Bài viết này sẽ hướng dẫn các thành viên ICO các yếu tố tạo nên một dự án ICO an toàn. Nó cũng dành cho các nhà đầu tư như một dạng danh sách kiểm tra để xác minh mức độ an toàn của một dự án thực sự. Bất kỳ dự án nào ít nhất cũng nên xem xét các yếu tố được liệt kê trong bài viết này.

Các nguyên tắc hướng dẫn chính

Theo Liraz Siri, một hacker mũ trắng chuyên nghiệp, người đã giành được danh tiếng của mình trong đơn vị mạng 8200 nổi tiếng của Israel, rủi ro có thể được giảm thiểu đáng kể bằng cách áp dụng quy tắc 80/20 (80% lợi ích và 20% nỗ lực). Dưới đây là bốn nguyên tắc chính của ông:

  • Quy tắc cơ bản: giữ cho nó đơn giản! Các vấn đề bảo mật xuất hiện khi các hệ thống phức tạp được phát triển. Một hệ thống lưu trữ mức độ phức tạp thấp hơn, ít có xu hướng tìm thấy các lỗ hổng bảo mật nghiêm trọng.
  • Đừng đánh giá thấp sự an toàn: Dễ dàng nghĩ rằng hệ thống của bạn an toàn, tuy nhiên, mọi người rất thông minh và cố gắng tìm ra các lỗ hổng bảo mật. Đừng quên rằng ngành công nghiệp ICO đầy rẫy những tin tặc dai dẳng – hơn 10% số tiền thu được từ ICO đã biến mất và các sàn giao dịch tiền điện tử đã mất trung bình 2 tỷ đô la do các vụ hack thành công.
  • Chịu đựng thất bại: Thất bại có thể xảy ra và sẽ xảy ra. Đừng mong đợi rằng sẽ không có gì sai. Đảm bảo rằng bạn có cơ chế dự phòng để bù đắp cho những hỏng hóc nặng nhất và giảm thiệt hại.

  • Sử dụng hệ thống được cấp phép: Điều quan trọng là phải đặt một hệ thống được cấp phép và cung cấp cho mọi thành viên bộ quyền tối thiểu mà họ cần để thực hiện nhiệm vụ của mình. Trong trường hợp một trong những nhân viên của bạn bị xâm phạm, kẻ tấn công sẽ chỉ có thể thực hiện một số hành động độc hại vì anh ta bị hạn chế bởi hệ thống.

1. Định cấu hình các thiết bị chuyên dụng

Các thiết bị di động hỗ trợ mạng và máy tính xách tay thuộc sở hữu của các thành viên trong nhóm là những yếu tố bảo mật chung. Các thành viên trong nhóm là mục tiêu chính của những kẻ tấn công vì họ là liên kết yếu và dễ bị lừa đảo hoặc kỹ thuật xã hội. Do đó, bạn nên thiết lập các thiết bị chuyên dụng cho các thành viên trong nhóm cũng như cho việc bán mã thông báo của bạn để giảm thiểu rủi ro kẻ tấn công giành được quyền truy cập vào thiết bị này.

2. Tránh xác thực dựa trên điện thoại

Điều quan trọng là sử dụng xác thực hai yếu tố, tuy nhiên, bạn không nên sử dụng xác thực dựa trên điện thoại như SMS hoặc cuộc gọi điện thoại. Chuyên gia bảo mật Liraz Siri giải thích rằng các cuộc gọi điện thoại có thể bị chặn thông qua các cuộc tấn công SS7 – SS7 là một tập hợp các giao thức cho phép các mạng điện thoại trao đổi thông tin cần thiết để chuyển các cuộc gọi và tin nhắn văn bản giữa nhau.

Tuy nhiên, SS7 được biết đến là có lỗ hổng nghiêm trọng trong các giao thức của nó. Tin tặc có thể đọc tin nhắn văn bản, nghe cuộc gọi điện thoại và theo dõi vị trí của người dùng điện thoại di động chỉ với kiến ​​thức về số điện thoại của họ bằng cách sử dụng lỗ hổng trong cơ sở hạ tầng mạng điện thoại di động trên toàn thế giới. Do đó, chúng tôi khuyên bạn nên tránh SMS và thay vào đó sử dụng các tin nhắn được mã hóa.

Liraz Siri khuyến nghị sử dụng các mã thông báo phần cứng như Gemalto hoặc YubiKey vì kẻ tấn công sẽ cần có quyền truy cập vật lý để lấy mã này. Các mã thông báo phần cứng này nên được sử dụng kết hợp với Google Authenticator để thay thế cho xác thực dựa trên điện thoại. YubiKey cung cấp một ứng dụng di động giúp lưu hạt giống mật khẩu (OTP) một lần và chuyển các OTP này tới Google Authenticator thông qua cảm biến NFC.

3. Sử dụng Dịch vụ Tên Ethereum (ENS)

Dịch vụ tên Ethereum

Mọi ICO Ethereum nên thiết lập Dịch vụ tên Ethereum trỏ đến hợp đồng thông minh của họ. Phương pháp hay nhất ở đây là sử dụng tên chính xác giống như tên miền trang web chính thức của bạn. Trong quá khứ, đã từng xảy ra một trang web bị tấn công và địa chỉ Ethereum bị thay đổi. Bằng cách cung cấp cho người dùng của bạn một con trỏ an toàn đến hợp đồng mua bán của bạn, bạn có thể ngăn chặn loại tấn công này. Để giảm nguy cơ lừa đảo, hãy đảm bảo đăng ký cả các biến thể trên tên miền của bạn.

4. Kiểm toán hợp đồng thông minh

Các hợp đồng thông minh ICO nắm giữ tài sản kỹ thuật số trị giá hàng triệu đô la và theo nghiên cứu của công ty kiểm toán bảo mật QuillAudits, khoảng 3,4% hợp đồng thông minh bị lỗi khi chỉ kiểm tra thông qua một thuật toán cho các khả năng khai thác phổ biến nhất.

Khi một hợp đồng thông minh đã được xuất bản trên Ethereum, nó là bất biến và do đó, điều quan trọng là hợp đồng phải được kiểm tra cẩn thận trước khi thực sự phát hành nó trên mạng chính.

QuillAudits, một công ty chuyên kiểm toán các hợp đồng thông minh đã cung cấp cho chúng tôi thông tin chi tiết. Rajat Gahlot, kiểm toán viên tại QuillAudits, nói về các bước cần thiết để đảm bảo chất lượng cao nhất của các hợp đồng thông minh. Trước hết, điều quan trọng cần biết là hợp đồng thông minh không bao giờ có thể được bảo mật 100% vì có những trường hợp ngay cả lỗi trong ngôn ngữ lập trình hoặc phần cứng cũng gây ra lỗ hổng bảo mật nghiêm trọng. Vì vậy, hãy ghi nhớ các phương pháp bảo mật sau:

1 / Viết các bài kiểm tra và xem lại mã theo cách thủ công. Các trường hợp thử nghiệm được lập trình để xác minh hợp đồng thông minh hoạt động khi đối mặt với các trường hợp phức tạp như đầu vào không mong muốn. Hợp đồng thông minh sẽ có thể xử lý các trường hợp phức tạp này bằng cách từ chối hoặc đưa ra lỗi. Bên cạnh việc viết các bài kiểm tra này, mã cũng được xem xét thủ công nhằm nâng cao hiệu quả và cấu trúc của mã.

2 / Kiểm toán tự động. Có nhiều công cụ tìm kiếm các lỗ hổng cụ thể trong mã Solidity của bạn. Tuy nhiên, việc kiểm tra hợp đồng chỉ bằng các công cụ tự động không bao gồm việc kiểm tra đầy đủ vì chúng chỉ kiểm tra các lỗ hổng cụ thể đã biết.

3 / Tiền thưởng lỗi. Tiền thưởng lỗi cho phép các chuyên gia tham gia vào một thỏa thuận pháp lý trong đó họ có thể thâm nhập-kiểm tra các hợp đồng thông minh. Trong trường hợp họ tìm thấy một lỗi, họ thường được thưởng cao cho việc tìm ra một lỗi nghiêm trọng. Đó là một cách hiệu quả để kiểm tra hợp đồng thông minh của bạn vì nhiều lập trình viên có kinh nghiệm cố gắng phá vỡ hợp đồng để đổi lấy phần thưởng.

5. Ví đa chữ ký

Như một ICO tiền điện tử dự án, điều quan trọng là phải lưu trữ số tiền bạn đã thu được một cách an toàn. Trước hết, hãy sử dụng ví đa chữ ký. Tiếp theo, cách tốt nhất là lưu trữ tiền trên nhiều ví phần cứng như Trezor hoặc Ledger được kiểm soát bởi máy tính xách tay chuyên dụng. Như đã nói trong phần các yếu tố chính, tốt hơn hết là bạn nên chuẩn bị cho sự thất bại: nếu một trong các ví phần cứng bị hỏng hoặc bị tấn công vì lý do nào đó, bạn vẫn có một phần lớn số tiền trải qua các ví khác.

6. Tối ưu hóa công cụ tìm kiếm (SEO)

Có thể, một ICO đã dành một phần lớn ngân sách tiếp thị của họ cho SEO để xếp hạng cao hơn trong Google. Tuy nhiên, bằng cách làm này, bạn cũng đang giảm nguy cơ các nhà đầu tư truy cập nhầm trang web (trang web lừa đảo).

7. Giao tiếp an toàn

Ngày nay, Telegram và Slack không phải là phương tiện liên lạc an toàn nhất mà bạn có thể sử dụng để liên lạc nội bộ. Yêu cầu quan trọng nhất là tính khả dụng của mã hóa thông điệp ngang hàng an toàn. WhatsApp cung cấp các tin nhắn được mã hóa, tuy nhiên, có những dự án tốt hơn có sẵn cũng là mã nguồn mở.

Tùy chọn đầu tiên là Keybase – Keybase cho phép tạo nhóm và trò chuyện nhóm an toàn với chia sẻ tệp được mã hóa. Keybase dựa trên nguyên tắc của một cặp khóa được sử dụng để ký và xác thực thông báo.

Trên trang web của Keybase, chúng tôi có thể tìm thấy bản tóm tắt ngắn gọn về cách dự án thiết lập sự tin cậy giữa các tài khoản: "Keybase tạo sự tin tưởng bằng cách kết nối với các tài khoản xã hội của một người. Nó sẽ yêu cầu anh ta đăng một thông báo duy nhất trên mỗi tài khoản của mình để xác nhận các tài khoản thực sự thuộc về anh ta và liên kết chúng trở lại tài khoản Keybase của anh ta. Vì vậy, bây giờ, những người khác có thể xác minh danh tính của anh ta và biết chắc chắn rằng người tự xưng là anh ta trên Twitter thực sự là người chính xác (như với Facebook, Github, v.v.). Điều này củng cố niềm tin của mọi người vào khóa công khai của người này."

Bên cạnh đó, Keybase có cơ chế dự phòng trong trường hợp một trong các thiết bị của bạn bị tấn công. Vì Keybase liên kết mỗi thiết bị với một khóa mã hóa duy nhất, bạn có thể đăng nhập bằng một thiết bị khác được gắn vào tài khoản của mình để xóa thiết bị độc hại khỏi danh sách thiết bị của bạn. Bằng cách làm này, những người trong vòng kết nối tin cậy của bạn sẽ được cảnh báo rằng một trong các thiết bị của bạn đã bị tin tặc xâm nhập và họ không thể gửi tin nhắn đến thiết bị đó nữa.

Ứng dụng nhắn tin tín hiệu

Một lựa chọn khác là sử dụng dự án mã nguồn mở Signal tập trung vào tính đơn giản và mã hóa. Nó trông giống như một ứng dụng nhắn tin thông thường với các tính năng mã hóa được bổ sung để giữ các cuộc trò chuyện của bạn ở chế độ riêng tư. Cũng có thể tạo các cuộc trò chuyện nhóm riêng tư với Signal.

Phần thưởng: bảo vệ trang web

Nó là chìa khóa để ICO duy trì trực tuyến trong quá trình bán hàng. Tuy nhiên, đó không phải là một nhiệm vụ dễ dàng khi internet phải đối mặt với các cuộc tấn công từ chối dịch vụ phân tán hàng ngày. Một cuộc tấn công DDoS có khả năng đánh sập các trang web, điều này đã xảy ra trước đây trong không gian tiền điện tử.

Thời điểm giao dịch bán ra trực tiếp là thời điểm dễ bị tổn thương nhất. Khi ICO APEX hoạt động, các kẻ xấu đã phá hoại trang web của họ và kết quả là họ buộc phải gỡ trang web xuống để bảo vệ các nhà đầu tư tiềm năng. Giám đốc điều hành của APEX đã buộc phải sử dụng mạng xã hội của họ để đăng một bức ảnh tự sướng có địa chỉ bán chính xác. Thật không may, các trang web ICO là một trong những điểm tấn công chính trong đợt mua bán theo đám đông.

Do đó, các dịch vụ như Cloudbric hoặc Cloudflare giúp bạn giảm thiểu và chặn các cuộc tấn công DDoS và giúp trang web dự án của bạn luôn trực tuyến. Ví dụ: Cloudbric có các tính năng công nghệ bảo mật ứng dụng web có thể phát hiện mối đe dọa tiềm ẩn của cuộc tấn công DDoS và chặn các khách hàng yêu cầu trang bán hàng quá thường xuyên.

Điểm mấu chốt

Còn nhiều điều cần chú ý khi cố gắng cấu trúc một dự án ICO an toàn và bảo vệ các thành viên trong nhóm của bạn khỏi các cuộc tấn công lừa đảo. Tuy nhiên, sai lầm có thể dễ dàng mắc phải, hãy đảm bảo có các cơ chế dự phòng vì lỗi là một phần của hành trình. Thông tin trên cũng có thể được sử dụng bởi các nhà đầu tư để xác minh tính bảo mật của một dự án mới. Bất kỳ dự án mới nào trước tiên nên bắt đầu bằng cách đặt các cơ chế bảo mật thích hợp trước khi bắt đầu làm việc với chính việc bán mã thông báo.