu compte de base de dades de claus. Ara, altres persones poden arribar a verificar la seva identitat i saber amb certesa que la persona que afirma ser-ho a Twitter és en realitat la persona correcta (com passa amb Facebook, Github, etc.). Això reforça la convicció de la gent en clau pública d’aquesta persona."

A més, Keybase té un mecanisme alternatiu en cas que un dels vostres dispositius sigui piratejat. Com Keybase associa cada dispositiu a una clau de xifratge única, podeu iniciar la sessió amb un altre dispositiu connectat al vostre compte per eliminar el dispositiu maliciós de la llista de dispositius. En fer-ho, les persones del vostre cercle de confiança seran avisades que un pirata informàtic ha compromès un dels vostres dispositius i ja no poden enviar missatges a aquest dispositiu..

Aplicació de missatgeria de senyal

Una altra opció és utilitzar el projecte de codi obert Signal, centrat en la simplicitat i el xifratge. Sembla una aplicació de missatgeria habitual amb funcions de xifratge afegides per mantenir privats els vostres xats. També és possible crear xats de grup privats amb Signal.

Bonificació: protecció del lloc web

És clau que un ICO romangui en línia durant el procés de venda. Tot i això, no és una tasca fàcil quan Internet està plagat d’atacs de denegació de servei distribuïts diàriament. Un atac DDoS és capaç d’eliminar els llocs web, cosa que ja ha passat a l’espai criptogràfic.

El moment en què es realitza la venda és el moment més vulnerable. Quan l’APEX ICO va entrar en funcionament, actors maliciosos van deteriorar el seu lloc web i, com a resultat, es van veure obligats a retirar el lloc web per protegir els possibles inversors. El conseller delegat d’APEX es va veure obligat a fer servir les seves xarxes socials per publicar una selfie amb l’adreça de venda correcta. Malauradament, els llocs web ICO són ​​un dels principals punts d’atac durant una venda multitudinària.

Per tant, serveis com Cloudbric o Cloudflare us ajuden a mitigar i bloquejar els atacs DDoS i ajuden el lloc web del vostre projecte a mantenir-se en línia. Per exemple, Cloudbric disposa de funcions de tecnologia de seguretat d’aplicacions web que poden detectar l’amenaça potencial d’un atac DDoS i bloquejar els clients que sol·liciten la pàgina de venda massa sovint..

La conclusió

Hi ha més coses a tenir en compte quan s’intenta estructurar un projecte ICO segur i protegir els membres del seu equip contra atacs de pesca. Tanmateix, es pot cometre un error fàcilment. Assegureu-vos de disposar de mecanismes de reserva, ja que les falles formen part del viatge. La informació anterior també la poden utilitzar els inversors per verificar la seguretat d’un nou projecte. Qualsevol projecte nou hauria de començar primer posant en marxa els mecanismes de seguretat adequats abans de començar a treballar en la venda de tokens.