7 alternativních tipů pro zabezpečení ICO

Tento článek provede členy ICO prvky, které tvoří bezpečný projekt ICO. Je také určen pro investory jako forma kontrolního seznamu k ověření, jak bezpečný je projekt ve skutečnosti. Jakýkoli projekt by měl brát v úvahu alespoň prvky uvedené v tomto článku.

Klíčové hlavní zásady

Podle Liraza Siriho, profesionálního hackera bílých klobouků, který si získal pověst ve slavné izraelské kybernetické jednotce 8200, lze rizika zásadně snížit uplatněním pravidla 80/20 (80 procent výhod a 20 procent úsilí). Zde jsou jeho čtyři klíčové principy:

  • Základní pravidlo: udržujte to jednoduché! Při vývoji složitých systémů se objeví bezpečnostní problémy. Systém, který je hostitelem nižší úrovně složitosti, je méně náchylný k hledání kritických bezpečnostních chyb.
  • Nepodceňujte bezpečnost: Je snadné si myslet, že váš systém je zabezpečený, ale lidé jsou chytří a snaží se najít mezery v zabezpečení. Nezapomeňte, že průmysl ICO je plný vytrvalých hackerů – více než 10 procent výnosů z ICO je pryč a kryptoburzy ztratily v důsledku úspěšných hackerů v průměru 2 miliardy dolarů.
  • Tolerujte selhání: Poruchy se mohou stát a budou. Neočekávejte, že se nikdy nic nepokazí. Ujistěte se, že máte k dispozici záložní mechanismus, který kompenzuje nejhorší poruchy a snižuje poškození.

  • Použijte systém s oprávněním: Je důležité zavést systém s oprávněním a dát každému členovi minimální sadu práv, která potřebuje k plnění svých úkolů. V případě, že dojde k prolomení jednoho z vašich zaměstnanců, bude útočník schopen provést pouze několik škodlivých akcí, protože je omezen systémem.

1. Nakonfigurujte vyhrazená zařízení

Síťová mobilní zařízení a notebooky vlastněné členy týmu jsou běžnými bezpečnostními Achillovými podpatky. Členové týmu jsou hlavním cílem útočníků, protože jsou slabým článkem a jsou zranitelní vůči phishingu nebo sociálnímu inženýrství. Proto se doporučuje nastavit vyhrazená zařízení pro členy vašeho týmu, ale také pro prodej tokenů, abyste minimalizovali riziko, že útočník získá přístup k tomuto zařízení.

2. Vyhněte se telefonickému ověřování

Je zásadní používat dvoufaktorové ověřování, nedoporučuje se však používat telefonní ověřování, jako jsou SMS nebo telefonní hovory. Bezpečnostní expert Liraz Siri vysvětlil, že telefonní hovory lze zachytit útoky SS7 – SS7 je sada protokolů, které umožňují telefonním sítím vyměňovat si informace potřebné pro vzájemné předávání hovorů a textových zpráv.

SS7 je však známý tím, že má ve svých protokolech závažné chyby zabezpečení. Hackeři mohou číst textové zprávy, poslouchat telefonní hovory a sledovat umístění uživatelů mobilních telefonů pouze s vědomím jejich telefonního čísla, a to pomocí zranitelnosti v celosvětové síťové infrastruktuře mobilních telefonů. Proto se doporučujeme vyhnout se SMS a místo toho používat šifrované zprávy.

Liraz Siri doporučuje používat hardwarové tokeny, jako je Gemalto nebo YubiKey, protože útočník by k získání tohoto kódu potřeboval fyzický přístup. Tyto hardwarové tokeny by se měly používat v kombinaci s Google Authenticator jako alternativa k ověřování pomocí telefonu. YubiKey poskytuje mobilní aplikaci, která ukládá semena jednorázového hesla (OTP) a přenáší tyto OTP na Google Authenticator pomocí senzorů NFC.

3. Používejte službu Ethereum Name Service (ENS)

Ethereum Name Service

Každé ICO Ethereum by mělo zřídit službu Ethereum Name Service, která odkazuje na jeho inteligentní smlouvu. Osvědčeným postupem je použít přesně stejný název jako název domény vašeho oficiálního webu. V minulosti se stalo, že došlo k hacknutí webové stránky a ke změně adresy Ethereum. Poskytnete-li svým uživatelům spolehlivý ukazatel na vaši prodejní smlouvu, můžete tomuto druhu hacku zabránit. Abyste snížili riziko phishingu, nezapomeňte také zaregistrovat varianty v názvu vaší domény.

4. Inteligentní audit smluv

Inteligentní smlouvy ICO obsahují digitální aktiva v hodnotě milionů dolarů a podle průzkumu bezpečnostní agentury QuillAudits je přibližně 3,4% inteligentních smluv shledáno vadnými pouze kontrolou pomocí algoritmu ohledně nejběžnějších možností využití.

Jakmile je inteligentní smlouva zveřejněna na Ethereu, je neměnná, a proto je důležité, aby byla smlouva pečlivě zkontrolována, než ji skutečně zveřejníte v hlavní síti.

Společnost QuillAudits, společnost specializovaná na audit inteligentních smluv, nám poskytla informace. Rajat Gahlot, auditor QuillAudits, hovoří o nezbytných krocích k zajištění nejvyšší kvality inteligentních smluv. Nejprve je důležité vědět, že inteligentní smlouva nikdy nemůže být stoprocentně zabezpečena, protože existují případy, kdy i chyby v programovacím jazyce nebo hardwaru způsobily vážné chyby zabezpečení. Mějte tedy na paměti následující bezpečnostní postupy:

1 / Napište testy a ručně zkontrolujte kód. Testovací případy jsou naprogramovány tak, aby ověřily fungování inteligentního kontraktu, když čelí hranovým případům, jako je neočekávaný vstup. Inteligentní smlouva by měla být schopna zvládnout tyto okrajové případy odmítnutím nebo vyvoláním chyby. Kromě psaní těchto testů je kód také ručně zkontrolován, což zvyšuje účinnost a strukturu kódu.

2 / Automatizovaný audit. Existuje mnoho nástrojů, které vyhledávají konkrétní chyby zabezpečení v kódu Solidity. Auditování smlouvy pouze s automatizovanými nástroji však nepokrývá úplný audit, protože kontroluje pouze konkrétní známé chyby zabezpečení.

3 / Bug Bounty. Odměna za chybu umožňuje odborníkům podílet se na právní dohodě, ve které mohou pronikavým testem chytrých smluv. V případě, že najdou chybu, je jim obecně nabídnuta vysoká odměna za nalezení kritické chyby. Je to efektivní způsob kontroly vaší chytré smlouvy, protože mnoho zkušených programátorů se snaží smlouvu porušit výměnou za odměnu.

5. Multisignature peněženka

Jako krypto ICO Je důležité bezpečně uložit prostředky, které jste shromáždili. Nejprve použijte multisignature peněženku. Dále je doporučeno ukládat finanční prostředky na více hardwarových peněženek, jako jsou Trezor nebo Ledger, které jsou ovládány vyhrazenými notebooky. Jak již bylo řečeno v části věnované klíčovým prvkům, je lepší se připravit na selhání: pokud je některá z hardwarových peněženek z nějakého důvodu poškozena nebo hacknuta, stále máte velkou část prostředků rozloženou do ostatních peněženek.

6. Optimalizace pro vyhledávače (SEO)

Pravděpodobně ICO již utrácí velkou část svého marketingového rozpočtu za SEO, aby se v Google umístilo na vyšším místě. Tím však také snižujete riziko, že investoři skončí na nesprávném webu (phishingové weby).

7. Zabezpečená komunikace

V dnešní době nejsou Telegram a Slack nejbezpečnějším komunikačním prostředkem, který můžete použít pro interní komunikaci. Nejdůležitějším požadavkem je dostupnost zabezpečeného šifrování zpráv peer-to-peer. WhatsApp nabízí šifrované zprávy, nicméně jsou k dispozici lepší projekty, které jsou také open source.

První možností je Keybase – Keybase umožňuje vytváření týmů a bezpečné skupinové chaty se šifrovaným sdílením souborů. Keybase spoléhá na princip klíčového páru, který se používá pro podepisování a ověřování zpráv.

Na webu Keybase najdete krátké shrnutí toho, jak projekt vytváří důvěru mezi účty: "Keybase vytváří důvěru připojením k sociálním účtům člověka. Bude od něj vyžadovat, aby na každý ze svých účtů zveřejnil jedinečnou zprávu, aby mohl nárokovat, že účty skutečně patří jemu, a propojit je zpět s jeho účtem Keybase. Nyní tedy mohou ostatní ověřit jeho totožnost a s jistotou vědět, že osoba, která o něm tvrdí, že je na Twitteru, je ve skutečnosti ta správná osoba (jako u Facebooku, Githubu atd.). To posiluje přesvědčení lidí ve veřejném klíči této osoby."

Kromě toho má Keybase záložní mechanismus pro případ, že by jedno z vašich zařízení bylo hacknuto. Protože Keybase spojuje každé zařízení s jedinečným šifrovacím klíčem, můžete se přihlásit k jinému zařízení připojenému k vašemu účtu a odebrat škodlivé zařízení ze seznamu zařízení. Tímto způsobem budou lidé ve vašem kruhu důvěryhodnosti upozorněni, že jedno z vašich zařízení bylo napadeno hackerem, a už na toto zařízení nebudou moci posílat zprávy.

Aplikace pro zasílání zpráv o signálu

Další možností je použít open source projekt Signal, který je zaměřen na jednoduchost a šifrování. Vypadá to jako běžná aplikace pro zasílání zpráv s přidanými šifrovacími funkcemi, díky nimž budou vaše chaty soukromé. Pomocí Signálu je také možné vytvářet soukromé skupinové chaty.

Bonus: ochrana webových stránek

Pro ICO je klíčové zůstat online během procesu prodeje. Není to však snadný úkol, když internet denně trápí distribuované útoky odmítnutí služby. Útok DDoS je schopen strhnout webové stránky, což se v kryptoprostoru stalo dříve.

V okamžiku, kdy je prodej spuštěn, je nejzranitelnější čas. Když byla spuštěna organizace APEX ICO, zlovolní herci znetvořili jejich web a v důsledku toho byli nuceni web z důvodu ochrany potenciálních investorů zlikvidovat. Generální ředitel společnosti APEX byl nucen používat své sociální média k zveřejnění selfie se správnou prodejní adresou. Webové stránky ICO jsou bohužel jedním z hlavních bodů útoku během davového prodeje.

Služby jako Cloudbric nebo Cloudflare vám proto pomáhají zmírňovat a blokovat útoky DDoS a pomáhají webu vašeho projektu zůstat online. Například Cloudbric má zavedeny funkce technologie zabezpečení webových aplikací, které dokážou detekovat potenciální hrozbu útoku DDoS a blokovat klienty, kteří požadují prodejní stránku příliš často.

Sečteno a podtrženo

Když se snažíte strukturovat zabezpečený projekt ICO a chránit členy svého týmu před phishingovými útoky, je na co si dát pozor. Chybu však lze snadno udělat, ujistěte se, že máte k dispozici záložní mechanismy, protože chyby jsou součástí cesty. Výše uvedené informace mohou investoři použít také k ověření bezpečnosti nového projektu. Jakýkoli nový projekt by měl nejprve začít zavedením vhodných bezpečnostních mechanismů, než začnete pracovat na samotném prodeji tokenů.