この記事では、安全なICOプロジェクトを構成する要素を通じてICOメンバーをガイドします。また、プロジェクトが実際にどれほど安全であるかを確認するためのチェックリストの形式として投資家を対象としています。どのプロジェクトでも、少なくともこの記事に記載されている要素を考慮する必要があります.

重要な指針

有名なイスラエルのサイバーユニット8200で評判を得たプロのホワイトハットハッカーであるLirazSiriによると、80/20ルール(80%の利益と20%の努力)を適用することでリスクを大幅に減らすことができます。彼の4つの主要な原則は次のとおりです。

  • 基本ルール:シンプルにしてください!複雑なシステムが開発されると、セキュリティの問題が発生します。より低いレベルの複雑さをホストするシステムは、重大なセキュリティの脆弱性を見つける傾向が少なくなります.
  • 安全性を過小評価しないでください。システムが安全であると考えるのは簡単ですが、人々は賢く、セキュリティの抜け穴を見つけようとします。 ICO業界は永続的なハッカーでいっぱいであることを忘れないでください-ICO収益の10%以上が失われ、暗号交換は成功したハッキン​​グのために平均20億ドルを失いました.
  • 障害を許容する:障害が発生する可能性があり、今後も発生します。何も問題が発生しないと期待しないでください。最悪の障害を補償し、損傷を減らすためのフォールバックメカニズムがあることを確認してください.

  • 許可されたシステムを使用する:許可されたシステムを導入し、すべてのメンバーに、タスクを実行するために必要な最低限の権限を与えることが重要です。従業員の1人が危険にさらされた場合、攻撃者はシステムによって制限されているため、少数の悪意のあるアクションしか実行できません。.

1.専用デバイスを構成します

チームメンバーが所有するネットワーク対応のモバイルデバイスとラップトップは、一般的なセキュリティアキレス腱です。チームメンバーは弱いリンクであり、フィッシングやソーシャルエンジニアリングに対して脆弱であるため、攻撃者の主な標的です。したがって、攻撃者がこのデバイスにアクセスするリスクを最小限に抑えるために、チームメンバーだけでなく、トークンの販売にも専用のデバイスを設定することをお勧めします。.

2.電話ベースの認証を避ける

2要素認証を使用することは重要ですが、SMSや電話などの電話ベースの認証を使用することはお勧めしません。セキュリティの専門家であるLirazSiriは、SS7攻撃を介して通話を傍受できると説明しました。SS7は、電話ネットワークが通話やテキストメッセージを相互に渡すために必要な情報を交換できるようにする一連のプロトコルです。.

ただし、SS7は、プロトコルに深刻な脆弱性があることで知られています。ハッカーは、世界中の携帯電話ネットワークインフラストラクチャの脆弱性を利用して、電話番号を知っているだけで、テキストメッセージを読んだり、電話を聞いたり、携帯電話ユーザーの場所を追跡したりできます。したがって、SMSを避け、代わりに暗号化されたメッセージを使用することをお勧めします.

Liraz Siriは、攻撃者がこのコードを取得するために物理的なアクセス権を持っている必要があるため、GemaltoやYubiKeyなどのハードウェアトークンを使用することをお勧めします。これらのハードウェアトークンは、電話ベースの認証の代わりにGoogle認証システムと組み合わせて使用​​する必要があります。 YubiKeyは、ワンタイムパスワード(OTP)シードを保存し、これらのOTPをNFCセンサーを介してGoogle認証システムに転送するモバイルアプリケーションを提供します.

3.イーサリアムネームサービス(ENS)を使用する

イーサリアムネームサービス

すべてのイーサリアムICOは、スマートコントラクトを指すイーサリアムネームサービスをセットアップする必要があります。ここでのベストプラクティスは、公式Webサイトのドメイン名とまったく同じ名前を使用することです。過去に、ウェブサイトがハッキングされ、イーサリアムのアドレスが変更されたことがありました。売買契約への絶対確実なポインタをユーザーに提供することで、この種のハッキングを防ぐことができます。フィッシングのリスクを減らすために、ドメイン名にもバリアントを登録してください.

4.スマートコントラクト監査

ICOスマートコントラクトは数百万ドル相当のデジタル資産を保持しており、セキュリティ監査会社のQuillAuditsの調査によると、スマートコントラクトの約3.4%は、アルゴリズムを介して最も一般的なエクスプロイトの可能性をチェックするだけで欠陥があることが判明しています。.

スマートコントラクトがイーサリアムで公開されると、それは不変であるため、メインネットワークで実際にリリースする前に、コントラクトを注意深く監査することが不可欠です。.

スマートコントラクトの監査を専門とする会社であるQuillAuditsは、私たちに洞察を提供してくれました。 QuillAuditsの監査人であるRajatGahlotが、最高品質のスマートコントラクトを確保するために必要な手順について話します。まず第一に、プログラミング言語やハードウェアのバグでさえ深刻なセキュリティの脆弱性を引き起こす場合があるため、スマートコントラクトを100%保護することはできないことを知っておくことが非常に重要です。したがって、次のセキュリティ慣行に留意し​​てください。

1 /テストを記述し、コードを手動で確認する. テストケースは、予期しない入力などのエッジケースに直面したときにスマートコントラクトが機能することを確認するようにプログラムされています。スマートコントラクトは、エラーを拒否またはスローすることで、これらのエッジケースを処理できる必要があります。これらのテストを作成するだけでなく、コードを手動でレビューして、コードの効率と構造を強化します。.

2 /自動監査. Solidityコードの特定の脆弱性を検索する多くのツールが存在します。ただし、自動化されたツールのみを使用して契約を監査すると、特定の既知の脆弱性のみがチェックされるため、完全な監査はカバーされません。.

3 /バグバウンティ. バグバウンティにより、専門家はスマートコントラクトの侵入テストを行うことができる法的合意に参加できます。バグを見つけた場合、通常、重大なバグを見つけた場合に高い報酬が提供されます。多くの経験豊富なコーダーが報酬と引き換えに契約を破ろうとするため、これはスマートコントラクトを監査する効率的な方法です.

5.マルチシグニチャウォレット

として 暗号ICO プロジェクトでは、集めた資金を安全に保管することが重要です。まず、マルチシグニチャウォレットを使用します。次に、専用のラップトップで制御されるTrezorやLedgerなどの複数のハードウェアウォレットに資金を保存することをお勧めします。重要な要素のセクションで述べたように、障害に備えることをお勧めします。ハードウェアウォレットのいずれかが何らかの理由で破損またはハッキングされた場合でも、資金の大部分が他のウォレットに分散されています。.

6.検索エンジン最適化(SEO)

おそらく、ICOはGoogleで上位にランク付けするために、マーケティング予算の大部分をSEOにすでに費やしています。ただし、これを行うことで、投資家が間違ったWebサイト(フィッシングWebサイト)にアクセスするリスクも軽減されます。.

7.安全な通信

現在、TelegramとSlackは、内部通信に使用できる最も安全な通信手段ではありません。最も重要な要件は、メッセージの安全なピアツーピア暗号化の可用性です。 WhatsAppは暗号化されたメッセージを提供しますが、オープンソースでもあるより良いプロジェクトが利用可能です.

最初のオプションはKeybaseです。Keybaseを使用すると、暗号化されたファイル共有を使用してチームを作成し、安全なグループチャットを行うことができます。 Keybaseは、メッセージの署名と検証に使用されるキーペアの原則に依存しています.

Keybaseのウェブサイトで、プロジェクトがアカウント間の信頼を確立する方法の簡単な要約を見つけることができます。 "Keybaseは、個人のソーシャルアカウントに接続することで信頼を生み出します。アカウントが実際に自分のものであると主張し、それらをキーベースアカウントにリンクするために、各アカウントに一意のメッセージを投稿する必要があります。これで、他の人は彼の身元を確認し、Twitterで彼であると主張する人が実際に正しい人であることを確実に知ることができます(Facebook、Githubなどの場合と同様)。これにより、この人の公開鍵に対する人々の信念が強化されます."

さらに、Keybaseには、デバイスの1つがハッキングされた場合のフォールバックメカニズムがあります。 Keybaseは各デバイスを一意の暗号化キーに関連付けるため、アカウントに接続されている別のデバイスでログインして、悪意のあるデバイスをデバイスリストから削除できます。これを行うことにより、トラストサークル内のユーザーは、デバイスの1つがハッカーによって侵害され、そのデバイスにメッセージを送信できなくなったことを警告されます。.

シグナルメッセージングアプリ

もう1つのオプションは、単純さと暗号化に重点を置いたオープンソースプロジェクトSignalを使用することです。チャットを非公開にするための暗号化機能が追加された通常のメッセージングアプリのように見えます。 Signalを使用してプライベートグループチャットを作成することもできます.

ボーナス:ウェブサイト保護

ICOが販売プロセス中にオンラインを維持することが重要です。それでも、インターネットが日常的に分散型サービス拒否攻撃に悩まされている場合、それは簡単な作業ではありません。 DDoS攻撃は、以前に暗号空間で発生したWebサイトをダウンさせる可能性があります.

セールが開始される瞬間が最も脆弱な時期です。 APEX ICOが稼働すると、悪意のある攻撃者がWebサイトを改ざんし、その結果、潜在的な投資家を保護するためにWebサイトを削除せざるを得なくなりました。 APEXのCEOは、ソーシャルメディアを使用して、正しい販売先住所を保持する自撮り写真を投稿することを余儀なくされました。残念ながら、ICOWebサイトはクラウドセール中の攻撃の主なポイントの1つです.

したがって、CloudbricやCloudflareなどのサービスは、DDoS攻撃を軽減およびブロックし、プロジェクトのWebサイトをオンラインに保つのに役立ちます。たとえば、Cloudbricには、DDoS攻撃の潜在的な脅威を検出し、販売ページを頻繁に要求するクライアントをブロックできるWebアプリケーションセキュリティテクノロジー機能があります。.

結論

安全なICOプロジェクトを構築し、チームメンバーをフィッシング攻撃から保護しようとする場合は、さらに注意が必要です。ただし、間違いは簡単に発生する可能性があります。障害は移動の一部であるため、フォールバックメカニズムを設定してください。上記の情報は、投資家が新しいプロジェクトのセキュリティを検証するために使用することもできます。新しいプロジェクトは、トークンの販売自体に取り掛かる前に、適切なセキュリティメカニズムを導入することから始める必要があります。.