BTC

$63514.95

0.97%

ETH

$3098.81

-0.26%

BNB

$583.868

-0.15%

XRP

$0.528

-0.24%

市场

迫切需要更新区块链安全协议

27 年 2021 月 XNUMX 日 - 前后 7 分钟 分钟阅读

去中心化金融 (DeFi) 的总锁定价值 (TVL) 超过 100 亿美元,这凸显了人们对这些新金融工具的信任票。这项投资将继续增长,但似乎 TVL 每创下新纪录,就会报告另一次可怕的破坏性网络攻击。

57 年加密货币下跌 2020%,但 DeFi 攻击却急剧增加,给企业和投资者造成了数十亿美元的损失。仅5月份,短短180天内就发生多次攻击,Paid Network损失200亿美元。 XNUMX 月下旬,PancakeBunny 在一次闪贷攻击中损失了 XNUMX 亿多美元。

显然,当前的区块链安全协议存在太多的漏洞和漏洞。从地毯拉扯到欺诈性诈骗,这个领域的安全和技术并不像数字所显示的那么完美。然而,开发人员和用户都可以采取一些重要的做法来填补这一空白。

去中心化技术仍是中心化

无论协议声明得多么去中心化,其基本结构仍然是中心化的。查看我们最重要的互联网功能之一:DNS 记录。每个域名仍然是集中拥有的——由对域名拥有最终权力的政府、州或公司拥有,并且可以根据需要停用它。

去中心化中的中心化的一个例子是智能合约。以太坊或币安的智能合约编写者对代码中的内容拥有最终决定权,并且有多种方法可以将恶意计划(例如拉地毯)编码到智能合约中。

在 2020 年夏天的生产力农场繁荣期间,我们看到许多日志出现,以利用流入 DeFi 的资金,并且今年仍在继续。 2.5月份,TurtleDex进行了地毯式拉动,这实际上是智能合约中的后门,导致投资者被盗XNUMX万美元。这个假定的功能允许开发人员编写作弊程序,然后执行这些作弊程序以响应代码中的其他事件,TurtleDex 是今年以编程方式打破地毯的几个项目之一。

连接的: 利润是每个人都在谈论的话题,但 DeFi 有望改变我们处理金钱的方式

智能合约审计是防止地毯式攻击的好方法,但即便如此,我们也看到开发人员将经过测试的智能合约交给未经测试的智能合约的情况。 compounder 案例展示了一个欺诈项目,该项目可以轻松获取业内知名人士的声誉。他们很快就利用了 Harvest Finance 和 Yearn.finance,然后就对用户进行了掩盖,并带走了数百万美元的加密货币。

连接的: DeFi项目规范审核是行业发展的必须

当前的黑客趋势

除了地毯式拉扯之外,还有许多常见的攻击,如果不做好准备,可能会导致整个公司垮台。 51% 攻击——也就是说,当一群矿工控制了超过 50% 的网络挖矿哈希率,并允许他们取消赎回权或操纵交易记录以双重支出或破坏链块时——之前仍然经常发生。 Firo 和 Grin 最近都遭受了 51% 的攻击。

即使是一些顶级加密项目也是不安全的。今年 200 月,有报道称 Verge 网络上 100 天的 XVG 交易被删除,这实际上是“前 XNUMX 名加密货币中有史以来最深刻的事件”。

我们接受这些错误作为区块链体验的一部分,但例如,如果同样的事情发生在一家大型银行上,会有什么反应?可能会成为大量媒体头条新闻,并引起用户和客户的骚动。由于用户较少,这些事件在加密货币中基本上未被注意到,但随着最近的牛市,这种情况正在发生变化。不可避免地,公共区块链的安全性正在受到更严格的审查。

黑客预防方法,如地毯拉动 kéo

不幸的是,在加密领域工作时,黑客攻击始终是开发人员的一个选择。问题不是如何防止黑客攻击,而是如何防止自己被黑客攻击。硬件钱包的多项进步(例如 Gnosis Safe 的多重签名钱包)是提高整体安全性的关键驱动力。

使用多重签名钱包允许多个用户持有同一个钱包的密钥,并且需要双方参与才能对帐户执行操作。由于像这样的钱包需要多个用户输入才能进行交易,因此几乎不可能用这种类型的保险箱拉地毯。

另一种防止地毯被拉扯的安全方法是时间锁。许多去中心化应用程序都使用超时,因此如果开发人员试图吸引用户,您将在大约 12 到 24 小时内收到警报,要求清除代币。

这些类型的安全实践将促进对 DeFi 的更广泛信任,并创造一种能够推动我们行业发展的安全文化。

提高加密钱包的安全性

钱包的安全最终取决于使用更聪明方法的开发者和用户。定期的安全审查和内部安全实践都有助于使钱包更加安全。

虽然安全审查是一个很好的解决方案,但 Uniswap 和其他基于自动化做市商的去中心化交易所 (DEX) 是不允许的,因此无法进行定期审查。最佳实践是了解“公平启动”代币的具体情况——从 DEX 启动的项目。虽然其中许多项目质量很高,但许多项目都表现出色。开源代码使任何人都可以轻松测试和验证智能合约对自己来说是否安全,并为用户提供更多工具来实现良好的安全性。

要求用户实现良好的安全性似乎是一项巨大的壮举,但这是获得加密货币、尤其是 DeFi 的诸多好处所必需的。对于传统银行,银行负责安全,但对于加密货币,安全性取决于开发人员和用户的实践。

如果您忘记了银行密码或将资金汇给了错误的人,您可以联系您的银行以缓解交易问题,直至问题得到解决。但在加密货币中,如果您丢失密钥或将钱发送到错误的地址,则没有备份选项。当然,好处之一是,你不必担心你的资金会以加密货币形式存在,而银行可以关闭并实施资本管制,就像 2015 年希腊银行业危机期间发生的那样。

结论

作为开发人员,我们需要进行安全测试和交叉验证,并让彼此负责开发改进的安全实践。

用户应考虑实施自己的安全协议并了解存储的细微差别和潜在的攻击场景。对于被动加密货币持有者来说,良好的做法是将硬件钱包与互联网或 100% 离线且不需要在线同步固件更新的纸钱包断开连接。

网络钓鱼攻击是互联网攻击的早期形式之一,目前仍然广泛且常见。打击网络钓鱼尝试的一种方法是验证发件人的真实性。

请勿在任何网站上输入您的私钥或助记词,也不要通过公共渠道或私信将其发送给任何人。一般来说,您应该只在第一次设置钱包时输入助记词。此外,只有在忘记密码后需要恢复钱包、将现有钱包导入新设备或使用兼容的钱包软件时,才应输入助记词。一般来说,您应该使用永远不会将种子提供给任何类型软件的硬件钱包设备——即使是受信任的钱包应用程序或软件也不会被黑客攻击。

随着我们继续建设新的(主要是)全球 DeFi 经济,提高安全性非常重要,以便普遍接受和资本可以继续涌入太空,以便下一代能够达到财务独立的新领域。

Kadan Stadelmann 是区块链开发人员、运营安全专家和 Komodo 平台的首席技术官。他的经验范围广泛,从政府部门的安全工作、创办科技初创公司到开发应用程序和密码学。 Kadan 于 2011 年开始区块链技术之旅,并于 2016 年加入 Komodo 团队。

.

.

市场

迫切需要更新区块链安全协议

去中心化金融 (DeFi) 的总锁定价值 (TVL) 超过 100 亿美元,这凸显了人们对这些新金融工具的信任票。这项投资将继续增长,但似乎 TVL 每创下新纪录,就会报告另一次可怕的破坏性网络攻击。

57 年加密货币下跌 2020%,但 DeFi 攻击却急剧增加,给企业和投资者造成了数十亿美元的损失。仅5月份,短短180天内就发生多次攻击,Paid Network损失200亿美元。 XNUMX 月下旬,PancakeBunny 在一次闪贷攻击中损失了 XNUMX 亿多美元。

显然,当前的区块链安全协议存在太多的漏洞和漏洞。从地毯拉扯到欺诈性诈骗,这个领域的安全和技术并不像数字所显示的那么完美。然而,开发人员和用户都可以采取一些重要的做法来填补这一空白。

去中心化技术仍是中心化

无论协议声明得多么去中心化,其基本结构仍然是中心化的。查看我们最重要的互联网功能之一:DNS 记录。每个域名仍然是集中拥有的——由对域名拥有最终权力的政府、州或公司拥有,并且可以根据需要停用它。

去中心化中的中心化的一个例子是智能合约。以太坊或币安的智能合约编写者对代码中的内容拥有最终决定权,并且有多种方法可以将恶意计划(例如拉地毯)编码到智能合约中。

在 2020 年夏天的生产力农场繁荣期间,我们看到许多日志出现,以利用流入 DeFi 的资金,并且今年仍在继续。 2.5月份,TurtleDex进行了地毯式拉动,这实际上是智能合约中的后门,导致投资者被盗XNUMX万美元。这个假定的功能允许开发人员编写作弊程序,然后执行这些作弊程序以响应代码中的其他事件,TurtleDex 是今年以编程方式打破地毯的几个项目之一。

连接的: 利润是每个人都在谈论的话题,但 DeFi 有望改变我们处理金钱的方式

智能合约审计是防止地毯式攻击的好方法,但即便如此,我们也看到开发人员将经过测试的智能合约交给未经测试的智能合约的情况。 compounder 案例展示了一个欺诈项目,该项目可以轻松获取业内知名人士的声誉。他们很快就利用了 Harvest Finance 和 Yearn.finance,然后就对用户进行了掩盖,并带走了数百万美元的加密货币。

连接的: DeFi项目规范审核是行业发展的必须

当前的黑客趋势

除了地毯式拉扯之外,还有许多常见的攻击,如果不做好准备,可能会导致整个公司垮台。 51% 攻击——也就是说,当一群矿工控制了超过 50% 的网络挖矿哈希率,并允许他们取消赎回权或操纵交易记录以双重支出或破坏链块时——之前仍然经常发生。 Firo 和 Grin 最近都遭受了 51% 的攻击。

即使是一些顶级加密项目也是不安全的。今年 200 月,有报道称 Verge 网络上 100 天的 XVG 交易被删除,这实际上是“前 XNUMX 名加密货币中有史以来最深刻的事件”。

我们接受这些错误作为区块链体验的一部分,但例如,如果同样的事情发生在一家大型银行上,会有什么反应?可能会成为大量媒体头条新闻,并引起用户和客户的骚动。由于用户较少,这些事件在加密货币中基本上未被注意到,但随着最近的牛市,这种情况正在发生变化。不可避免地,公共区块链的安全性正在受到更严格的审查。

黑客预防方法,如地毯拉动 kéo

不幸的是,在加密领域工作时,黑客攻击始终是开发人员的一个选择。问题不是如何防止黑客攻击,而是如何防止自己被黑客攻击。硬件钱包的多项进步(例如 Gnosis Safe 的多重签名钱包)是提高整体安全性的关键驱动力。

使用多重签名钱包允许多个用户持有同一个钱包的密钥,并且需要双方参与才能对帐户执行操作。由于像这样的钱包需要多个用户输入才能进行交易,因此几乎不可能用这种类型的保险箱拉地毯。

另一种防止地毯被拉扯的安全方法是时间锁。许多去中心化应用程序都使用超时,因此如果开发人员试图吸引用户,您将在大约 12 到 24 小时内收到警报,要求清除代币。

这些类型的安全实践将促进对 DeFi 的更广泛信任,并创造一种能够推动我们行业发展的安全文化。

提高加密钱包的安全性

钱包的安全最终取决于使用更聪明方法的开发者和用户。定期的安全审查和内部安全实践都有助于使钱包更加安全。

虽然安全审查是一个很好的解决方案,但 Uniswap 和其他基于自动化做市商的去中心化交易所 (DEX) 是不允许的,因此无法进行定期审查。最佳实践是了解“公平启动”代币的具体情况——从 DEX 启动的项目。虽然其中许多项目质量很高,但许多项目都表现出色。开源代码使任何人都可以轻松测试和验证智能合约对自己来说是否安全,并为用户提供更多工具来实现良好的安全性。

要求用户实现良好的安全性似乎是一项巨大的壮举,但这是获得加密货币、尤其是 DeFi 的诸多好处所必需的。对于传统银行,银行负责安全,但对于加密货币,安全性取决于开发人员和用户的实践。

如果您忘记了银行密码或将资金汇给了错误的人,您可以联系您的银行以缓解交易问题,直至问题得到解决。但在加密货币中,如果您丢失密钥或将钱发送到错误的地址,则没有备份选项。当然,好处之一是,你不必担心你的资金会以加密货币形式存在,而银行可以关闭并实施资本管制,就像 2015 年希腊银行业危机期间发生的那样。

结论

作为开发人员,我们需要进行安全测试和交叉验证,并让彼此负责开发改进的安全实践。

用户应考虑实施自己的安全协议并了解存储的细微差别和潜在的攻击场景。对于被动加密货币持有者来说,良好的做法是将硬件钱包与互联网或 100% 离线且不需要在线同步固件更新的纸钱包断开连接。

网络钓鱼攻击是互联网攻击的早期形式之一,目前仍然广泛且常见。打击网络钓鱼尝试的一种方法是验证发件人的真实性。

请勿在任何网站上输入您的私钥或助记词,也不要通过公共渠道或私信将其发送给任何人。一般来说,您应该只在第一次设置钱包时输入助记词。此外,只有在忘记密码后需要恢复钱包、将现有钱包导入新设备或使用兼容的钱包软件时,才应输入助记词。一般来说,您应该使用永远不会将种子提供给任何类型软件的硬件钱包设备——即使是受信任的钱包应用程序或软件也不会被黑客攻击。

随着我们继续建设新的(主要是)全球 DeFi 经济,提高安全性非常重要,以便普遍接受和资本可以继续涌入太空,以便下一代能够达到财务独立的新领域。

Kadan Stadelmann 是区块链开发人员、运营安全专家和 Komodo 平台的首席技术官。他的经验范围广泛,从政府部门的安全工作、创办科技初创公司到开发应用程序和密码学。 Kadan 于 2011 年开始区块链技术之旅,并于 2016 年加入 Komodo 团队。

.

.

访问 68 次,今天 1 次访问

发表评论