7 نصائح بديلة لتأمين عمليات الطرح الأولي للعملات

ستوجه هذه المقالة أعضاء ICO من خلال العناصر التي تشكل مشروع ICO آمن. كما أنها مخصصة للمستثمرين كشكل من أشكال القائمة المرجعية للتحقق من مدى أمان المشروع بالفعل. يجب على أي مشروع أن يأخذ في الاعتبار العناصر المدرجة في هذه المقالة على الأقل.

المبادئ التوجيهية الرئيسية

وفقًا لـ Liraz Siri ، هاكر محترف ذو قبعة بيضاء اكتسب سمعته في الوحدة الإلكترونية الإسرائيلية الشهيرة 8200 ، يمكن تقليل المخاطر بشكل كبير من خلال تطبيق قاعدة 80/20 (فائدة بنسبة 80 بالمائة ومجهود بنسبة 20 بالمائة). فيما يلي مبادئه الأربعة الرئيسية:

  • القاعدة الأساسية: اجعلها بسيطة! تظهر مشكلات الأمان عند تطوير أنظمة معقدة. النظام الذي يستضيف مستوى أقل من التعقيد ، يكون أقل عرضة للعثور على نقاط الضعف الأمنية الهامة.
  • لا تقلل من شأن السلامة: من السهل أن تعتقد أن نظامك آمن ، ومع ذلك ، فإن الأشخاص أذكياء ويحاولون العثور على ثغرات أمنية. لا تنس أن صناعة ICO مليئة بالمخترقين الدائمين – فقد ذهب أكثر من 10 بالمائة من عائدات ICO وخسرت بورصات العملات المشفرة في المتوسط ​​2 مليار دولار بسبب الاختراقات الناجحة.
  • تحمل الفشل: يمكن أن تحدث الفشل وسيحدث. لا تتوقع ألا يحدث شيء على الإطلاق. تأكد من وجود آلية احتياطية للتعويض عن أسوأ حالات الفشل وتقليل الضرر.

  • استخدام نظام مُصرح به: من المهم وضع نظام مُصرح به وإعطاء كل عضو الحد الأدنى من مجموعة الحقوق التي يحتاجها لأداء مهمته. في حالة تعرض أحد موظفيك للاختراق ، لن يتمكن المهاجم من تنفيذ سوى عدد قليل من الإجراءات الضارة لأنه مقيد من قبل النظام.

1. تكوين الأجهزة المخصصة

الأجهزة المحمولة وأجهزة الكمبيوتر المحمولة التي تدعم الشبكة والمملوكة لأعضاء الفريق هي أحذية أخيل شائعة. أعضاء الفريق هم الهدف الرئيسي للمهاجمين لأنهم هم الحلقة الضعيفة وعرضة للتصيد أو الهندسة الاجتماعية. لذلك ، فمن المستحسن إعداد أجهزة مخصصة لأعضاء فريقك ولكن أيضًا لبيع الرمز المميز لتقليل مخاطر وصول المهاجم إلى هذا الجهاز.

2. تجنب المصادقة عبر الهاتف

من الضروري استخدام المصادقة ذات العاملين ، ومع ذلك ، لا يوصى باستخدام المصادقة المستندة إلى الهاتف مثل الرسائل القصيرة أو المكالمات الهاتفية. أوضح الخبير الأمني ​​Liraz Siri أنه يمكن اعتراض المكالمات الهاتفية عبر هجمات SS7 – SS7 عبارة عن مجموعة من البروتوكولات التي تسمح لشبكات الهاتف بتبادل المعلومات اللازمة لتمرير المكالمات والرسائل النصية بين بعضها البعض.

ومع ذلك ، يُعرف SS7 بوجود ثغرات خطيرة في بروتوكولاته. يمكن للمتسللين قراءة الرسائل النصية والاستماع إلى المكالمات الهاتفية وتتبع مواقع مستخدمي الهواتف المحمولة بمعرفة رقم هاتفهم فقط باستخدام ثغرة أمنية في البنية التحتية لشبكة الهاتف المحمول في جميع أنحاء العالم. لذلك يوصى بتجنب الرسائل القصيرة واستخدام الرسائل المشفرة بدلاً من ذلك.

يوصي Liraz Siri باستخدام الرموز المميزة للأجهزة مثل Gemalto أو YubiKey حيث يحتاج المهاجم إلى الوصول الفعلي لاسترداد هذا الرمز. يجب استخدام هذه الرموز المميزة للأجهزة مع Google Authenticator كبديل للمصادقة المستندة إلى الهاتف. يوفر YubiKey تطبيقًا للهاتف المحمول يحفظ بذور كلمة المرور لمرة واحدة (OTP) وينقل OTPs إلى Google Authenticator عبر مستشعرات NFC.

3. استخدام خدمة اسم Ethereum (ENS)

خدمة اسم Ethereum

يجب على كل ICO من Ethereum إنشاء خدمة اسم Ethereum تشير إلى عقدهم الذكي. من أفضل الممارسات هنا استخدام نفس الاسم تمامًا لاسم نطاق موقعك الإلكتروني الرسمي. في الماضي ، حدث اختراق لموقع ويب وتغيير عنوان Ethereum. من خلال تزويد المستخدمين بمؤشر مضمون لعقد البيع الخاص بك ، يمكنك منع هذا النوع من الاختراق. لتقليل مخاطر التصيد الاحتيالي ، تأكد من تسجيل المتغيرات على اسم المجال الخاص بك أيضًا.

4. تدقيق العقود الذكية

تمتلك عقود ICO الذكية أصولًا رقمية تبلغ قيمتها ملايين الدولارات ووفقًا لأبحاث شركة التدقيق الأمني ​​QuillAudits ، تم العثور على حوالي 3.4٪ من العقود الذكية معيبة من خلال التحقق فقط من خلال خوارزمية لمعرفة احتمالات الاستغلال الأكثر شيوعًا.

بمجرد نشر العقد الذكي على Ethereum ، يصبح غير قابل للتغيير ، وبالتالي فمن الضروري أن يتم تدقيق العقد بعناية قبل إصداره فعليًا على الشبكة الرئيسية.

QuillAudits ، شركة متخصصة في تدقيق العقود الذكية زودتنا بالرؤى. راجات جهلوت ، مدقق الحسابات في QuillAudits ، يتحدث عن الخطوات اللازمة لضمان أعلى جودة للعقود الذكية. بادئ ذي بدء ، من المهم جدًا معرفة أن العقد الذكي لا يمكن تأمينه بنسبة 100٪ أبدًا حيث توجد حالات تسببت فيها حتى الأخطاء في لغة البرمجة أو الأجهزة في حدوث ثغرات أمنية خطيرة. لذلك ، ضع في اعتبارك ممارسات الأمان التالية:

1 / كتابة الاختبارات ومراجعة الكود يدويًا. تتم برمجة حالات الاختبار للتحقق من عمل العقد الذكي عند مواجهة حالات الحافة مثل الإدخال غير المتوقع. يجب أن يكون العقد الذكي قادرًا على التعامل مع حالات الحافة هذه عن طريق رفض أو إلقاء خطأ. إلى جانب كتابة هذه الاختبارات ، تتم أيضًا مراجعة الكود يدويًا لتحسين كفاءة وبنية الكود.

2 / التدقيق الآلي. توجد العديد من الأدوات التي تبحث عن نقاط ضعف محددة في كود Solidity الخاص بك. ومع ذلك ، فإن تدقيق العقد باستخدام الأدوات الآلية فقط لا يغطي عملية تدقيق كاملة لأنها تتحقق فقط من الثغرات الأمنية المعروفة.

3 / باغ باونتي. تسمح مكافأة الخطأ للخبراء بالمشاركة في اتفاقية قانونية يمكنهم فيها اختراق العقود الذكية واختبارها. في حالة عثورهم على خطأ ، يتم تقديم مكافأة كبيرة لهم بشكل عام للعثور على خطأ حرج. إنها طريقة فعالة لمراجعة عقدك الذكي حيث يحاول العديد من المبرمجين ذوي الخبرة إنهاء العقد مقابل مكافأة.

5. محفظة متعددة التوقيعات

ك العملة المشفرة ICO المشروع ، من الضروري تخزين الأموال التي جمعتها بأمان. بادئ ذي بدء ، استخدم محفظة متعددة التوقيعات. بعد ذلك ، من أفضل الممارسات تخزين الأموال في محافظ أجهزة متعددة مثل Trezor أو Ledger والتي يتم التحكم فيها بواسطة أجهزة كمبيوتر محمولة مخصصة. كما قيل في قسم العناصر الأساسية ، من الأفضل الاستعداد للفشل: إذا تعرضت إحدى محافظ الأجهزة للتلف أو الاختراق لسبب ما ، فلا يزال لديك جزء كبير من الأموال موزعة على المحافظ الأخرى.

6. تحسين محرك البحث (SEO)

ربما ، ينفق ICO بالفعل جزءًا كبيرًا من ميزانيته التسويقية على تحسين محركات البحث من أجل الحصول على مرتبة أعلى في Google. ومع ذلك ، من خلال القيام بذلك ، فإنك تقلل أيضًا من مخاطر وصول المستثمرين إلى مواقع الويب الخطأ (مواقع التصيد الاحتيالي).

7. الاتصال الآمن

في الوقت الحاضر ، لا يعد Telegram و Slack أكثر وسائل الاتصال أمانًا التي يمكنك استخدامها للاتصال الداخلي. الشرط الأكثر أهمية هو توفر تشفير آمن للرسائل من نظير إلى نظير. يقدم WhatsApp رسائل مشفرة ، ومع ذلك ، هناك مشاريع أفضل متاحة وهي أيضًا مفتوحة المصدر.

الخيار الأول هو Keybase – يسمح Keybase بإنشاء فرق ومحادثات جماعية آمنة مع مشاركة الملفات المشفرة. يعتمد Keybase على مبدأ زوج المفاتيح المستخدم لتوقيع الرسائل والتحقق من صحتها.

على موقع Keybase الإلكتروني ، يمكننا العثور على ملخص قصير لكيفية إنشاء المشروع للثقة بين الحسابات: "ينشئ Keybase الثقة من خلال الاتصال بحسابات الشخص على الشبكات الاجتماعية. سيتطلب ذلك منه نشر رسالة فريدة على كل حساب من حساباته للمطالبة بالحسابات التي تخصه بالفعل وربطها مرة أخرى بحساب Keybase الخاص به. حتى الآن ، يمكن للآخرين التحقق من هويته والتأكد من أن الشخص الذي يدعي أنه هو على Twitter هو في الواقع الشخص الصحيح (كما هو الحال مع Facebook و Github وما إلى ذلك). هذا يعزز اقتناع الناس بالمفتاح العام لهذا الشخص."

بالإضافة إلى ذلك ، فإن Keybase لديها آلية احتياطية مطبقة في حالة اختراق أحد أجهزتك. نظرًا لأن Keybase يربط كل جهاز بمفتاح تشفير فريد ، يمكنك تسجيل الدخول بجهاز آخر متصل بحسابك لإزالة الجهاز الضار من قائمة أجهزتك. من خلال القيام بذلك ، سيتم تنبيه الأشخاص في دائرة الثقة الخاصة بك إلى أن أحد أجهزتك قد تعرض للاختراق بواسطة أحد المتطفلين ولا يمكنهم إرسال رسائل إلى هذا الجهاز بعد الآن.

تطبيق Signal Messaging

خيار آخر هو استخدام مشروع Signal مفتوح المصدر والذي يركز على البساطة والتشفير. يبدو أنه تطبيق مراسلة عادي مع ميزات تشفير مضافة للحفاظ على خصوصية محادثاتك. من الممكن أيضًا إنشاء محادثات جماعية خاصة باستخدام Signal.

المكافأة: حماية الموقع

من الضروري أن تظل ICO متصلة بالإنترنت أثناء عملية البيع. ومع ذلك ، فإنها ليست مهمة سهلة عندما يعاني الإنترنت من هجمات رفض الخدمة الموزعة على أساس يومي. هجوم DDoS قادر على إزالة مواقع الويب ، وهو ما حدث من قبل في مجال التشفير.

لحظة بدء البيع هي أكثر الأوقات عرضة للخطر. عندما تم إطلاق APEX ICO مباشرة ، قامت الجهات الخبيثة بتشويه موقع الويب الخاص بها ، ونتيجة لذلك ، اضطروا إلى إزالة الموقع لحماية المستثمرين المحتملين. اضطر الرئيس التنفيذي لشركة APEX إلى استخدام وسائل التواصل الاجتماعي لنشر صورة شخصية تحمل عنوان البيع الصحيح. لسوء الحظ ، تعد مواقع ICO أحد النقاط الرئيسية للهجوم أثناء البيع الجماعي.

لذلك ، تساعدك خدمات مثل Cloudbric أو Cloudflare على التخفيف من هجمات DDoS وحظرها ومساعدة موقع الويب الخاص بمشروعك على البقاء على الإنترنت. على سبيل المثال ، تمتلك Cloudbric ميزات تقنية أمان تطبيقات الويب مطبقة يمكنها اكتشاف التهديد المحتمل لهجوم DDoS وحظر العملاء الذين يطلبون صفحة البيع كثيرًا.

الخط السفلي

هناك المزيد الذي يجب الانتباه إليه عند محاولة هيكلة مشروع ICO آمن وحماية أعضاء فريقك من هجمات التصيد الاحتيالي. ومع ذلك ، يمكن ارتكاب خطأ بسهولة ، تأكد من وجود آليات احتياطية في مكانها لأن الأعطال جزء من الرحلة. يمكن أيضًا استخدام المعلومات الواردة أعلاه من قبل المستثمرين للتحقق من أمان مشروع جديد. يجب أن يبدأ أي مشروع جديد أولاً بوضع آليات الأمان المناسبة قبل البدء في العمل على بيع الرمز المميز نفسه.