Acest articol îi va ghida pe membrii ICO prin elementele care alcătuiesc un proiect ICO sigur. De asemenea, este destinat investitorilor ca o formă de listă de verificare pentru a verifica cât de sigur este de fapt un proiect. Orice proiect ar trebui să ia în considerare cel puțin elementele enumerate în acest articol.

Principii directoare cheie

Potrivit lui Liraz Siri, un hacker profesionist de pălărie albă care și-a câștigat reputația în celebra unitate cibernetică israeliană 8200, riscurile pot fi extrem de reduse prin aplicarea regulii 80/20 (80% beneficii și 20% efort). Iată cele patru principii-cheie ale sale:

  • Regula de bază: păstrați-l simplu! Problemele de securitate apar atunci când sunt dezvoltate sisteme complexe. Un sistem care găzduiește un nivel mai scăzut de complexitate este mai puțin predispus la găsirea vulnerabilităților critice de securitate.
  • Nu subestimați siguranța: este ușor să credeți că sistemul dvs. este sigur, cu toate acestea, oamenii sunt isteți și încearcă să găsească lacune de securitate. Nu uitați că industria ICO este plină de hackeri persistenți – peste 10 la sută din încasările ICO au dispărut, iar schimburile criptografice au pierdut în medie 2 miliarde de dolari din cauza hacks-urilor reușite.
  • Tolera eșecurile: eșecurile se pot întâmpla și se vor întâmpla. Nu vă așteptați că nimic nu va merge vreodată prost. Asigurați-vă că aveți un mecanism de rezervă pentru a compensa cele mai grave defecțiuni și a reduce daunele.

  • Utilizați un sistem autorizat: este important să puneți în funcțiune un sistem autorizat și să acordați fiecărui membru setul minim de drepturi de care are nevoie pentru a-și îndeplini sarcina. În cazul în care unul dintre angajații dvs. este compromis, atacatorul va putea efectua doar o mână de acțiuni rău intenționate, deoarece este restricționat de sistem.

1. Configurați dispozitivele dedicate

Dispozitivele mobile și rețelele activate în rețea deținute de membrii echipei sunt tocuri de Ahile de securitate comune. Membrii echipei sunt principala țintă a atacatorilor, deoarece sunt veriga slabă și sunt vulnerabili la phishing sau inginerie socială. Prin urmare, este o opțiune recomandată pentru a configura dispozitive dedicate membrilor echipei dvs., dar și pentru vânzarea de jetoane, pentru a minimiza riscul ca un atacator să aibă acces la acest dispozitiv..

2. Evitați autentificarea bazată pe telefon

Este crucial să utilizați autentificarea cu doi factori, cu toate acestea, nu este recomandat să utilizați autentificarea bazată pe telefon, cum ar fi SMS-urile sau apelurile telefonice. Expertul în securitate Liraz Siri a explicat că apelurile telefonice pot fi interceptate prin atacuri SS7 – SS7 este un set de protocoale care permit rețelelor de telefonie să facă schimb de informații necesare pentru trecerea apelurilor și a mesajelor text între ele.

Cu toate acestea, SS7 este cunoscut pentru că prezintă vulnerabilități grave în protocoalele sale. Hackerii pot citi mesaje text, asculta apeluri telefonice și pot urmări locațiile utilizatorilor de telefoane mobile doar cu cunoștințele despre numărul lor de telefon, utilizând o vulnerabilitate în infrastructura de rețea de telefonie mobilă la nivel mondial. Prin urmare, este recomandat să evitați SMS-urile și să folosiți în schimb mesaje criptate.

Liraz Siri recomandă utilizarea jetoanelor hardware precum Gemalto sau YubiKey, deoarece un atacator ar trebui să aibă acces fizic pentru a recupera acest cod. Aceste jetoane hardware ar trebui utilizate în combinație cu Google Authenticator ca alternativă la autentificarea bazată pe telefon. YubiKey oferă o aplicație mobilă care salvează semințe de parolă unice (OTP) și transferă aceste OTP-uri către Google Authenticator prin senzori NFC.

3. Utilizați serviciul de nume Ethereum (ENS)

Serviciul de nume Ethereum

Fiecare ICO Ethereum ar trebui să înființeze un serviciu de nume Ethereum care indică contractul lor inteligent. O bună practică aici este să folosiți exact același nume ca și numele de domeniu al site-ului dvs. oficial. În trecut, s-a întâmplat ca un site web să fie piratat și să se schimbe adresa Ethereum. Oferind utilizatorilor dvs. un indicator infailibil la contractul dvs. de vânzare, puteți preveni acest tip de hack. Pentru a reduce riscul de phishing, asigurați-vă că înregistrați variante și pe numele dvs. de domeniu.

4. Auditul inteligent al contractelor

Contractele inteligente ICO dețin active digitale în valoare de milioane de dolari și, potrivit cercetării firmei de audit de securitate QuillAudits, aproximativ 3,4% din contractele inteligente sunt defecte, verificând doar prin intermediul unui algoritm pentru cele mai comune posibilități de exploatare.

Odată ce un contract inteligent a fost publicat pe Ethereum, acesta este imuabil și, prin urmare, este esențial ca contractul să fie auditat cu atenție înainte de a-l elibera efectiv în rețeaua principală..

QuillAudits, o companie specializată în auditarea contractelor inteligente ne-a oferit informații. Rajat Gahlot, auditor la QuillAudits, vorbește despre pașii necesari pentru a asigura cea mai înaltă calitate a contractelor inteligente. În primul rând, este foarte important să știm că un contract inteligent nu poate fi niciodată securizat 100%, deoarece există cazuri în care chiar și erorile din limbajul de programare sau hardware au cauzat serioase vulnerabilități de securitate. Deci, rețineți următoarele practici de securitate:

1 / Scrieți teste și revizuiți manual codul. Cazurile de testare sunt programate pentru a verifica funcționarea contractului inteligent atunci când se confruntă cu cazuri de margine, cum ar fi intrarea neașteptată. Contractul inteligent ar trebui să poată gestiona aceste cazuri marginale prin respingerea sau aruncarea unei erori. Pe lângă scrierea acestor teste, codul este, de asemenea, revizuit manual, îmbunătățind eficiența și structura codului.

2 / Audit automat. Există multe instrumente care caută vulnerabilități specifice în codul dvs. Solidity. Cu toate acestea, auditul unui contract numai cu instrumente automate nu acoperă un audit complet, deoarece verifică doar vulnerabilitățile cunoscute.

3 / Bug Bounty. O recompensă de erori le permite experților să participe la un acord legal prin care să poată testa penetrarea și să testeze contractele inteligente. În cazul în care găsesc o eroare, li se oferă în general o recompensă mare pentru găsirea unei erori critice. Este un mod eficient de a-ți audita contractul inteligent, deoarece mulți codificatori experimentați încearcă să rupă contractul în schimbul unei recompense.

5. Portofel cu mai multe semnături

Ca cripto ICO proiect, este crucial să stocați fondurile pe care le-ați colectat în siguranță. În primul rând, utilizați un portofel cu mai multe semnături. În continuare, este o bună practică să stocați fondurile pe mai multe portofele hardware, cum ar fi Trezor sau Ledger, care sunt controlate de laptopuri dedicate. După cum sa spus în secțiunea cu elemente cheie, este mai bine să vă pregătiți pentru eșec: dacă unul dintre portofelele hardware este corupt sau piratat din anumite motive, aveți în continuare o mare parte din fonduri răspândite peste celelalte portofele..

6. Optimizarea motoarelor de căutare (SEO)

Probabil, un ICO cheltuie deja o mare parte din bugetul lor de marketing pe SEO pentru a se clasa mai sus în Google. Cu toate acestea, făcând acest lucru, reduceți și riscul ca investitorii să ajungă pe un site greșit (site-uri web de phishing).

7. Comunicare securizată

În zilele noastre, Telegram și Slack nu sunt cele mai sigure mijloace de comunicare pe care le puteți folosi pentru comunicarea internă. Cea mai importantă cerință este disponibilitatea criptării sigure peer-to-peer a mesajelor. WhatsApp oferă mesaje criptate, cu toate acestea, există proiecte mai bune disponibile, care sunt, de asemenea, open source.

Prima opțiune este Keybase – Keybase permite crearea de echipe și chat-uri de grup securizate cu partajare de fișiere criptată. Keybase se bazează pe principiul unei perechi de chei care este utilizată pentru semnarea și validarea mesajelor.

Pe site-ul Keybase, putem găsi un scurt rezumat al modului în care proiectul stabilește încrederea între conturi: "Keybase creează încredere conectându-se la conturile sociale ale unei persoane. Îi va cere să posteze un mesaj unic pe fiecare dintre conturile sale pentru a revendica conturile care îi aparțin efectiv și pentru a le conecta înapoi la contul său Keybase. Așa că acum, alții pot ajunge să-și verifice identitatea și să știe cu certitudine că persoana care pretinde că este el pe Twitter este de fapt persoana corectă (ca în cazul Facebook, Github etc.). Acest lucru întărește convingerea oamenilor în cheia publică a acestei persoane."

În plus, Keybase are un mecanism de rezervă în cazul în care unul dintre dispozitivele dvs. este spart. Deoarece Keybase asociază fiecare dispozitiv cu o cheie de criptare unică, vă puteți conecta cu un alt dispozitiv atașat contului dvs. pentru a elimina dispozitivul rău intenționat din lista dvs. de dispozitive. Procedând astfel, persoanele din cercul dvs. de încredere vor fi avertizate că unul dintre dispozitivele dvs. a fost compromis de un hacker și nu mai poate trimite mesaje către acel dispozitiv..

Aplicație de mesagerie semnal

O altă opțiune este de a utiliza proiectul open source Signal, care este axat pe simplitate și criptare. Arată ca o aplicație obișnuită de mesagerie cu funcții de criptare adăugate pentru a vă păstra chaturile private. De asemenea, este posibil să creați chaturi de grup private cu Signal.

Bonus: protecția site-ului web

Este esențial ca un ICO să rămână online în timpul procesului de vânzare. Cu toate acestea, nu este o sarcină ușoară atunci când internetul este afectat zilnic de atacuri distribuite de refuz de serviciu. Un atac DDoS este capabil să elimine site-urile web, ceea ce sa întâmplat anterior în spațiul criptografic.

Momentul în care vânzarea este activă este cel mai vulnerabil moment. Când APEX ICO a intrat în direct, actorii rău intenționați și-au șters pagina web și, ca urmare, au fost obligați să renunțe la site-ul web pentru a proteja potențialii investitori. CEO-ul APEX a fost forțat să își folosească rețelele de socializare pentru a posta un selfie care deține adresa corectă de vânzare. Din păcate, site-urile web ICO sunt unul dintre principalele puncte de atac în timpul unei vânzări mulțime.

Prin urmare, servicii precum Cloudbric sau Cloudflare vă ajută să atenuați și să blocați atacurile DDoS și vă ajută site-ul web al proiectului să rămână online. De exemplu, Cloudbric are la dispoziție funcții de tehnologie de securitate a aplicațiilor web care pot detecta amenințarea potențială a unui atac DDoS și pot bloca clienții care solicită pagina de vânzare prea des.

Linia de jos

Există mai multe de luat în considerare atunci când încercați să structurați un proiect ICO sigur și să vă protejați membrii echipei de atacurile de phishing. Cu toate acestea, o greșeală poate fi făcută cu ușurință, asigurați-vă că există mecanisme de rezervă, deoarece defecțiunile fac parte din călătorie. Informațiile de mai sus pot fi folosite și de investitori pentru a verifica securitatea unui nou proiect. Orice proiect nou ar trebui să înceapă mai întâi prin punerea în aplicare a mecanismelor de securitate adecvate înainte de a începe să lucreze la vânzarea tokenului în sine.