این مقاله اعضای ICO را از طریق عناصر تشکیل دهنده یک پروژه ICO ایمن راهنمایی می کند. همچنین برای سرمایه گذاران به عنوان شکلی از چک در نظر گرفته شده است تا تأیید کند که در واقع ایمن بودن یک پروژه چگونه است. هر پروژه حداقل باید عناصر ذکر شده در این مقاله را در نظر بگیرد.

اصول اصلی راهنما

به گفته لیراز سیری ، یک هکر کلاه سفید حرفه ای که شهرت خود را در واحد سایبری معروف اسرائیلی 8200 به دست آورد ، می توان با اعمال قانون 80/20 (80 درصد سود و 20 درصد تلاش) خطرات را بسیار کاهش داد. در اینجا چهار اصل اصلی او وجود دارد:

  • قانون اساسی: ساده نگه دارید! هنگام توسعه سیستم های پیچیده ، مسائل امنیتی ظاهر می شوند. سیستمی که میزبان سطح پیچیدگی کمتری است ، کمتر در معرض آسیب پذیری های امنیتی مهم است.
  • ایمنی را دست کم نگیرید: آسان است که تصور کنید سیستم شما ایمن است ، با این وجود افراد باهوش هستند و سعی می کنند منافذ امنیتی را پیدا کنند. فراموش نکنید که صنعت ICO مملو از هکرهای مداوم است – بیش از 10 درصد از درآمد ICO از بین رفته و مبادلات رمزنگاری به دلیل موفقیت در هک های موفقیت آمیز ، به طور متوسط ​​2 میلیارد دلار ضرر کردند.
  • تحمل ناکامی ها: شکست ها می توانند اتفاق بیفتند و خواهند افتاد. انتظار نداشته باشید که هرگز اشتباهی رخ دهد. اطمینان حاصل کنید که برای جبران بدترین خرابی ها و کاهش خسارت ، مکانیزم بازگشت سرمایه در کار دارید.

  • از یک سیستم مجاز استفاده کنید: مهم است که یک سیستم مجاز در محل خود قرار دهید و حداقل حقوقی که برای هر عضو لازم است برای انجام وظیفه به هر عضو اعطا شود. در صورت به خطر افتادن یکی از کارمندان شما ، مهاجم تنها در صورت محدودیت توسط سیستم قادر خواهد بود تعداد انگشت شماری از اقدامات مخرب را انجام دهد.

1. دستگاه های اختصاصی را پیکربندی کنید

شبکه های تلفن همراه و لپ تاپ های فعال شده توسط شبکه متعلق به اعضای تیم از امنیت مشترک پاشنه آشیل هستند. اعضای تیم هدف اصلی مهاجمان هستند زیرا آنها حلقه ضعیفی هستند و در برابر فیشینگ یا مهندسی اجتماعی آسیب پذیر هستند. بنابراین ، گزینه کمکی برای راه اندازی دستگاههای اختصاصی برای اعضای تیم خود بلکه فروش توکن شماست تا خطر دسترسی مهاجم به این دستگاه را به حداقل برسانید..

2. از احراز هویت مبتنی بر تلفن خودداری کنید

استفاده از احراز هویت دو عاملی بسیار مهم است ، با این حال استفاده از احراز هویت مبتنی بر تلفن مانند پیامک یا تماس تلفنی توصیه نمی شود. لیراز سیری ، کارشناس امنیت توضیح داد که تماس های تلفنی از طریق حملات SS7 قابل رهگیری است – SS7 مجموعه ای از پروتکل ها است که به شبکه های تلفنی امکان می دهد اطلاعات مورد نیاز برای انتقال تماس ها و پیام های متنی را با یکدیگر مبادله کنند..

با این حال ، SS7 به دلیل آسیب پذیری جدی در پروتکل های خود شناخته شده است. هکرها می توانند پیام های متنی را بخوانند ، به تماس های تلفنی گوش فرا دهند و مکان کاربران تلفن همراه را فقط با دانستن شماره تلفن خود با استفاده از یک آسیب پذیری در زیرساخت شبکه تلفن همراه در سراسر جهان ردیابی کنند. بنابراین توصیه می شود از پیام کوتاه خودداری کنید و در عوض از پیام های رمزگذاری شده استفاده کنید.

لیراز سیری توصیه می کند از توکن های سخت افزاری مانند Gemalto یا YubiKey استفاده کنید زیرا به عنوان یک مهاجم برای بازیابی این کد نیاز به دسترسی فیزیکی دارید. این نشانه های سخت افزاری باید در ترکیب با Google Authenticator به عنوان جایگزینی برای احراز هویت مبتنی بر تلفن استفاده شود. YubiKey یک برنامه تلفن همراه ارائه می دهد که بذرهای یکبار مصرف رمز عبور (OTP) را ذخیره می کند و این OTP ها را از طریق سنسورهای NFC به Google Authenticator منتقل می کند.

3. از سرویس نام Ethereum (ENS) استفاده کنید

خدمات نام Ethereum

هر ICO Ethereum باید یک سرویس نام Ethereum ایجاد کند که به قرارداد هوشمند آنها اشاره دارد. بهترین روش در اینجا استفاده دقیق از همان نام دامنه وب سایت رسمی شما است. در گذشته اتفاق افتاده است که یک وب سایت هک شده و آدرس Ethereum تغییر کرده است. با ارائه یک نشانگر ضد خطا در قرارداد فروش به کاربران خود ، می توانید از این نوع هک جلوگیری کنید. به منظور کاهش خطر فیشینگ ، مطمئن شوید که انواع مختلفی را نیز بر روی نام دامنه خود ثبت کنید.

4. حسابرسی قرارداد هوشمند

قراردادهای هوشمند ICO دارایی های دیجیتالی به ارزش میلیون ها دلار را در اختیار دارند و طبق تحقیقات شرکت ممیزی امنیتی QuillAudits ، حدود 3/4 درصد از قراردادهای هوشمند فقط با بررسی الگوریتم برای بررسی متداول ترین موارد بهره برداری معیوب است.

هنگامی که یک قرارداد هوشمند در Ethereum منتشر شد ، غیرقابل تغییر است و بنابراین قبل از انتشار واقعاً در شبکه اصلی ، این قرارداد با دقت حسابرسی شده است.

QuillAudits ، یک شرکت متخصص در حسابرسی قراردادهای هوشمند ، بینش هایی را در اختیار ما قرار داد. راجت گهلو ، حسابرس در QuillAudits ، در مورد اقدامات لازم برای اطمینان از بالاترین کیفیت قراردادهای هوشمند صحبت می کند. اول از همه ، بسیار مهم است که بدانید یک قرارداد هوشمند هرگز نمی تواند 100٪ امن باشد زیرا مواردی وجود دارد که حتی اشکالات در زبان برنامه نویسی یا سخت افزار باعث آسیب پذیری جدی در امنیت می شود. بنابراین ، اقدامات امنیتی زیر را به خاطر بسپارید:

1 / نوشتن تست و مرور دستی کد. موارد آزمایشی برای تأیید عملکرد قرارداد هوشمند هنگام مواجهه با موارد لبه مانند ورودی غیرمنتظره ، برنامه ریزی شده اند. قرارداد هوشمند باید بتواند این موارد را با رد یا پرتاب خطا مدیریت کند. علاوه بر نوشتن این تست ها ، کد همچنین به صورت دستی بررسی می شود تا کارایی و ساختار کد را افزایش دهد.

2 / حسابرسی خودکار. ابزارهای زیادی وجود دارد که آسیب پذیری های خاص را در کد Solidity شما جستجو می کنند. با این حال ، حسابرسی قرارداد فقط با ابزارهای خودکار ، حسابرسی کاملی را پوشش نمی دهد ، زیرا آنها فقط نقاط ضعف شناخته شده را بررسی می کنند.

3 / Bug Bounty. موافقت با اشکال به کارشناسان اجازه می دهد تا در توافق نامه حقوقی مشارکت کنند که در آن می توانند قراردادهای هوشمند را آزمایش کنند. در صورت یافتن اشکال ، به طور کلی پاداش بالایی برای یافتن یک اشکال مهم به آنها پیشنهاد می شود. این یک روش کارآمد برای حسابرسی قرارداد هوشمند شما است زیرا بسیاری از رمزگذاران باتجربه در ازای دریافت پاداش سعی در شکستن قرارداد دارند.

5. کیف پول چند علامت

به عنوان یک ICO رمزنگاری پروژه ، ذخیره وجوهی که با خیال راحت جمع آوری کرده اید بسیار مهم است. اول از همه ، از کیف پول چند علامت استفاده کنید. در مرحله بعدی ، بهترین روش برای ذخیره وجوه در چندین کیف پول سخت افزاری مانند Trezor یا Ledger است که توسط لپ تاپ های اختصاصی کنترل می شوند. همانطور که در قسمت عناصر کلیدی گفته شد ، بهتر است خود را برای شکست آماده کنید: اگر به دلایلی یکی از کیف پول های سخت افزاری خراب یا هک شده باشد ، هنوز قسمت زیادی از بودجه موجود در کیف پول های دیگر را دارید.

6. بهینه سازی موتور جستجو (SEO)

احتمالاً یک ICO در حال حاضر بخش عظیمی از بودجه بازاریابی خود را صرف SEO می کند تا رتبه بالاتری در Google کسب کند. با این حال ، با انجام این کار ، خطر سرانجام سرمایه گذاران در یک وب سایت اشتباه (وب سایت های فیشینگ) را نیز کاهش می دهید.

7. ارتباط امن

امروزه تلگرام و اسلک امن ترین وسیله ارتباطی نیستند که می توانید برای ارتباطات داخلی استفاده کنید. مهمترین نیاز در دسترس بودن رمزنگاری پیامها از طریق نظیر به نظیر است. WhatsApp پیام های رمزگذاری شده ارائه می دهد ، با این حال ، پروژه های بهتری وجود دارد که منبع باز نیز هستند.

اولین گزینه Keybase است – Keybase امکان ایجاد تیم ها و چت های گروهی ایمن را با به اشتراک گذاری فایل رمزگذاری شده فراهم می کند. Keybase به اصل یک صفحه کلید متکی است که برای امضای و تأیید پیام ها استفاده می شود.

در وب سایت Keybase ، می توانیم خلاصه کوتاهی از نحوه ایجاد اعتماد بین پروژه بین حساب ها را پیدا کنیم: "Keybase با اتصال به حساب های اجتماعی شخص اعتماد ایجاد می کند. برای اینكه ادعا شود این حسابها واقعاً متعلق به خود او است و آنها را به حساب Keybase خود پیوند می دهد ، از وی خواسته می شود كه پیامی منحصر به فرد بر روی هر یك از حسابهای خود ارسال كند. بنابراین اکنون ، دیگران می توانند هویت او را تأیید کنند و با اطمینان بدانند که شخصی که در توییتر ادعا می کند در واقع شخص صحیحی است (مانند فیس بوک ، گیتهوب و غیره). این اعتقاد مردم را در کلید عمومی این شخص تقویت می کند."

علاوه بر این ، در صورت هک شدن یکی از دستگاه های شما ، Keybase دارای مکانیزم بازگشت است. همانطور که Keybase هر دستگاه را با یک کلید رمزگذاری منحصر به فرد مرتبط می کند ، می توانید با دستگاه دیگری که به حساب شما متصل است وارد شوید تا دستگاه مخرب را از لیست دستگاه خود حذف کنید. با این کار ، افراد موجود در حلقه اعتماد شما هشدار داده می شوند که یکی از دستگاه های شما توسط یک هکر به خطر افتاده است و دیگر نمی توانند به آن دستگاه پیام ارسال کنند.

برنامه پیام رسانی سیگنال

گزینه دیگر استفاده از پروژه منبع باز سیگنال است که بر روی سادگی و رمزگذاری متمرکز است. به نظر می رسد یک برنامه پیام رسان معمولی با ویژگی های رمزگذاری اضافه شده برای خصوصی نگه داشتن چت های شما است. همچنین امکان ایجاد گپ های گروهی خصوصی با Signal وجود دارد.

پاداش: محافظت از وب سایت

این مهم است که ICO در طی فرایند فروش آنلاین بماند. با این وجود ، کار ساده ای نیست که اینترنت به طور روزمره با حملات انکار سرویس توزیع شده روبرو باشد. یک حمله DDoS قادر به از بین بردن وب سایت ها است ، اتفاقی که قبلاً در فضای رمزنگاری رخ داده است.

لحظه فروش مستقیم ، آسیب پذیرترین زمان است. هنگامی که APEX ICO فعال شد ، بازیگران مخرب وب سایت خود را مخدوش کردند و در نتیجه ، برای محافظت از سرمایه گذاران بالقوه ، مجبور به پایین آوردن وب سایت شدند. مدیرعامل APEX مجبور شد از شبکه های اجتماعی آنها برای ارسال سلفی با آدرس صحیح فروش استفاده کند. متأسفانه ، وب سایتهای ICO یکی از نقاط اصلی حمله در هنگام فروش گسترده است.

بنابراین ، خدماتی مانند Cloudbric یا Cloudflare به شما کمک می کنند حملات DDoS را کاهش داده و مسدود کنید و به وب سایت پروژه خود برای آنلاین ماندن کمک کنید. به عنوان مثال ، Cloudbric دارای ویژگی های فن آوری امنیت برنامه وب است که می تواند تهدید بالقوه حمله DDoS را شناسایی کرده و مشتریانی را که اغلب صفحه فروش را درخواست می کنند مسدود کند.

خط آخر

موارد دیگری وجود دارد که باید هنگام ساخت یک پروژه ICO ایمن و محافظت از اعضای تیم خود در برابر حملات فیشینگ به آنها توجه کنید. با این حال ، به راحتی می توان یک اشتباه را مرتکب شد ، اطمینان حاصل کنید که مکانیزم های بازگشت وجود داشته باشد زیرا خطاها بخشی از سفر هستند. سرمایه گذاران می توانند از اطلاعات بالا برای تأیید امنیت پروژه جدید استفاده کنند. هر پروژه جدید ابتدا باید با قرار دادن مکانیزم های امنیتی مناسب قبل از شروع کار روی فروش توکن شروع شود.