7 alternative tip til sikring af ICO’er

Denne artikel vil guide ICO-medlemmer gennem de elementer, der udgør et sikkert ICO-projekt. Det er også beregnet til investorer som en form for tjekliste til at kontrollere, hvor sikkert et projekt faktisk er. Ethvert projekt skal i det mindste overveje de elementer, der er anført i denne artikel.

Nøgle vejledende principper

Ifølge Liraz Siri, en professionel hvid hatthacker, der fik sit ry i den berømte israelske cyber-enhed 8200, kan risici reduceres enormt ved at anvende 80/20-reglen (80 procent fordel og 20 procent indsats). Her er hans fire nøgleprincipper:

  • Grundregel: hold det enkelt! Sikkerhedsproblemer dukker op, når komplekse systemer udvikles. Et system, der er vært for et lavere kompleksitetsniveau, er mindre tilbøjelige til at finde kritiske sikkerhedssårbarheder.
  • Undervurder ikke sikkerheden: Det er let at tro, at dit system er sikkert, men folk er kloge og prøver at finde sikkerhedsmangler. Glem ikke, at ICO-industrien er fuld af vedvarende hackere – over 10 procent af ICO-indtægterne er væk, og krypto-udvekslinger mistede i gennemsnit 2 milliarder dollars på grund af vellykkede hacks.
  • Tolerér fejl: Fejl kan ske og vil ske. Forvent ikke at intet nogensinde vil gå galt. Sørg for, at du har en reservemekanisme til at kompensere for de værste fejl og reducere skaden.

  • Brug et tilladt system: Det er vigtigt at placere et tilladt system på plads og give hvert medlem det mindst mulige sæt rettigheder, han har brug for til at udføre sin opgave. Hvis en af ​​dine medarbejdere er kompromitteret, vil angriberen kun være i stand til at udføre en håndfuld ondsindet handling, da han er begrænset af systemet.

1. Konfigurer dedikerede enheder

Netværksaktiverede mobile enheder og bærbare computere, der ejes af teammedlemmer, er almindelige Achilles-hæle. Teammedlemmer er det vigtigste mål for angribere, da de er det svage led og er sårbare over for phishing eller social engineering. Derfor er det en anbefalet mulighed at oprette dedikerede enheder til dine teammedlemmer, men også til dit tokensalg for at minimere risikoen for, at en angriber får adgang til denne enhed.

2. Undgå telefonbaseret godkendelse

Det er afgørende at bruge tofaktorautentificering, men det anbefales ikke at bruge telefonbaseret godkendelse som SMS eller telefonopkald. Sikkerhedsekspert Liraz Siri forklarede, at telefonopkald kan opfanges via SS7-angreb – SS7 er et sæt protokoller, der gør det muligt for telefonnet at udveksle de oplysninger, der er nødvendige for at videregive opkald og SMS-beskeder mellem hinanden.

SS7 er dog kendt for at have alvorlige sårbarheder i sine protokoller. Hackere kan læse tekstbeskeder, lytte til telefonopkald og spore mobiltelefonbrugernes placeringer med kun kendskab til deres telefonnummer ved hjælp af en sårbarhed i den verdensomspændende mobilnetværksinfrastruktur. Det anbefales derfor at undgå SMS og i stedet bruge krypterede meddelelser.

Liraz Siri anbefaler at bruge hardwaretokener som Gemalto eller YubiKey, da en angriber skulle have fysisk adgang til at hente denne kode. Disse hardwaretokener skal bruges i kombination med Google Authenticator som et alternativ til telefonbaseret godkendelse. YubiKey leverer en mobilapplikation, der gemmer OTP-frø til engangsadgangskode og overfører disse OTP’er til Google Authenticator via NFC-sensorer.

3. Brug Ethereum Name Service (ENS)

Ethereum Navnetjeneste

Hver Ethereum ICO skal oprette en Ethereum Navnetjeneste, der peger på deres smarte kontrakt. En bedste praksis her er at bruge nøjagtigt det samme navn som dit officielle websteds domænenavn. Tidligere er det sket, at et websted blev hacket, og Ethereum-adressen blev ændret. Ved at give dine brugere en idiotsikker markør til din salgskontrakt, kan du forhindre denne form for hack. For at mindske risikoen for phishing skal du også registrere varianter på dit domænenavn.

4. Smart kontraktsrevision

ICO-smarte kontrakter har digitale aktiver til en værdi af millioner af dollars, og ifølge sikkerhedsrevisionsfirmaet QuillAudits ‘forskning findes omkring 3,4% af smarte kontrakter defekte ved kun at kontrollere via en algoritme for de mest almindelige udnyttelsesmuligheder.

Når en smart kontrakt er blevet offentliggjort på Ethereum, er den uforanderlig, og det er derfor vigtigt, at kontrakten er revideret nøje, inden den faktisk frigives på hovednetværket.

QuillAudits, et firma specialiseret i revision af smarte kontrakter gav os indsigt. Rajat Gahlot, revisor hos QuillAudits, taler om de nødvendige skridt til at sikre den højeste kvalitet af smarte kontrakter. Først og fremmest er det altafgørende at vide, at en smart kontrakt aldrig kan sikres 100%, da der er tilfælde, hvor selv fejl i programmeringssprog eller hardware forårsagede alvorlige sikkerhedssårbarheder. Så husk følgende sikkerhedspraksis:

1 / Skriv test og manuelt gennemgå kode. Testcases er programmeret til at verificere, at den smarte kontrakt fungerer, når de vender mod edge sager som uventet input. Den smarte kontrakt skal være i stand til at håndtere disse kantsager ved at afvise eller kaste en fejl. Udover at skrive disse tests gennemgås koden også manuelt, hvilket forbedrer kodens effektivitet og struktur.

2 / Automatiseret revision. Der findes mange værktøjer, der søger efter specifikke sårbarheder i din soliditetskode. Revision af en kontrakt med kun automatiserede værktøjer dækker dog ikke en fuld revision, da de kun kontrollerer for specifikke kendte sårbarheder.

3 / Bug Bounty. En bugpræmie giver eksperter mulighed for at deltage i en juridisk aftale, hvor de kan penetrere-teste de smarte kontrakter. I tilfælde af at de finder en fejl, tilbydes de generelt en høj belønning for at finde en kritisk fejl. Det er en effektiv måde at revidere din smarte kontrakt på, da mange erfarne kodere prøver at bryde kontrakten til gengæld for en belønning.

5. Multisignatur tegnebog

Som en krypto ICO projekt, er det afgørende at gemme de midler, du har indsamlet sikkert. Brug først en multisignatur tegnebog. Dernæst er det en bedste praksis at gemme midlerne på flere hardware-tegnebøger som Trezor eller Ledger, som styres af dedikerede bærbare computere. Som sagt i nøgleelementerne, er det bedre at forberede sig på fiasko: hvis en af ​​hardwaretegnene er beskadiget eller hacket af en eller anden grund, har du stadig en stor del af midlerne fordelt på de andre tegnebøger.

6. Optimering af søgemaskiner (SEO)

Sandsynligvis bruger en ICO allerede en stor del af deres marketingbudget på SEO for at placere sig højere i Google. Men ved at gøre dette reducerer du også risikoen for, at investorer ender på den forkerte webside (phishing-websteder).

7. Sikker kommunikation

I dag er Telegram og Slack ikke det sikreste kommunikationsmiddel, du kan bruge til intern kommunikation. Det vigtigste krav er tilgængeligheden af ​​sikker peer-to-peer-kryptering af meddelelser. WhatsApp tilbyder krypterede meddelelser, men der er bedre projekter til rådighed, som også er open source.

Den første mulighed er Keybase – Keybase giver mulighed for oprettelse af teams og sikre gruppechats med krypteret fildeling. Keybase er afhængig af princippet om et tastatur, der bruges til signering og validering af meddelelser.

På Keybases websted kan vi finde en kort oversigt over, hvordan projektet skaber tillid mellem konti: "Keybase skaber tillid ved at oprette forbindelse til en persons sociale konti. Det vil kræve, at han sender en unik besked på hver af hans konti for at hævde, at de konti faktisk tilhører ham og knytter dem tilbage til hans Keybase-konto. Så nu kan andre få verificeret hans identitet og med sikkerhed vide, at den person, der hævder at være ham på Twitter, faktisk er den rigtige person (som med Facebook, Github osv.). Dette styrker folks overbevisning om denne persons offentlige nøgle."

Derudover har Keybase en reservemekanisme på plads, hvis en af ​​dine enheder er hacket. Da Keybase forbinder hver enhed med en unik krypteringsnøgle, kan du logge på med en anden enhed, der er knyttet til din konto for at fjerne den ondsindede enhed fra din enhedsliste. Ved at gøre dette vil folk i din tillidskreds blive advaret om, at en af ​​dine enheder blev kompromitteret af en hacker, og at de ikke længere kan sende beskeder til den enhed..

App til signalbeskeder

En anden mulighed er at bruge open source-projektet Signal, der er fokuseret på enkelhed og kryptering. Det ligner en almindelig messaging-app med tilføjede krypteringsfunktioner for at holde dine chats private. Det er også muligt at oprette private gruppechats med Signal.

Bonus: webstedsbeskyttelse

Det er nøglen til, at en ICO forbliver online under salgsprocessen. Alligevel er det ikke en let opgave, når internettet dagligt er plaget af distribueret lammelsesangreb. Et DDoS-angreb er i stand til at fjerne websteder, hvilket er sket før i kryptorummet.

Øjeblikket, hvor salget går live, er den mest sårbare tid. Da APEX ICO gik i live, ødelagde ondsindede skuespillere deres websted, og som et resultat blev de tvunget til at fjerne webstedet for at beskytte potentielle investorer. Administrerende direktør for APEX blev tvunget til at bruge deres sociale medier til at sende en selfie med den korrekte salgsadresse. Desværre er ICO-websteder et af de vigtigste angrebspunkter under et publikumsalg.

Derfor hjælper tjenester som Cloudbric eller Cloudflare dig med at afbøde og blokere DDoS-angreb og hjælpe dit projekts websted med at forblive online. For eksempel har Cloudbric funktioner til webapplikation sikkerhedsteknologi, der kan opdage den potentielle trussel om et DDoS-angreb og blokere klienter, der anmoder om salgssiden for ofte.

Bundlinjen

Der er mere at se på, når du prøver at strukturere et sikkert ICO-projekt og beskytte dine teammedlemmer mod phishing-angreb. En fejl kan dog let foretages. Sørg for at have tilbagefaldsmekanismer på plads, da fejl er en del af rejsen. Ovenstående oplysninger kan også bruges af investorer til at verificere sikkerheden ved et nyt projekt. Ethvert nyt projekt skal først starte med at få de rette sikkerhedsmekanismer på plads, inden de begynder at arbejde på selve token-salget.