Facebook
YouTube
บทความนี้จะแนะนำสมาชิก ICO ผ่านองค์ประกอบต่างๆที่ประกอบกันเป็นโครงการ ICO ที่ปลอดภัย นอกจากนี้ยังมีไว้สำหรับนักลงทุนในรูปแบบของรายการตรวจสอบเพื่อตรวจสอบความปลอดภัยของโครงการ โครงการใด ๆ อย่างน้อยควรพิจารณาองค์ประกอบที่ระบุไว้ในบทความนี้.
หลักการชี้นำที่สำคัญ
ตามที่ Liraz Siri แฮ็กเกอร์หมวกขาวมืออาชีพที่ได้รับชื่อเสียงในหน่วยไซเบอร์ที่มีชื่อเสียงของอิสราเอล 8200 ความเสี่ยงสามารถลดลงได้อย่างมากโดยใช้กฎ 80/20 (ผลประโยชน์ 80 เปอร์เซ็นต์และความพยายาม 20 เปอร์เซ็นต์) หลักการสำคัญสี่ประการของเขามีดังนี้
- กฎพื้นฐาน: ทำให้ง่าย! ปัญหาด้านความปลอดภัยจะปรากฏขึ้นเมื่อมีการพัฒนาระบบที่ซับซ้อน ระบบที่โฮสต์ระดับความซับซ้อนต่ำกว่ามีแนวโน้มที่จะพบช่องโหว่ด้านความปลอดภัยที่สำคัญน้อยกว่า.
- อย่าดูถูกความปลอดภัย: เป็นเรื่องง่ายที่จะคิดว่าระบบของคุณปลอดภัย แต่ผู้คนฉลาดและพยายามหาช่องโหว่ด้านความปลอดภัย อย่าลืมว่าอุตสาหกรรม ICO เต็มไปด้วยแฮ็กเกอร์ที่ไม่ลดละ – กว่า 10 เปอร์เซ็นต์ของรายได้ ICO หายไปและการแลกเปลี่ยน crypto สูญเสียโดยเฉลี่ย 2 พันล้านดอลลาร์เนื่องจากการแฮ็กที่ประสบความสำเร็จ.
- อดทนต่อความล้มเหลว: ความล้มเหลวสามารถเกิดขึ้นได้และจะเกิดขึ้น อย่าคาดหวังว่าจะไม่มีอะไรผิดพลาด ตรวจสอบให้แน่ใจว่าคุณมีกลไกสำรองเพื่อชดเชยความล้มเหลวที่เลวร้ายที่สุดและลดความเสียหาย.
- ใช้ระบบที่ได้รับอนุญาต: สิ่งสำคัญคือต้องวางระบบที่ได้รับอนุญาตและให้สิทธิ์ขั้นต่ำแก่สมาชิกทุกคนในการปฏิบัติงานของตน ในกรณีที่พนักงานคนใดคนหนึ่งของคุณถูกบุกรุกผู้โจมตีจะสามารถดำเนินการที่เป็นอันตรายได้เพียงไม่กี่ครั้งในขณะที่เขาถูก จำกัด โดยระบบ.
1. กำหนดค่าอุปกรณ์เฉพาะ
อุปกรณ์เคลื่อนที่และแล็ปท็อปที่เปิดใช้งานเครือข่ายที่สมาชิกในทีมเป็นเจ้าของความปลอดภัยทั่วไป สมาชิกในทีมเป็นเป้าหมายหลักของผู้โจมตีเนื่องจากเป็นจุดอ่อนและเสี่ยงต่อการฟิชชิงหรือวิศวกรรมสังคม ดังนั้นจึงเป็นตัวเลือกที่แนะนำในการตั้งค่าอุปกรณ์เฉพาะสำหรับสมาชิกในทีมของคุณ แต่ยังรวมถึงการขายโทเค็นด้วยเพื่อลดความเสี่ยงที่ผู้โจมตีจะสามารถเข้าถึงอุปกรณ์นี้ได้.
2. หลีกเลี่ยงการรับรองความถูกต้องทางโทรศัพท์
การใช้การตรวจสอบสิทธิ์แบบสองปัจจัยเป็นสิ่งสำคัญอย่างไรก็ตามไม่แนะนำให้ใช้การตรวจสอบสิทธิ์ทางโทรศัพท์เช่น SMS หรือโทรศัพท์ Liraz Siri ผู้เชี่ยวชาญด้านความปลอดภัยอธิบายว่าสามารถดักฟังโทรศัพท์ผ่านการโจมตี SS7 ได้ – SS7 เป็นชุดของโปรโตคอลที่ช่วยให้เครือข่ายโทรศัพท์สามารถแลกเปลี่ยนข้อมูลที่จำเป็นสำหรับการโทรและส่งข้อความระหว่างกัน.
อย่างไรก็ตาม SS7 เป็นที่ทราบกันดีว่ามีช่องโหว่ร้ายแรงในโปรโตคอล แฮกเกอร์สามารถอ่านข้อความฟังโทรศัพท์และติดตามตำแหน่งของผู้ใช้โทรศัพท์มือถือได้ด้วยความรู้เกี่ยวกับหมายเลขโทรศัพท์โดยใช้ช่องโหว่ในโครงสร้างพื้นฐานเครือข่ายโทรศัพท์มือถือทั่วโลก ดังนั้นจึงขอแนะนำให้หลีกเลี่ยง SMS และใช้ข้อความเข้ารหัสแทน.
Liraz Siri แนะนำให้ใช้โทเค็นฮาร์ดแวร์เช่น Gemalto หรือ YubiKey เนื่องจากผู้โจมตีจะต้องมีการเข้าถึงทางกายภาพเพื่อดึงรหัสนี้ ควรใช้โทเค็นฮาร์ดแวร์เหล่านี้ร่วมกับ Google Authenticator เพื่อเป็นทางเลือกในการตรวจสอบสิทธิ์ทางโทรศัพท์ YubiKey ให้บริการแอปพลิเคชันมือถือที่บันทึกเมล็ดพันธุ์รหัสผ่านครั้งเดียว (OTP) และโอน OTP เหล่านี้ไปยัง Google Authenticator ผ่านเซ็นเซอร์ NFC.
3. ใช้ Ethereum Name Service (ENS)
ICO ของ Ethereum ทุกตัวควรตั้งค่าบริการชื่อ Ethereum ที่ชี้ไปที่สัญญาอัจฉริยะของพวกเขา แนวทางปฏิบัติที่ดีที่สุดคือใช้ชื่อเดียวกันทุกประการกับชื่อโดเมนของเว็บไซต์อย่างเป็นทางการของคุณ ในอดีตเคยเกิดขึ้นที่เว็บไซต์ถูกแฮ็กและที่อยู่ Ethereum มีการเปลี่ยนแปลง ด้วยการให้ตัวชี้ที่เข้าใจผิดแก่ผู้ใช้ในสัญญาการขายของคุณคุณสามารถป้องกันการแฮ็กประเภทนี้ได้ เพื่อลดความเสี่ยงในการเกิดฟิชชิงอย่าลืมลงทะเบียนรูปแบบต่างๆในชื่อโดเมนของคุณด้วย.
4. การตรวจสอบสัญญาอัจฉริยะ
สัญญาอัจฉริยะ ICO ถือสินทรัพย์ดิจิทัลมูลค่าหลายล้านดอลลาร์และจากการวิจัยของ บริษัท ตรวจสอบความปลอดภัย QuillAudits ประมาณ 3.4% ของสัญญาอัจฉริยะพบว่ามีข้อผิดพลาดโดยการตรวจสอบผ่านอัลกอริทึมเท่านั้นสำหรับความเป็นไปได้ในการใช้ประโยชน์ที่พบบ่อยที่สุด.
เมื่อมีการเผยแพร่สัญญาอัจฉริยะบน Ethereum แล้วสัญญาจะไม่เปลี่ยนรูปดังนั้นจึงจำเป็นอย่างยิ่งที่สัญญาจะได้รับการตรวจสอบอย่างรอบคอบก่อนที่จะเผยแพร่จริงบนเครือข่ายหลัก.
QuillAudits บริษัท ที่เชี่ยวชาญในการตรวจสอบสัญญาอัจฉริยะให้ข้อมูลเชิงลึกแก่เรา Rajat Gahlot ผู้ตรวจสอบบัญชีของ QuillAudits พูดถึงขั้นตอนที่จำเป็นเพื่อรับประกันคุณภาพสูงสุดของสัญญาอัจฉริยะ ก่อนอื่นสิ่งสำคัญคือต้องทราบว่าสัญญาอัจฉริยะไม่สามารถรักษาความปลอดภัยได้ 100% เนื่องจากมีบางกรณีที่แม้แต่ข้อบกพร่องในภาษาโปรแกรมหรือฮาร์ดแวร์ก็ทำให้เกิดช่องโหว่ด้านความปลอดภัยที่ร้ายแรง ดังนั้นโปรดคำนึงถึงแนวทางปฏิบัติด้านความปลอดภัยต่อไปนี้:
1 / เขียนแบบทดสอบและตรวจสอบโค้ดด้วยตนเอง. กรณีทดสอบได้รับการตั้งโปรแกรมเพื่อตรวจสอบการทำงานของสัญญาอัจฉริยะเมื่อเผชิญกับกรณีขอบเช่นการป้อนข้อมูลที่ไม่คาดคิด สัญญาอัจฉริยะควรจะสามารถจัดการกับกรณีขอบเหล่านี้ได้โดยการปฏิเสธหรือโยนข้อผิดพลาด นอกเหนือจากการเขียนการทดสอบเหล่านี้แล้วโค้ดยังได้รับการตรวจสอบด้วยตนเองเพื่อเพิ่มประสิทธิภาพและโครงสร้างของโค้ด.
2 / การตรวจสอบอัตโนมัติ. มีเครื่องมือมากมายที่ค้นหาช่องโหว่เฉพาะในโค้ด Solidity ของคุณ อย่างไรก็ตามการตรวจสอบสัญญาด้วยเครื่องมืออัตโนมัติเท่านั้นไม่ครอบคลุมการตรวจสอบทั้งหมดเนื่องจากตรวจสอบเฉพาะช่องโหว่ที่ทราบเท่านั้น.
3 / ค่าหัวบั๊ก. ค่าหัวบั๊กช่วยให้ผู้เชี่ยวชาญมีส่วนร่วมในข้อตกลงทางกฎหมายซึ่งพวกเขาสามารถเจาะทดสอบสัญญาอัจฉริยะได้ ในกรณีที่พวกเขาพบข้อบกพร่องโดยทั่วไปพวกเขาจะได้รับรางวัลสูงสำหรับการค้นหาจุดบกพร่องที่สำคัญ เป็นวิธีที่มีประสิทธิภาพในการตรวจสอบสัญญาอัจฉริยะของคุณเนื่องจากผู้เขียนโค้ดที่มีประสบการณ์จำนวนมากพยายามที่จะทำลายสัญญาเพื่อแลกกับรางวัล.
5. กระเป๋าสตางค์หลายลายเซ็น
ในฐานะที่เป็น ICO การเข้ารหัสลับ โครงการเป็นสิ่งสำคัญในการจัดเก็บเงินที่คุณรวบรวมไว้อย่างปลอดภัย ก่อนอื่นให้ใช้กระเป๋าเงินหลายลายเซ็น ต่อไปเป็นแนวทางปฏิบัติที่ดีที่สุดในการจัดเก็บเงินไว้ในกระเป๋าฮาร์ดแวร์หลายเครื่องเช่น Trezor หรือ Ledger ซึ่งควบคุมโดยแล็ปท็อปเฉพาะ ดังที่ได้กล่าวไว้ในส่วนองค์ประกอบสำคัญการเตรียมพร้อมสำหรับความล้มเหลวจะดีกว่า: หากกระเป๋าเงินฮาร์ดแวร์เสียหายหรือถูกแฮ็กด้วยเหตุผลบางประการคุณยังมีเงินส่วนใหญ่กระจายอยู่ในกระเป๋าเงินอื่น ๆ.
6. การเพิ่มประสิทธิภาพกลไกค้นหา (SEO)
อาจเป็นไปได้ว่า ICO ใช้งบประมาณการตลาดส่วนใหญ่ไปกับ SEO เพื่อที่จะได้อันดับที่สูงขึ้นใน Google อย่างไรก็ตามการทำเช่นนี้จะเป็นการลดความเสี่ยงที่นักลงทุนจะเข้าสู่เว็บไซต์ที่ไม่ถูกต้อง (เว็บไซต์ฟิชชิ่ง).
7. การสื่อสารที่ปลอดภัย
ปัจจุบัน Telegram และ Slack ไม่ใช่วิธีการสื่อสารที่ปลอดภัยที่สุดที่คุณสามารถใช้สำหรับการสื่อสารภายใน ข้อกำหนดที่สำคัญที่สุดคือความพร้อมใช้งานของการเข้ารหัสข้อความแบบเพียร์ทูเพียร์ที่ปลอดภัย WhatsApp เสนอข้อความที่เข้ารหัสอย่างไรก็ตามมีโครงการที่ดีกว่าซึ่งเป็นโอเพ่นซอร์สเช่นกัน.
ตัวเลือกแรกคือ Keybase – Keybase ช่วยให้สามารถสร้างทีมและแชทกลุ่มที่ปลอดภัยด้วยการแชร์ไฟล์ที่เข้ารหัส Keybase อาศัยหลักการของคู่กุญแจที่ใช้สำหรับการลงนามและตรวจสอบความถูกต้องของข้อความ.
ในเว็บไซต์ของ Keybase เราสามารถดูสรุปสั้น ๆ ว่าโครงการสร้างความไว้วางใจระหว่างบัญชีได้อย่างไร: "Keybase สร้างความไว้วางใจโดยการเชื่อมต่อกับบัญชีโซเชียลของบุคคล เขาจะต้องโพสต์ข้อความที่ไม่ซ้ำกันในแต่ละบัญชีของเขาเพื่ออ้างสิทธิ์ว่าบัญชีนั้นเป็นของเขาจริงและเชื่อมโยงกลับไปยังบัญชี Keybase ของเขา ตอนนี้คนอื่น ๆ สามารถตรวจสอบตัวตนของเขาและรู้ได้อย่างมั่นใจว่าบุคคลที่อ้างตัวว่าเป็นเขาบน Twitter นั้นเป็นบุคคลที่ถูกต้อง (เช่นเดียวกับ Facebook, Github และอื่น ๆ ) สิ่งนี้ช่วยตอกย้ำความเชื่อมั่นของผู้คนต่อคีย์สาธารณะของบุคคลนี้."
นอกจากนั้น Keybase ยังมีกลไกทางเลือกในกรณีที่อุปกรณ์เครื่องใดเครื่องหนึ่งของคุณถูกแฮ็ก เนื่องจาก Keybase เชื่อมโยงอุปกรณ์แต่ละเครื่องกับคีย์เข้ารหัสที่ไม่ซ้ำกันคุณสามารถเข้าสู่ระบบด้วยอุปกรณ์อื่นที่เชื่อมต่อกับบัญชีของคุณเพื่อลบอุปกรณ์ที่เป็นอันตรายออกจากรายการอุปกรณ์ของคุณ การทำเช่นนี้จะทำให้คนในแวดวงความไว้วางใจของคุณได้รับการแจ้งเตือนว่าอุปกรณ์เครื่องใดเครื่องหนึ่งของคุณถูกแฮ็กเกอร์บุกรุกและไม่สามารถส่งข้อความไปยังอุปกรณ์นั้นได้อีกต่อไป.
อีกทางเลือกหนึ่งคือการใช้สัญญาณโครงการโอเพ่นซอร์สซึ่งเน้นที่ความเรียบง่ายและการเข้ารหัส ดูเหมือนแอปส่งข้อความทั่วไปที่มีคุณสมบัติการเข้ารหัสเพิ่มเติมเพื่อให้แชทของคุณเป็นส่วนตัว นอกจากนี้ยังสามารถสร้างการสนทนากลุ่มส่วนตัวด้วย Signal.
โบนัส: การปกป้องเว็บไซต์
เป็นกุญแจสำคัญสำหรับ ICO ที่จะยังคงออนไลน์อยู่ในระหว่างขั้นตอนการขาย แต่ไม่ใช่เรื่องง่ายเมื่ออินเทอร์เน็ตเต็มไปด้วยการโจมตีแบบปฏิเสธการให้บริการในแต่ละวัน การโจมตี DDoS สามารถทำลายเว็บไซต์ได้ซึ่งเคยเกิดขึ้นก่อนหน้านี้ในพื้นที่ crypto.
ช่วงเวลาที่การขายดำเนินต่อไปเป็นช่วงเวลาที่เสี่ยงที่สุด เมื่อ APEX ICO เปิดตัวนักแสดงที่เป็นอันตรายได้ทำลายเว็บไซต์ของตนและด้วยเหตุนี้พวกเขาจึงถูกบังคับให้ปิดเว็บไซต์เพื่อปกป้องผู้มีโอกาสเป็นนักลงทุน CEO ของ APEX ถูกบังคับให้ใช้โซเชียลมีเดียเพื่อโพสต์รูปเซลฟี่โดยถือที่อยู่ขายที่ถูกต้อง น่าเสียดายที่เว็บไซต์ ICO เป็นหนึ่งในประเด็นหลักของการโจมตีระหว่างการขายแบบฝูงชน.
ดังนั้นบริการต่างๆเช่น Cloudbric หรือ Cloudflare จึงช่วยคุณบรรเทาและป้องกันการโจมตี DDoS และช่วยให้เว็บไซต์ของโครงการของคุณออนไลน์อยู่เสมอ ตัวอย่างเช่น Cloudbric มีคุณสมบัติเทคโนโลยีความปลอดภัยของเว็บแอปพลิเคชันที่สามารถตรวจจับภัยคุกคามที่อาจเกิดขึ้นจากการโจมตี DDoS และบล็อกไคลเอ็นต์ที่ขอหน้าขายบ่อยเกินไป.
บรรทัดล่างสุด
มีอะไรอีกมากมายที่ต้องระวังเมื่อพยายามจัดโครงสร้างโครงการ ICO ที่ปลอดภัยและปกป้องสมาชิกในทีมของคุณจากการโจมตีแบบฟิชชิง อย่างไรก็ตามความผิดพลาดสามารถเกิดขึ้นได้ง่ายตรวจสอบให้แน่ใจว่ามีกลไกสำรองเนื่องจากความผิดพลาดเป็นส่วนหนึ่งของการเดินทาง นักลงทุนสามารถใช้ข้อมูลข้างต้นเพื่อตรวจสอบความปลอดภัยของโครงการใหม่ได้ โครงการใหม่ใด ๆ ควรเริ่มต้นด้วยการวางกลไกการรักษาความปลอดภัยที่เหมาะสมก่อนที่จะเริ่มดำเนินการขายโทเค็นเอง.