ICO 보안을위한 7 가지 대체 팁

이 기사는 ICO 회원에게 안전한 ICO 프로젝트를 구성하는 요소를 안내합니다. 또한 프로젝트가 실제로 얼마나 안전한지 확인하기위한 체크리스트의 한 형태로 투자자를위한 것입니다. 모든 프로젝트는 적어도이 기사에 나열된 요소를 고려해야합니다..

주요 지침 원칙

유명한 이스라엘 사이버 유닛 8200에서 명성을 얻은 전문 화이트 햇 해커 Liraz Siri에 따르면 80/20 규칙 (80 % 이익과 20 % 노력)을 적용하면 위험을 엄청나게 줄일 수 있습니다. 그의 네 가지 핵심 원칙은 다음과 같습니다.

기본 규칙 : 간단하게 유지하세요! 복잡한 시스템이 개발되면 보안 문제가 나타납니다. 더 낮은 수준의 복잡성을 호스팅하는 시스템은 중요한 보안 취약성을 찾는 경향이 적습니다..
안전을 과소 평가하지 마십시오. 시스템이 안전하다고 생각하기 쉽지만 사람들은 영리하고 보안 허점을 찾으려고 노력합니다. ICO 산업은 지속적인 해커로 가득 차 있다는 것을 잊지 마십시오. ICO 수익의 10 % 이상이 사라지고 해킹 성공으로 인해 암호 화폐 거래소가 평균 20 억 달러를 잃었습니다..
실패 허용 : 실패가 발생할 수 있으며 발생할 수 있습니다. 아무것도 잘못되지 않을 것이라고 기대하지 마십시오. 최악의 오류를 보상하고 손상을 줄이기위한 대체 메커니즘이 있는지 확인하십시오..
권한이있는 시스템 사용 : 권한이있는 시스템을 적용하고 모든 구성원에게 작업을 수행하는 데 필요한 최소한의 권한을 부여하는 것이 중요합니다. 직원 중 한 명이 감염된 경우, 공격자는 시스템에 의해 제한되므로 몇 가지 악의적 인 행동 만 수행 할 수 있습니다. ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ.

1. 전용 장치 구성

팀 구성원이 소유 한 네트워크 지원 모바일 장치 및 랩톱은 일반적인 보안 아킬레스 건입니다. 팀원은 약한 링크이고 피싱이나 사회 공학에 취약하기 때문에 공격자의 주요 표적입니다. 따라서 공격자가이 장치에 액세스 할 수있는 위험을 최소화하기 위해 팀 구성원뿐 아니라 토큰 판매를위한 전용 장치를 설정하는 것이 좋습니다..

2. 전화 기반 인증 방지

이중 인증을 사용하는 것이 중요하지만 SMS 또는 전화 통화와 같은 전화 기반 인증을 사용하지 않는 것이 좋습니다. 보안 전문가 Liraz Siri는 SS7 공격을 통해 전화 통화를 가로 챌 수 있다고 설명했습니다. SS7은 전화 네트워크가 서로 통화 및 문자 메시지를 전달하는 데 필요한 정보를 교환 할 수 있도록하는 일련의 프로토콜입니다..

그러나 SS7은 프로토콜에 심각한 취약점이있는 것으로 알려져 있습니다. 해커는 전 세계 휴대 전화 네트워크 인프라의 취약성을 이용하여 자신의 전화 번호 만 알고 있으면 문자 메시지를 읽고, 전화 통화를 듣고, 휴대 전화 사용자의 위치를 추적 할 수 있습니다. 따라서 SMS를 피하고 대신 암호화 된 메시지를 사용하는 것이 좋습니다..

Liraz Siri는 공격자가이 코드를 검색하기 위해 물리적 액세스 권한이 필요하므로 Gemalto 또는 YubiKey와 같은 하드웨어 토큰을 사용할 것을 권장합니다. 이러한 하드웨어 토큰은 전화 기반 인증의 대안으로 Google Authenticator와 함께 사용해야합니다. YubiKey는 일회용 비밀번호 (OTP) 시드를 저장하고 이러한 OTP를 NFC 센서를 통해 Google Authenticator로 전송하는 모바일 애플리케이션을 제공합니다..

3. 이더 리움 이름 서비스 (ENS) 사용

이더 리움 이름 서비스

모든 이더 리움 ICO는 스마트 계약을 가리키는 이더 리움 이름 서비스를 설정해야합니다. 여기서 가장 좋은 방법은 공식 웹 사이트의 도메인 이름과 똑같은 이름을 사용하는 것입니다. 과거에는 웹 사이트가 해킹되고 이더 리움 주소가 변경된 적이 있습니다. 사용자에게 판매 계약에 대한 확실한 지침을 제공함으로써 이러한 종류의 해킹을 방지 할 수 있습니다. 피싱 위험을 줄이려면 도메인 이름에도 변형을 등록해야합니다..

4. 스마트 계약 감사

ICO 스마트 계약은 수백만 달러 상당의 디지털 자산을 보유하고 있으며 보안 감사 회사 인 QuillAudits의 연구에 따르면 스마트 계약의 약 3.4 %는 가장 일반적인 악용 가능성에 대한 알고리즘을 통해서만 확인하여 결함이있는 것으로 밝혀졌습니다..

스마트 계약이 이더 리움에 게시되면 변경이 불가능하므로 계약을 실제로 메인 네트워크에 공개하기 전에 신중하게 감사를 받아야합니다..

스마트 계약 감사 전문 회사 인 QuillAudits는 우리에게 통찰력을 제공했습니다. QuillAudits의 감사자인 Rajat Gahlot이 최고 품질의 스마트 계약을 보장하는 데 필요한 단계에 대해 이야기합니다. 우선, 프로그래밍 언어 나 하드웨어의 버그로 인해 심각한 보안 취약점이 발생하는 경우가 있기 때문에 스마트 계약을 100 % 보호 할 수 없다는 사실을 아는 것이 매우 중요합니다. 따라서 다음 보안 관행을 염두에 두십시오.

1 / 테스트 작성 및 코드 수동 검토. 테스트 케이스는 예기치 않은 입력과 같은 엣지 케이스에 직면 할 때 스마트 계약이 작동하는지 확인하도록 프로그래밍됩니다. 스마트 계약은 오류를 거부하거나 던짐으로써 이러한 엣지 케이스를 처리 할 수 있어야합니다. 이러한 테스트를 작성하는 것 외에도 코드의 효율성과 구조를 향상시키기 위해 코드를 수동으로 검토합니다..

2 / 자동화 된 감사. Solidity 코드에서 특정 취약점을 검색하는 많은 도구가 있습니다. 그러나 자동화 된 도구만으로 계약을 감사하는 것은 알려진 특정 취약점 만 확인하므로 전체 감사를 포함하지 않습니다..

3 / 버그 현상금. 버그 바운티를 통해 전문가는 스마트 계약을 침투 테스트 할 수있는 법적 계약에 참여할 수 있습니다. 버그를 발견 한 경우 일반적으로 중요한 버그를 발견하면 높은 보상을받습니다. 많은 숙련 된 코더가 보상에 대한 대가로 계약을 파기하려고하므로 스마트 계약을 감사하는 효율적인 방법입니다..

5. 다중 서명 지갑

로 암호화 ICO 모은 자금을 안전하게 보관하는 것이 중요합니다. 우선 다중 서명 지갑을 사용하세요. 다음으로 전용 노트북으로 제어되는 Trezor 또는 Ledger와 같은 여러 하드웨어 지갑에 자금을 저장하는 것이 좋습니다. 핵심 요소 섹션에서 언급했듯이 실패에 대비하는 것이 좋습니다. 하드웨어 지갑 중 하나가 어떤 이유로 손상되거나 해킹 된 경우에도 여전히 자금의 상당 부분이 다른 지갑에 분산되어 있습니다..

6. 검색 엔진 최적화 (SEO)

아마도 ICO는 Google에서 순위를 높이기 위해 이미 마케팅 예산의 상당 부분을 SEO에 지출하고있을 것입니다. 그러나 이렇게하면 투자자가 잘못된 웹 사이트 (피싱 웹 사이트)에 접속할 위험도 줄일 수 있습니다..

7. 안전한 통신

오늘날 Telegram과 Slack은 내부 통신에 사용할 수있는 가장 안전한 통신 수단이 아닙니다. 가장 중요한 요구 사항은 메시지의 안전한 피어 투 피어 암호화의 가용성입니다. WhatsApp은 암호화 된 메시지를 제공하지만 오픈 소스 인 더 나은 프로젝트를 사용할 수 있습니다..

첫 번째 옵션은 Keybase입니다. Keybase를 사용하면 암호화 된 파일 공유를 통해 팀을 만들고 안전한 그룹 채팅을 할 수 있습니다. Keybase는 메시지 서명 및 유효성 검사에 사용되는 키 쌍의 원칙에 의존합니다..

Keybase의 웹 사이트에서 프로젝트가 계정간에 신뢰를 구축하는 방법에 대한 간단한 요약을 찾을 수 있습니다. "Keybase는 개인의 소셜 계정에 연결하여 신뢰를 만듭니다. 계정이 실제로 자신의 소유임을 주장하고 다시 Keybase 계정에 연결하려면 각 계정에 고유 한 메시지를 게시해야합니다. 따라서 이제 다른 사람들은 자신의 신원을 확인하고 Twitter에서 자신이라고 주장하는 사람이 실제로 올바른 사람임을 확실히 알 수 있습니다 (Facebook, Github 등). 이것은이 사람의 공개 키에 대한 사람들의 신념을 강화합니다.."

그 외에도 Keybase에는 장치 중 하나가 해킹 당했을 경우를 대비 한 대체 메커니즘이 있습니다. Keybase는 각 장치를 고유 한 암호화 키와 연결하므로 계정에 연결된 다른 장치로 로그인하여 장치 목록에서 악성 장치를 제거 할 수 있습니다. 이렇게하면 트러스트 서클의 사람들에게 내 기기 중 하나가 해커에 의해 손상되었으며 더 이상 해당 기기로 메시지를 보낼 수 없다는 경고를 받게됩니다..

신호 메시징 앱

또 다른 옵션은 단순성과 암호화에 중점을 둔 오픈 소스 프로젝트 Signal을 사용하는 것입니다. 채팅을 비공개로 유지하기 위해 암호화 기능이 추가 된 일반 메시징 앱처럼 보입니다. Signal로 비공개 그룹 채팅을 만들 수도 있습니다..

보너스 : 웹 사이트 보호

ICO가 판매 과정에서 온라인 상태를 유지하는 것이 중요합니다. 그러나 인터넷이 매일 분산 된 서비스 거부 공격으로 시달리면 쉬운 작업이 아닙니다. DDoS 공격은 이전에 암호화 공간에서 발생했던 웹 사이트를 다운시킬 수 있습니다..

판매가 시작되는 순간이 가장 취약한시기입니다. APEX ICO가 시작되었을 때 악의적 인 공격자들이 웹 사이트를 손상 시켰고, 그 결과 잠재적 투자자를 보호하기 위해 웹 사이트를 삭제해야했습니다. APEX의 CEO는 올바른 판매 주소가 포함 된 셀카를 게시하기 위해 소셜 미디어를 사용해야했습니다. 안타깝게도 ICO 웹 사이트는 크라우드 세일 중 주요 공격 지점 중 하나입니다..

따라서 Cloudbric 또는 Cloudflare와 같은 서비스는 DDoS 공격을 완화 및 차단하고 프로젝트 웹 사이트를 온라인 상태로 유지하는 데 도움이됩니다. 예를 들어 Cloudbric에는 DDoS 공격의 잠재적 위협을 감지하고 판매 페이지를 너무 자주 요청하는 클라이언트를 차단할 수있는 웹 애플리케이션 보안 기술 기능이 있습니다..

결론

안전한 ICO 프로젝트를 구성하고 팀원을 피싱 공격으로부터 보호하려고 할 때주의해야 할 사항이 더 있습니다. ㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ 그러나 실수는 쉽게 만들어 질 수 있으므로 결함이 여정의 일부이므로 대체 메커니즘이 제자리에 있는지 확인하십시오. ㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ 위의 정보는 투자자가 새 프로젝트의 보안을 확인하는 데에도 사용할 수 있습니다. 모든 새로운 프로젝트는 토큰 판매 자체에 대한 작업을 시작하기 전에 적절한 보안 메커니즘을 배치하여 먼저 시작해야합니다. ㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ.