7 алтернативни съвета за осигуряване на ICO

Тази статия ще насочи членовете на ICO през елементите, които съставляват сигурен ICO проект. Също така е предназначен за инвеститори като форма на контролен списък, за да се провери колко всъщност е сигурен даден проект. Всеки проект трябва поне да вземе предвид елементите, изброени в тази статия.

Основни ръководни принципи

Според Лираз Сири, професионален хакер с бяла шапка, спечелил репутацията си в известния израелски кибер-блок 8200, рисковете могат да бъдат значително намалени чрез прилагане на правилото 80/20 (80 процента полза и 20 процента усилия). Ето четирите му основни принципа:

  • Основно правило: дръжте го просто! Проблемите със сигурността се появяват при разработването на сложни системи. Система, която хоства по-ниско ниво на сложност, е по-малко склонна да открива критични уязвимости в сигурността.
  • Не подценявайте безопасността: Лесно е да мислите, че вашата система е защитена, но хората са умни и се опитват да намерят вратички в сигурността. Не забравяйте, че индустрията на ICO е пълна с постоянни хакери – над 10 процента от приходите от ICO са изчезнали и крипто борсите са загубили средно 2 милиарда долара поради успешни хакове.
  • Толериране на неуспехи: Неуспехите могат да се случат и ще се случат. Не очаквайте, че нищо никога няма да се обърка. Уверете се, че разполагате с резервен механизъм, за да компенсирате най-лошите повреди и да намалите щетите.

  • Използвайте разрешена система: Важно е да поставите разрешена система и да дадете на всеки член минималния набор от права, необходими му за изпълнение на задачата му. В случай, че някой от вашите служители е компрометиран, нападателят ще може да извърши само няколко злонамерени действия, тъй като е ограничен от системата.

1. Конфигурирайте специални устройства

Мобилните устройства и лаптопи с мрежова поддръжка, собственост на членове на екипа, са често срещани ахилесови токчета за сигурност. Членовете на екипа са основната цел за нападателите, тъй като те са слабото звено и са уязвими към фишинг или социално инженерство. Следователно е препоръчителна опция да настроите специални устройства за членовете на вашия екип, но също така и за вашата продажба на токени, за да сведете до минимум риска злоупотреба да получи достъп до това устройство.

2. Избягвайте удостоверяване чрез телефон

Изключително важно е да се използва двуфакторно удостоверяване, но не се препоръчва използването на удостоверяване на базата на телефон, като SMS или телефонни разговори. Експертът по сигурността Лираз Сири обясни, че телефонните обаждания могат да бъдат прихващани чрез SS7 атаки – SS7 е набор от протоколи, позволяващи на телефонните мрежи да обменят информацията, необходима за предаване на обаждания и текстови съобщения помежду си.

SS7 обаче е известен с това, че има сериозни уязвимости в своите протоколи. Хакерите могат да четат текстови съобщения, да слушат телефонни обаждания и да проследяват местоположенията на потребителите на мобилни телефони само със знанието на техния телефонен номер, използвайки уязвимост в световната инфраструктура на мобилната телефонна мрежа. Ето защо се препоръчва да избягвате SMS и вместо това да използвате криптирани съобщения.

Liraz Siri препоръчва да се използват хардуерни маркери като Gemalto или YubiKey, тъй като нападателят ще трябва да има физически достъп, за да извлече този код. Тези хардуерни маркери трябва да се използват в комбинация с Google Authenticator като алтернатива на удостоверяването чрез телефон. YubiKey предоставя мобилно приложение, което запазва семена за еднократна парола (OTP) и прехвърля тези OTP към Google Authenticator чрез NFC сензори.

3. Използвайте Ethereum Name Service (ENS)

Ethereum Name Service

Всеки ICO на Ethereum трябва да създаде услуга за имена на Ethereum, която да сочи към техния интелигентен договор. Най-добрата практика тук е да използвате точно същото име като името на домейна на вашия официален уебсайт. В миналото се е случвало уебсайт да бъде хакнат и адресът на Ethereum да е променен. Предоставяйки на вашите потребители надежден указател към вашия договор за продажба, можете да предотвратите този вид хакване. За да намалите риска от фишинг, не забравяйте да регистрирате и варианти на името на вашия домейн.

4. Интелигентен одит на договора

Интелигентните договори на ICO притежават цифрови активи на стойност милиони долари и според проучването на одиторската фирма QuillAudits около 3,4% от интелигентните договори са установени за дефектни само чрез проверка чрез алгоритъм за най-често използваните възможности.

След като интелигентен договор е публикуван на Ethereum, той е неизменен и следователно е важно договорът да бъде одитиран внимателно, преди да го пусне в основната мрежа.

QuillAudits, компания, специализирана в одита на интелигентни договори, ни даде информация. Раджат Галот, одитор в QuillAudits, говори за необходимите стъпки за осигуряване на най-високо качество на интелигентните договори. На първо място, важно е да знаете, че интелигентният договор никога не може да бъде защитен на 100%, тъй като има случаи, при които дори грешки в програмния език или хардуера причиняват сериозни уязвимости в сигурността. И така, имайте предвид следните практики за сигурност:

1 / Напишете тестове и ръчно прегледайте кода. Тестовите случаи са програмирани да проверят функционирането на интелигентния договор, когато са изправени пред крайни случаи като неочаквано въвеждане. Интелигентният договор трябва да може да се справи с тези крайни случаи, като отхвърли или хвърли грешка. Освен написването на тези тестове, кодът се преглежда и ръчно, за да се повиши ефективността и структурата на кода.

2 / Автоматизиран одит. Съществуват много инструменти, които търсят специфични уязвимости във вашия код на Solidity. Одитът на договор само с автоматизирани инструменти обаче не обхваща пълен одит, тъй като те проверяват само за конкретни известни уязвимости.

3 / Награда за грешки. Наградата за грешки позволява на експертите да участват в правно споразумение, в което те могат да тестват проникването на интелигентните договори. В случай, че открият грешка, обикновено им се предлага висока награда за намиране на критична грешка. Това е ефективен начин за одит на вашия интелигентен договор, тъй като много опитни програмисти се опитват да нарушат договора в замяна на награда.

5. Портфейл с много подписи

Като крипто ICO е изключително важно да съхранявате събраните средства безопасно. Преди всичко използвайте портфейл с много подписи. След това е най-добрата практика да съхранявате средствата в множество хардуерни портфейли като Trezor или Ledger, които се контролират от специални лаптопи. Както беше казано в раздела с ключови елементи, по-добре е да се подготвите за повреда: ако някой от хардуерните портфейли е повреден или хакнат по някаква причина, все още имате голяма част от средствата, разпределени върху останалите портфейли.

6. Оптимизация за търсачки (SEO)

Вероятно ICO вече харчи огромна част от маркетинговия си бюджет за SEO, за да се класира по-високо в Google. Правейки това обаче, вие също така намалявате риска инвеститорите да попаднат на грешен уебсайт (фишинг уебсайтове).

7. Сигурна комуникация

В днешно време Telegram и Slack не са най-сигурните средства за комуникация, които можете да използвате за вътрешна комуникация. Най-важното изискване е наличието на сигурно равностойно криптиране на съобщения. WhatsApp предлага криптирани съобщения, но има по-добри проекти, които също са с отворен код.

Първата опция е Keybase – Keybase дава възможност за създаване на екипи и защитени групови чатове с криптирано споделяне на файлове. Keybase разчита на принципа на двойка ключове, която се използва за подписване и валидиране на съобщения.

На уебсайта на Keybase можем да намерим кратко резюме на начина, по който проектът установява доверие между акаунтите: "Keybase създава доверие, като се свързва със социалните акаунти на човек. Това ще изисква от него да публикува уникално съобщение на всеки от своите акаунти, за да претендира, че акаунтите действително му принадлежат и да ги свърже обратно със своя акаунт в Keybase. Така че сега други могат да проверят самоличността му и да знаят със сигурност, че човекът, който твърди, че е той в Twitter, всъщност е правилният човек (както при Facebook, Github и т.н.). Това засилва убеждението на хората в публичния ключ на този човек."

Освен това Keybase разполага с резервен механизъм, в случай че някое от вашите устройства бъде хакнато. Тъй като Keybase свързва всяко устройство с уникален ключ за шифроване, можете да влезете с друго устройство, прикрепено към вашия акаунт, за да премахнете злонамереното устройство от списъка с устройства. По този начин хората в кръга ви на доверие ще бъдат предупредени, че едно от вашите устройства е компрометирано от хакер и те вече не могат да изпращат съобщения до това устройство.

Приложение за сигнални съобщения

Друга възможност е да се използва проектът Signal с отворен код, който е фокусиран върху простотата и криптирането. Изглежда като обикновено приложение за съобщения с добавени функции за криптиране, за да запазите чатовете си частни. Също така е възможно да създавате частни групови чатове със Signal.

Бонус: защита на уебсайта

За ICO е от ключово значение да остане онлайн по време на процеса на продажба. И все пак не е лесна задача, когато интернет ежедневно се измъчва с разпределени атаки за отказ на услуга. DDoS атаката може да свали уебсайтове, което се е случвало и преди в крипто пространството.

Моментът, в който продажбата тръгва на живо, е най-уязвимото време. Когато APEX ICO излезе на живо, злонамерени актьори опорочиха уебсайта си и в резултат бяха принудени да свалят уебсайта, за да защитят потенциалните инвеститори. Главният изпълнителен директор на APEX беше принуден да използва своите социални медии, за да публикува селфи с правилния адрес за продажба. За съжаление уебсайтовете на ICO са една от основните точки за атака по време на тълпата.

Следователно услуги като Cloudbric или Cloudflare ви помагат да смекчите и блокирате DDoS атаки и да помогнете на уебсайта на вашия проект да остане онлайн. Например, Cloudbric разполага с технологични функции за защита на уеб приложения, които могат да открият потенциалната заплаха от DDoS атака и да блокират клиенти, които твърде често изискват страницата за продажба.

Долния ред

Има още какво да обърнете внимание, когато се опитвате да структурирате сигурен ICO проект и да защитите членовете на вашия екип от фишинг атаки. Въпреки това лесно може да се допусне грешка, уверете се, че са налице резервни механизми, тъй като неизправностите са част от пътуването. Информацията по-горе може да се използва и от инвеститорите за проверка на сигурността на нов проект. Всеки нов проект трябва първо да започне с въвеждането на подходящи механизми за сигурност, преди да започне работа по самата продажба на токени.