7个保护ICO的替代技巧
本文将通过构成安全ICO项目的要素指导ICO成员。它也以清单形式供投资者参考,以验证项目的实际安全性。任何项目都至少应考虑本文列出的元素. 关键指导原则 根据专业的白帽黑客Liraz Siri的说法,他在以色列著名的8200网络部队中享有声誉,可以通过应用80/20规则(80%的收益和20%的努力)来大大降低风险。这是他的四个关键原则: 基本规则:保持简单!开发复杂系统时会出现安全问题。拥有较低级别复杂性的系统不太容易发现关键的安全漏洞. 不要小看安全性:容易想到您的系统是安全的,但是,人们很聪明,并试图找到安全漏洞。别忘了ICO行业充满了持续的黑客-超过10%的ICO收益已经流失,并且由于成功的黑客攻击,加密交易所平均损失了20亿美元. 容忍失败:失败会发生也将会发生。不要指望什么都不会出错。确保具有适当的后备机制以补偿最严重的故障并减少损坏. 使用许可的系统:重要的是要建立许可的系统,并为每个成员提供执行任务所需的最低限度的权利。如果您的一名员工受到威胁,攻击者将只能执行少量恶意操作,因为他受系统限制. 1.配置专用设备 团队成员拥有的具有网络功能的移动设备和便携式计算机是常见的安全隐患。团队成员是攻击者的主要目标,因为它们是薄弱的环节,容易受到网络钓鱼或社会工程的攻击。因此,建议您为团队成员设置专用设备,同时为令牌销售设置专用设备,以最大程度地减少攻击者访问此设备的风险. 2.避免基于电话的身份验证 使用双重身份验证非常重要,但是不建议使用基于电话的身份验证(例如SMS或电话)。安全专家Liraz Siri解释说,可以通过SS7攻击截获电话呼叫-SS7是一组协议,允许电话网络在彼此之间传递呼叫和文本消息时交换信息. 但是,SS7以其协议中的严重漏洞而闻名。黑客可以利用全球手机网络基础设施中的漏洞,仅通过了解手机号码来阅读短信,收听电话和跟踪手机用户的位置。因此,建议避免使用短信,而应使用加密的邮件. Liraz Siri建议使用诸如Gemalto或YubiKey之类的硬件令牌,因为攻击者需要具有物理访问权限才能检索此代码。这些硬件令牌应与Google Authenticator结合使用,以替代基于电话的身份验证。 YubiKey提供了一种移动应用程序,该应用程序可以保存一次性密码(OTP)种子,并通过NFC传感器将这些OTP传输到Google Authenticator. 3.使用以太坊名称服务(ENS) 每个以太坊ICO都应该建立一个指向其智能合约的以太坊名称服务。此处的最佳做法是使用与您的官方网站域名完全相同的名称。过去,曾经发生过网站被黑客入侵以及以太坊地址被更改的情况。通过为用户提供销售合同的万无一失的指针,您可以防止这种黑客行为。为了降低网络钓鱼的风险,请确保也在您的域名上注册变体. 4.智能合同审核 ICO智能合约持有价值数百万美元的数字资产,根据安全审计公司QuillAudits的研究,仅通过算法检查最常见的利用可能性,发现约3.4%的智能合约存在错误. 一旦智能合约在以太坊上发布,它是不可变的,因此在将其实际发布到主网络之前,必须对合约进行仔细的审核。. QuillAudits,一家专门从事智能合约审计的公司,为我们提供了见解。 QuillAudits的审计员Rajat Gahlot讨论了确保最高质量的智能合约所需的步骤。首先,非常重要的一点是要知道,智能合约永远无法获得100%的安全保护,因为在某些情况下,甚至编程语言或硬件中的错误也会导致严重的安全漏洞。因此,请记住以下安全做法: 1 /编写测试并手动检查代码. 当面对诸如意外输入之类的边缘案例时,对测试案例进行编程以验证智能合约的功能。智能合约应该能够通过拒绝或抛出错误来处理这些极端情况。除了编写这些测试之外,还手动检查了代码,从而提高了代码的效率和结构. 2 /自动审核. 存在许多可在您的Solidity代码中搜索特定漏洞的工具。但是,仅使用自动化工具审核合同并不能涵盖全部审核,因为它们仅检查特定的已知漏洞. 3 / Bug赏金. 漏洞赏金可以使专家参与一项法律协议,使他们可以对智能合约进行渗透测试。如果他们发现错误,通常会因发现严重错误而给予高额奖励。这是一种审核智能合约的有效方法,因为许多经验丰富的编码人员都试图破坏合约以换取报酬。. 5.多重签名钱包 作为一个 加密ICO 项目,安全存储您收集的资金至关重要。首先,使用多签名钱包。接下来,最佳做法是将资金存储在由专用笔记本电脑控制的多个硬件钱包(如Trezor或Ledger)中。如关键要素部分所述,最好为失败做准备:如果其中一个硬件钱包由于某种原因被损坏或黑客入侵,您仍有很大一部分资金分散在其他钱包上. 6.搜索引擎优化(SEO) 为了在Google中排名更高,ICO可能已经将营销预算的很大一部分用于SEO。但是,这样做还可以减少投资者最终落入错误网站(网络钓鱼网站)的风险. 7.安全通讯 如今,Telegram和Slack并不是您可以用于内部通信的最安全的通信方式。最重要的要求是消息的安全对等加密的可用性。 WhatsApp确实提供加密的消息,但是,还有更好的可用项目,这些项目也是开源的. 第一个选项是Keybase-Keybase允许创建团队和具有加密文件共享的安全群聊。密钥库依赖于用于签名和验证消息的密钥对的原理. 在Keybase的网站上,我们可以找到有关该项目如何在帐户之间建立信任的简短摘要: "Keybase通过连接到一个人的社交帐户来建立信任。要求他在每个帐户上发布一条唯一的消息,以声明该帐户实际上属于他,并将其链接回他的Keybase帐户。因此,现在,其他人可以验证他的身份,并且可以肯定地知道在Twitter上声称是他的人实际上是正确的人(例如Facebook,Github等)。这加强了人们对这个人的公钥的信念." 除此之外,Keybase还具有备用机制,以防万一您的设备被黑客入侵。当Keybase将每台设备与唯一的加密密钥相关联时,您可以使用连接到帐户的另一台设备登录,以从设备列表中删除恶意设备。这样一来,您信任圈中的人将收到警报,告知您您的设备之一被黑客入侵,他们无法再向该设备发送消息. 另一个选择是使用开源项目Signal,该项目专注于简单性和加密。它看起来像具有附加加密功能的常规消息应用程序,可让您的聊天保持私密性。也可以通过Signal创建私人群聊. 奖励:网站保护 ICO在销售过程中保持在线是关键。但是,当互联网每天都遭受分布式拒绝服务攻击时,这并不是一件容易的事。 DDoS攻击能够使网站瘫痪,这是加密货币领域以前发生的事情. 交易开始进行的那一刻是最脆弱的时期。 […]