安全专家分享10种方法为ICO活动保驾护航
安永数据表明,2017 年 ICO 总融资额达到了将近 40 亿美元,而超过 10% 的 ICO 收益因为黑客攻击而流失。
关于 ICO 活动的安全问题,白帽黑客(又称为白帽子,是那些用自己的黑客技术来做好事的黑客,他们测试网络和系统的性能来判定它们能够承受入侵的强弱程度)Liraz Siri 近日在 TECHINASIA 上发表的一篇文章分享了一些重要的建议。
他提供的一些建议旨在提高人们的风险意识。这些措施适用于二八原则,即 20% 的努力可以获得 80%的收益。下面是一些关键原则:
尽量从简。当系统本身和人们对系统的理解有偏差时,安全问题便会产生。系统越简单,重大的安全问题就越不容易出现。
允许错误出现。要做好准备,有的问题是不可避免的,所以要提前进行一些设置。当一个安全措施失败的时候,还有其他的安全措施进行补救。
尽量避免特权政策。在保证正常工作的前提下,把工作人员和系统的通行证数量控制在最低。
不要高估系统的安全水平。不要觉得系统足够安全就可以高枕无忧了,要精益求精,让系统再安全一些。
而在如何提高系统的安全性方面,Liraz Siri 提供了十条建议:
1. 聘用一位首席安全官
对于正在使用区块链融资的人来说,为了制定合理的安全政策,需要雇佣一位熟知区块链融资风险的专业人士。一位合格的首席安全官会确保制定的安全政策可以得到合理执行并由整个队伍全程跟踪。
2. 设置专门的设备
移动客户端设备、笔记本电脑以及台式电脑等网络端点是常见的致命安全弱点。这是因为它们的运行系统以及软件的配套应用总是把高效运行置于安全之上。黑客非常擅长利用端点的安全漏洞来攻占系统。为了尽量规避风险,尽量设置一个融资项目专用的设备。
3. 不要使用手机验证
要为所有事项开启双因素验证,但是要避免使用手机验证,比如说手机短信或者是电话。手机数字机制的安全性非常差,因为它们很容易被中途拦截或者受到 SS7 攻击。
最好是使用硬件令牌,比如 Gemalto、 YubiKey alongside 和 Google Authenticator。YubiKey 这款移动应用存储一次性密码
种子并将这些密码通过近场通讯感应器提供给 Google Authenticator。
4. 确保智能合同的安全
首先,通读智能合同寻找所有的安全漏洞,尽可能不去修改智能合同。
其次,雇佣外部公司对智能合同进行审查。可以为他们提供丰厚的奖金来激励他们寻找关键漏洞。
再次,给智能合同建立测试网版本,然后悬赏可以对其进行攻击的人。
最后,6 名签署人中的 4 人签署方可使用。
5.为智能合同设置简单的“指示”
为智能合同设置 ENS (以太坊域名服务)。为了便于在官网上宣传 ENS 名称,最好使用跟主机名称一样的名字。ENS 名称更便于使用,不易误拼,因此更加理想。出于同样的原因,一些人会使用短一些的名字。
为了尽量避免网络钓鱼的出现,一定要小心 ENS 名称的其他拼写方式,也要小心看起来一样的主机名称。比如很多字体下的小写 L ( l )和大写 I ( I )看起来完全一样。同样的数字 0 和大写字母 O 也很难区分。所以要弄清楚这些变体形式。
6. 建立标准化的服务器基础设施
供应商的数量越少越好,这样就可以尽量避免问题出现。在标准化的过程当中,可以仅与一家声誉较好、可以满足全部或者大部分需求的供应商合作。
7. 建立一个简单的网站
建立融资网站的最好方针就是KISS 原则。意思就是建立简单的、傻瓜式的网站。在 Amazon S3 或者是顶级的云服务平台上建立没有服务器、没有国籍的设备是最好的。
不要试着去使用服务器端逻辑,尤其是服务器端编程语言。这些很可能根本用不上。如果想收集访问者信息,那么可以考虑使用 Google Forms(方便用户创建调查问卷及表单提供的办公应用)。如果需要更复杂的东西,那可以把执行逻辑当作是无服务器的匿名函数。使用无服务器云平台不仅为使用者提供了完美的解决措施,也因为这样尽可能避免了意外事故的出现。
8.优化网站搜索引擎
采用良好的技术优化搜索引擎,不仅有利于营销,也有利于网站安全。如果人们在谷歌上搜索一个项目,但是却访问了错误的网站,项目的其他的损失都还可以挽回,唯独不能挽回资金损失。可以投资建立一个高质量的博客,雇佣白帽黑客公司优化网站的搜索引擎并加以宣传。
9. 在独立、无隐患的环境下进行生产活动
为网站的生产活动建立一个高度安全的环境,与发展分段环境相互独立。安全措施的施行会引发摩擦,而摩擦会降低生产力。只有在做好准备、让网站投入生产活动的时候,花大价钱维护网站安全才有意义。
10. 尽量使用安全通信渠道
尽量使用 Singal。Singal 是针对移动手机的端对端、开放源的加密信息收发平台。PGP 是一个著名的签字加密电子邮件替代应用。但很遗憾的是,基本没人使用这款应用。
避免使用 Slack 和 Telegram, 因为这些平台安全性较低,不适用于高风险应用。
除此之外,将网站与社交媒体网络相连接。如果有任何人发现网站有问题,他们可以立即拉响警报。否则,有可能无法察觉到危害网站的东西,一些融资说明这样的信息可能会被篡改。
ICO 融资至关重要。一方面,那些新兴的、具有颠覆性潜能的去中心化应用可能会迎来前所未有的机遇,筹得数百万美元的资金。但是另一方面,这些资金也面临着落到黑客手中的风险。
只有重视安全问题才能获得长久安全。
【本篇文章属于白鲸出海原创,如需转载:1、网站端请注明出处,并在文章中附带白鲸出海原文链接。2、微信公号及其他自媒体平台需联系授权方可,未经授权严禁转载!】
友情提醒:白鲸出海目前仅有微信群与QQ群,并无在Telegram等其他社交软件创建群,请白鲸的广大用户、合作伙伴警惕他人冒充我们,向您索要费用、骗取钱财!