Autor: Wu Shuo
Zaprosiliśmy Tommy’ego, badacza z Bitget, i Lisę, lidera operacyjnego zespołu ds. bezpieczeństwa SlowMist, aby omówić ocenę ryzyka notowań walut na giełdzie, kwestie bezpieczeństwa w łańcuchu oraz sposoby, w jakie inwestorzy mogą chronić swoje aktywa. Obaj goście podzielili się swoimi doświadczeniami w ocenie nowych projektów, monitorowaniu notowanych na giełdzie tokenów i radzeniu sobie z atakami hakerów, omówili także zagrożenia bezpieczeństwa, na które inwestorzy i instytucje muszą zwracać uwagę na obecnym rynku kryptowalut oraz jak korzystać z nowych narzędzi w celu poprawy bezpieczeństwa. seks.
wstęp otwierający
Tommy:
Cześć wszystkim, jestem badaczem pracującym na giełdzie kryptowalut Bitget od dwóch i pół roku. Bitget zaczynał z zespołem liczącym zaledwie od dwustu do trzystu osób, a jego główną działalnością był handel kontraktami i dokumentami. Obecnie produkty kontraktowe stanowią prawie 27% rynku, a platforma ma ponad 30 milionów odwiedzin miesięcznie w w pełni ekologiczną platformę handlu kryptowalutami. Ma ponad 25 milionów zarejestrowanych użytkowników w ponad 100 krajach i regionach na całym świecie.
W mojej ponad dwuletniej praktyce zawodowej, poza organizowaniem sesji udostępniania dla klientów VIP, prawie nigdy nie produkowałem PPT. Zespół zawsze ceni efektywność i orientację na wyniki, a nie formalne prezentacje i uciążliwe raportowanie. Członkowie zespołu naszego instytutu mają różnorodne umiejętności, w tym największe talenty, które dobrze radzą sobie z projektowaniem i wdrażaniem produktów DeFi, a także ekspertów z głębokim doświadczeniem w analizie danych on-chain.
Lisa:
Witam wszystkich, jestem Lisa, szefowa operacji Slow Mist. SlowMist to wiodąca w branży firma zajmująca się bezpieczeństwem blockchain, posiadająca rozległe doświadczenie w zakresie bezpieczeństwa w łańcuchu i poza łańcuchem, a także zgromadziła wiele lat informacji o zagrożeniach. Slow Mist dostarcza głównie „rozwiązania w zakresie bezpieczeństwa, które integrują wykrywanie zagrożeń z obroną przed zagrożeniami i są dostosowane do warunków lokalnych, takie jak audyty bezpieczeństwa oraz usługi śledzenia i identyfikowalności w zakresie przeciwdziałania praniu pieniędzy. Nazwa Slow Mist pochodzi od „Problemu trzech ciał”, a Slow Strefa Mgły jest częścią Problemu Trzech Ciał. Bezpieczny obszar symbolizuje również, że Slow Mist jest bezpiecznym obszarem w niebezpiecznym „ciemnym lesie” blockchain. Założyliśmy także społeczność białych kapeluszy zwaną „Slow Mist Zone”, która obecnie uczestniczy w nim ponad 300 000 osób.
Jak przeprowadzić ocenę ryzyka przed wystawieniem na giełdę? Czy strategie ewaluacji różnią się w przypadku nowych projektów i dobrze znanych projektów?
Tommy:
Ocena ryzyka Bitget jest prowadzona przez instytut badawczy i wspomagana przez zespoły audytu i kontroli ryzyka. Najpierw kompleksowo przeanalizujemy przebieg projektu, pochodzenie zespołu i historię kapitału. Jeśli projekt obejmuje czerwone linie kontroli ryzyka Bitget, takie jak pornografia, hazard, nadużywanie narkotyków lub czynniki wrażliwe politycznie, odrzucimy go bezpośrednio. Poza tym odrzucane będą także projekty, które zostały pozwane przez SEC lub mają negatywną reputację, jak np. Pulsechain (PLS). Choć przed TGE był on bardzo popularny, to również chwilowo odmówiliśmy współpracy ze względu na jego spory z SEC i negatywne recenzje .
Po drugie, ocenimy tokenowy model ekonomiczny projektu, FDV w momencie premiery i kapitalizację rynkową początkowego obrotu. Jeżeli wartości te będą zbyt wysokie, możemy odrzucić lub wymagać korekt. Projekty o dużej wartości rynkowej i niskim potencjale często powodują, że inwestorzy indywidualni stają się przejęciami. Niedawno zaobserwowaliśmy również, że ceny niektórych dobrze finansowanych monet VC spadły o 90% po uruchomieniu. Będziemy również unikać takich tokenów w przyszłości. Jednak w każdym przypadku trudno jest dokładnie przewidzieć przyszły trend projektów lub tokenów, a straty traderów możemy jedynie zminimalizować poprzez metodologię.
W przypadku projektów, które nie są początkowe, zwłaszcza niedawno wprowadzonych na rynek Memecoinów, zwrócimy szczególną uwagę na ryzyko kontraktowe, koncentrację żetonów, blokadę puli LP itp. W przypadku powstających projektów będziemy bardziej ostrożni, ale jednocześnie będziemy tolerancyjni wobec innowacji. Na przykład pierwszy internetowy UNIBOT firmy Bitegt. Początkowo UNIBOT zachował prawa umowne, takie jak „zmienny podatek od transakcji, mechanizm czarnej/białej listy”. ze względu na potrzeby projektowe samego projektu istnieją pewne wady, ale po przeanalizowaniu modelu przychodów Unibota zespół badawczy uważa, że projekt ma pewną trwałość i nie ma powodu do Rug, więc w końcu trafił mocno do Internetu i został wprowadzony. dobre zyski dla traderów; kolejny przykład. Jest to ORDI. Oceniamy, że innowacja BRC-20 może reaktywować ekosystem Bitcoin i zyskać wsparcie grupy górników.
Jak oceniać monety VC i monety społeczności? Jak widzisz różnicę między nimi?
Tommy:
Z perspektywy biznesowej głównym celem Bitget jest zapewnienie użytkownikom szerokiego wyboru aktywów i możliwości inwestycyjnych przy jednoczesnym utrzymaniu ryzyka pod kontrolą. Niektóre VC Coiny cieszyły się w czasach TGE dużą popularnością, jednak w ocenie uznano, że ich koncepcje lub projekty ekonomiczne tokenów nie były wystarczające do wsparcia ich FDV; jednakże jeżeli tokeny te nie będą notowane w Internecie, mogą budzić wątpliwości użytkownikom, zwłaszcza inwestorom detalicznym i dużym klientom, kiedy powinniśmy zapewnić tego typu możliwości. To użytkownik decyduje, czy kupić, czy nie, i musimy zapewnić mu również taką możliwość. W przypadku tokenów o wyższej kapitalizacji rynkowej zazwyczaj uruchamiamy kontrakty w dniu notowania lub następnego dnia, aby inwestorzy mogli zająć pozycję długą lub krótką.
Wewnętrznie będziemy traktować na poziomie S projekty najwyższej klasy o dużym natężeniu ruchu i ogromnym potencjale wzrostu. Jeśli projekt cieszy się dużym ruchem i dużym finansowaniem, ale produkt nie jest wystarczająco solidny lub wyniki społeczności są przeciętne, obniżymy mu ocenę do A. Chociaż projekty na poziomie A nie będą promowane tak mocno, jak projekty na poziomie S, z perspektywy wymiany takie projekty nadal są warte umieszczenia.
Jak na bieżąco monitorować wyniki i ryzyko projektu po umieszczeniu go na liście?
Lisa:
W porównaniu z pełnymi audytami łańcucha publicznego lub audytami inteligentnych kontraktów, SlowMist będzie zwracać większą uwagę na zagrożenia bezpieczeństwa aktywów, pomagając giełdom w ocenie notowań walut. Względy techniczne są sprawą najwyższej wagi. Na przykład sprawdzamy bezpieczeństwo naszego kodu źródłowego, aby zapewnić jego ciągłą konserwację i aktualizację. Przykładowo zwrócimy uwagę na bezpieczeństwo liczb losowych klucza prywatnego i zadbamy o to, aby zostało użyte wiarygodne źródło liczb losowych, jednocześnie sprawdzimy bezpieczeństwo kryptografii i potwierdzimy, że zastosowany algorytm został sprawdzony przez branży oraz że komponenty kryptograficzne są dojrzałe i niezawodne. Bardzo poważnie podchodzimy także do ryzyka związanego z modelami gospodarczymi, takiego jak potencjalne piramidy finansowe czy spirale śmierci. Oczywiście kluczowe jest także ryzyko zespołowe, zwłaszcza czy istnieją specjalne uprawnienia, czy nadmierna koncentracja tokenów, co może skutkować ryzykiem ucieczki lub załamania rynku.
Giełdy są często celem hakerów, którzy często umieszczają swoje serwery za systemami obronnymi, a podstawowe usługi zarządzania funduszami wymagają nawet hostingu offline. Jednak ze względu na rygorystyczne wymagania systemu blockchain dotyczące integralności danych, niektóre złośliwe transakcje mogą ominąć ochronę systemu bezpieczeństwa urządzeń peryferyjnych, prowadząc do problemów z fałszywym doładowaniem. Typowe metody ataków na fałszywe doładowania obejmują fałszywą walutę, zwłaszcza gdy istnieją luki w logice oceny giełdy w przypadku niektórych przelewów transakcji walutowych. Osoba atakująca może skonstruować fałszywą transakcję doładowania, powodując, że giełda pomyli ją z legalnym doładowaniem, a tym samym zasili konto użytkownika. Ponadto wykorzystywanie funkcji RBF w protokole Bitcoin do wykonywania fałszywych doładowań jest również powszechną techniką. Osoby atakujące zastępują poprzednie transakcje płaceniem wyższych opłat, co powoduje błędną ocenę giełdy i utratę aktywów.
Należy zauważyć, że fałszywy atak polegający na doładowaniu nie jest luką w zabezpieczeniach łańcucha bloków, ale osoba atakująca wykorzystuje pewne cechy łańcucha bloków do skonstruowania specjalnej złośliwej transakcji. Aby zapobiec fałszywym atakom związanym z doładowaniem, można zastosować ręczny przegląd, szczególnie w przypadku dodatkowego przeglądu transakcji na dużą kwotę lub transakcji wysokiego ryzyka. Ponadto, przeprowadzając certyfikację bezpieczeństwa i regularne przeglądy zewnętrznych interfejsów API w celu zapewnienia bezpieczeństwa API, można również skutecznie uniknąć nieautoryzowanego dostępu i potencjalnych podatności.
Tommy:
Po uruchomieniu projektu, jeśli pojawią się zagrożenia, rynek zareaguje szybciej, Bitget od razu podejmie dyskusję, czy pilnie wycofać projekt z giełdy i podjąć działania mające na celu ochronę użytkowników. Monitorujemy również wydajność wszystkich wymienionych tokenów i ostatnio zaczęliśmy wzmacniać zarządzanie w tym obszarze. W przyszłości może pojawić się więcej tokenów ST (specjalnego traktowania).
Jeśli te tokeny ST nie poprawią swoich fundamentów lub płynności w określonym terminie, rozważymy ich usunięcie z listy. Wiele projektów osiąga słabe wyniki po uruchomieniu. Strony projektu mogą „ponieść porażkę” i przestać aktywnie promować projekt, co prowadzi do pogorszenia głębokości rynku. Początkujący użytkownicy napotkają duże poślizgi przy kupnie i sprzedaży, co poważnie wpłynie na wygodę użytkownika. Aktywnie pracujemy nad rozwiązaniem tego problemu.
Jeśli chodzi o przeciwstawienie się ryzyku związanemu z tokenem, wykonujemy więcej pracy przed wystawieniem tokena na giełdę. Podczas pierwszej fali szaleństwa na temat tokenów Meme firma Bitget odrzuciła wiele tokenów Meme wysokiego ryzyka, takich jak nieuzasadnione metody dystrybucji, nadmierne posiadanie tokenów przez strony projektu i sfałszowane dane adresowe przechowywania walut w łańcuchu. Nawet jeśli zespół projektowy zaoferował uiszczenie opłaty za ogłoszenie, odmówiliśmy połączenia internetowego.
Z jakimi typowymi incydentami związanymi z bezpieczeństwem w łańcuchu poradził sobie SlowMist?
Lisa:
Od momentu założenia SlowMist zajęliśmy się dużą liczbą incydentów związanych z bezpieczeństwem w łańcuchu. Poniżej przedstawiam dwa typy przypadków: jeden to przypadek ataku na zespół projektowy, drugi to przypadek kradzieży danych osobowych użytkownika.
Pierwszym był incydent Poly Network z 2021 r., który był jednym z najkosztowniejszych ataków w tamtym czasie i kosztował 610 mln dolarów. Po incydencie firma Poly Network opublikowała wiadomość o ataku około godziny 20:00 tego wieczoru, a Tether natychmiast zamroził część USDT na adresie hakera około godziny 21:00. Około godziny 23:00 tego wieczoru odkryliśmy część tożsamości i adresu IP atakującego i rozpoczęliśmy śledzenie przepływu środków. Następnego popołudnia hakerzy zaczęli zwracać środki. To wydarzenie jest kamieniem milowym dla Slow Mist. W związku z tym incydentem podsumowaliśmy zestaw procesów ostrzegania i obrony w sytuacjach awaryjnych, w tym szybkiego reagowania i przeciwdziałania praniu pieniędzy w łańcuchu, w celu ograniczenia strat i zablokowania aktywów.
Innym rodzajem spraw są kradzieże osobiste użytkowników. W lutym tego roku zgłosił się do nas użytkownik i oświadczył, że został zhakowany. Hakerzy udawali reporterów znanych mediów i namawiali ofiary do klikania łączy zawierających złośliwe skrypty, ostatecznie kradnąc uprawnienia i fundusze ofiar. Ofiara skontaktowała się z nami po kradzieży i upubliczniła swoje przeżycia. Po odkryciu, że środki zostały przelane na giełdę, natychmiast skontaktowaliśmy się z giełdą, aby ją tymczasowo zamrozić. Chociaż proces składania sprawy był skomplikowany, trzy i pół miesiąca później ofierze udało się odzyskać skradzione fundusze. To pierwsza sprawa w historii tajwańskiego sądownictwa, która pomogła organom ścigania w zamrożeniu funduszy i zwróceniu ich ofiarom poprzez analizę śledzenia i potwierdzenie posiadania portfeli bez konkretnych informacji o podejrzanych.
Na podstawie tych przypadków chciałbym podzielić się pewnymi doświadczeniami. Jeśli niestety zostanie skradziony, musisz najpierw zatrzymać stratę na czas, aby sprawdzić, czy nadal jest szansa na jego uratowanie. Na przykład, jeśli autoryzacja zostanie skradziona, natychmiast anuluj autoryzację; w przypadku kradzieży klucza prywatnego lub frazy mnemonicznej natychmiast przenieś pozostałe zasoby; jeśli komputer zostanie zaatakowany przez konia trojańskiego, odłącz sieć tak szybko, jak to możliwe, ale tego nie rób wyłącz komputer, aby ułatwić późniejsze zbieranie dowodów i zmień zapisane dane na komputerze hasło dla każdej platformy oraz zmień portfel. Udokumentuj harmonogram i szczegółowy opis kradzieży, zwróć się o pomoc do zewnętrznego zespołu ds. bezpieczeństwa i po zgłoszeniu sprawy poproś o pomoc organy ścigania. Środki te są ważnymi krokami w celu ochrony Twojego majątku osobistego.
Jak ustalić, czy umowa tokenowa lub projekt interaktywny jest bezpieczna?
Lisa:
Najłatwiej jest spojrzeć na kod. Jeśli jednak nie rozumiesz technologii, jako nowicjusz lub osoba, która nie wie zbyt wiele o technologii, możesz dowiedzieć się więcej o niektórych klasycznych przypadkach phishingu lub oszustwa oraz zidentyfikować ich cechy i formy, aby zwiększyć swoją czujność. Zwróć szczególną uwagę na pułapki w projekcie, takie jak fałszywe tokeny, które można tylko kupić, ale nie sprzedać. Oceniając projekty, należy pamiętać, że wysokie zyski i wysokie zyski zwykle wiążą się z wysokim ryzykiem. Sprawdzenie, czy zespół jest otwarty i przejrzysty oraz czy jego członkowie są dobrze znani, może zmniejszyć prawdopodobieństwo napotkania uciekinierów lub oszustw. Dodatkowo jest to również gwarancja sprawdzenia, czy kod został poddany audytowi bezpieczeństwa. Zaleca się, aby każdy uczestniczył w jak największym stopniu w prowadzeniu projektów, ponieważ nawet w przypadku ataku zwykle istnieje plan kompensacyjny, który może lepiej chronić bezpieczeństwo majątku.
Tommy:
Myślę, że większość przeciętnych graczy prawdopodobnie nie ma możliwości ani czasu na sprawdzenie bezpieczeństwa kodu. Najłatwiej jest skorzystać z niezawodnych narzędzi innych firm, takich jak GoPlus, które obsługują wiele sieci, zwłaszcza sieci EVM. Użytkownicy Solany mogą wypróbować RugCheck i gmgn ai, które mogą pomóc w wykryciu ryzyka związanego z tokenami. Podczas spekulacji w łańcuchu niektóre tokeny mogły nie mieć opublikowanych kontraktów lub mogą zachować uprawnienia do modyfikowania podatków transakcyjnych, co może prowadzić do pewnych złych zachowań, takich jak dostosowanie przez strony projektu stawki podatku od sprzedaży do 99% lub 100 po dużym napływie środków, jest to również oszustwo.
Ponadto portfele niepowiernicze, takie jak Bitget Wallet, mają teraz również wbudowane funkcje przypominania o ryzyku. Podczas handlu tokenami wysokiego ryzyka będziesz otrzymywać przypomnienia, co jest bardzo przyjazne dla początkujących użytkowników. Dla osób zajmujących się zarządzaniem finansami DeFi, oprócz znanych projektów, zwrócę także uwagę na TVL projektu. Jeśli projekt ma TVL przekraczający 50 milionów dolarów, mógłbym rozważyć wzięcie w nim udziału, ale należy pamiętać, czy będzie to możliwe dzięki wkładom wielu użytkowników, czy tylko jednemu lub dwóm dużym portfelom. TVL przekracza dużą pulę kilkudziesięciu milionów dolarów i nawet w przypadku wystąpienia pokusy nadużycia problem można łatwiej rozwiązać.
Jakie są zalecenia dotyczące bezpieczeństwa operacji w łańcuchu dla zwykłych użytkowników i użytkowników instytucjonalnych?
Tommy:
Dla zwykłych użytkowników moje sugestie są następujące: Po pierwsze, odwiedzając witrynę, dokładnie sprawdź autentyczność adresu URL. Po drugie, autoryzując tokeny, unikaj nieograniczonej autoryzacji i anuluj autoryzację kontraktową dla małych projektów w odpowiednim czasie. Jeśli nie uczestniczysz w operacjach DeFi, możesz wybrać scentralizowaną giełdę z certyfikatami rezerwowymi do prostych operacji zarządzania finansami. Jeśli jesteś posiadaczem Bitcoina, dobrym wyborem będzie korzystanie z portfela sprzętowego.
Użytkownicy instytucjonalni są na ogół bardziej świadomi środków bezpieczeństwa, ale nadal zaleca się korzystanie z portfeli z wieloma podpisami i ścisłe zarządzanie uprawnieniami. Kiedy nastąpi incydent związany z bezpieczeństwem, ważne jest, aby szybko mu zaradzić i unikać przeoczenia drobnych problemów, ponieważ mogą one prowadzić do większych strat. Ważne jest również zatrudnianie profesjonalnych pracowników ochrony do przeprowadzania audytów i ocen bezpieczeństwa, takich jak współpraca z agencjami ochrony w celu przeprowadzenia testów penetracyjnych.
Lisa:
Jeśli chodzi o operacje w łańcuchu, bezpieczeństwo portfela jest kluczowe. Kradzież zasobów portfela dzieli się zazwyczaj na trzy kategorie: kradzież klucza prywatnego lub frazy mnemonicznej, wyłudzenie autoryzowanego podpisu oraz manipulowanie adresem docelowym transferu.
Kluczem do zapobiegania kradzieży kluczy prywatnych i fraz mnemonicznych jest unikanie używania fałszywych portfeli. Wielu użytkowników zdobywa portfele poprzez reklamy w wyszukiwarkach lub strony pobierania stron trzecich. Kanały te niosą ze sobą ryzyko kradzieży fraz mnemonicznych klucza prywatnego. Ponadto złośliwe rozszerzenia przeglądarki mogą również kraść informacje uwierzytelniające użytkownika i wrażliwe dane. Zaleca się, aby użytkownicy instalowali tylko rozszerzenia z zaufanych źródeł, używali różnych przeglądarek w celu odizolowania przeglądania wtyczek od transakcji finansowych oraz regularnie sprawdzali swoje urządzenia za pomocą oprogramowania antywirusowego.
Jeśli chodzi o phishing, najczęstszym jest ślepy podpis, co oznacza, że użytkownik podpisuje się, nie znając treści. Zwłaszcza w przypadku podpisów offline użytkownicy często myślą, że podpis nie znajduje się w łańcuchu i nie zużywa gazu, więc tracą czujność, co prowadzi do kradzieży środków. Ślady autoryzacji w postaci podpisów offline są widoczne jedynie w adresie phishera i są trudne do wykrycia przez ofiary.
Istotą zapobiegania ryzyku operacyjnemu w łańcuchu są nazwy domen i podpisy. Zaleca się, aby użytkownicy dołożyli wszelkich starań, aby „zobaczyć, co podpisują” i nie podpisywali w ciemno. Jeśli nie rozumiesz treści podpisu, najlepiej zrezygnuj. Ponadto środki takie jak instalacja oprogramowania antywirusowego, włączenie uwierzytelniania dwuskładnikowego i ostrożne klikanie nieznanych linków mogą również poprawić bezpieczeństwo konta. Wreszcie, popraw świadomość bezpieczeństwa poprzez studia przypadków. Nie działaj pochopnie pod wpływem impulsu emocjonalnego. W razie wątpliwości skonsultuj się z wieloma stronami, aby zapewnić bezpieczeństwo. Warto przeczytać „Podręcznik samopomocy Blockchain Dark Forest” napisany przez Yu Xiana, założyciela Slow Mist.
Jakie są typowe zagrożenia bezpieczeństwa w transakcjach Memecoins?
Tommy:
W celu przedsprzedaży Memecoina wielu traderów szybko wejdzie na rynek już w momencie otwarcia, przeglądając boty, samodzielnie napisane kody lub korzystając z platform takich jak gmgn ai. Jednakże zespół projektowy może z różnych powodów opóźnić czas otwarcia, przez co wiele osób będzie polować na fałszywe tokeny. Tokeny miały tę samą nazwę i obraz, a zanim prawdziwe tokeny zostały otwarte, na rynku było już cztery lub pięć fałszywych tokenów gotowych do ucieczki. Dlatego biorąc udział w tym niezwykle popularnym tokenie przedsprzedażowym, musisz poczekać, aż umowa potwierdzona przez zespół projektowy pojawi się online, w przeciwnym razie łatwo zostaniesz oszukany.
Obecnie zrzeczenie się praw wynikających z umów na monety Meme, rozproszenie żetonów i zniszczenie LP stały się podstawowymi wymaganiami. Meme Traderzy bardzo rygorystycznie przestrzegają tych wymagań. Gdy odkryją, że osoby z podejrzanej strony projektu dokonały zakupu z wyprzedzeniem, inni nie będą chcieli wziąć w nim udziału.
Uważam, że oprócz tych podstawowych wymagań płynność puli LP musi wynosić co najmniej 300 000–500 000 dolarów, co stanowi minimalny standard. Małe dywaniki basenowe są niezwykle ryzykowne i dają ograniczone zyski. Ponadto FDV podczas TGE nie może być zbyt wysokie. Jeśli Memecoin ma niewielki wolumen transakcji w łańcuchu i niewiele dyskusji w mediach społecznościowych, ale ma dziesiątki milionów FDV, jest to bardzo podejrzane.
Dodatkowo wielu programistów Memecoin wypuści nie tylko jeden token, ale wiele tokenów jednocześnie. Jeśli deweloper wypuścił wcześniej wiele fragmentów Memecoina, prawdopodobieństwo, że ponownie je wypuści, jest również wysokie. Dlatego każdy powinien uważać na nowe projekty tych deweloperów.
Lisa:
Zabezpieczanie Memecoin w sieciach Ethereum i Solana wiąże się z różnymi rodzajami ryzyka w łańcuchu. Tokeny łańcucha publicznego z serii EVM charakteryzują się większą swobodą w wydawaniu, a logikę tokenów wdrażają programiści; podczas gdy Solana wydaje tokeny za pośrednictwem oficjalnych kanałów, więc ryzyko transakcji w łańcuchu również jest inne.
Typowe typy ryzyka obejmują złośliwe tokeny i tokeny Rug Pull. Na przykład niektóre Memecoiny są szeroko omawiane, ale gdy użytkownicy chcą sprzedać, okazuje się, że adres został zablokowany i nie można go sprzedać. Tokeny te często ograniczają transfery, ustawiając specjalną logikę, która uniemożliwia użytkownikom sprzedaż tokenów. Ponadto tokeny Rug Pull mogą zawierać dużą ilość logiki backdoora służącej do wydawania dodatkowych tokenów, a strona projektu może wykonywać złośliwe operacje poprzez uprzywilejowane funkcje lub zamrażanie adresów użytkowników.
Jakie nowe technologie i narzędzia są dostępne, aby pomóc użytkownikom poprawić bezpieczeństwo w łańcuchu?
Lisa:
Wspomnieliśmy na początku o Scam Sniffer. Ta wtyczka blokująca ryzyko phishingu jest bardzo przydatna i osobiście z niej korzystam. Ponadto zdecydowanie zalecane są ich narzędzia do zarządzania licencjami. Revoke Cash to także klasyczne narzędzie do anulowania i sprawdzenia autoryzacji. Co więcej, wspomniane przez nas oprogramowanie antywirusowe, takie jak AVG i Kaspersky, również jest stosunkowo niezawodnym wyborem.
Oprócz tych narzędzi do autoryzacji i blokowania phishingu, GoPlus jest także doskonałym narzędziem, które może skutecznie wykrywać dyski Pixiu i monety Pixiu, co gorąco polecam. Ponadto istnieją pewne narzędzia związane z urządzeniem lokalnym, takie jak 1Password, dobrze znany menedżer haseł i narzędzia do uwierzytelniania 2FA, chociaż należy wykonać kopię zapasową ich w przypadku utraty, są one znacznie bezpieczniejsze niż nieużywanie dwóch -uwierzytelnianie czynnikowe.
Ponadto chciałbym również polecić system śledzenia prania pieniędzy MistTrack firmy SlowMist. Uruchomiliśmy narzędzie do wykrywania Black U oparte na MistTrack, które pozwala użytkownikom zobaczyć swój wynik poprzez wprowadzenie adresu transakcji, co pomaga zidentyfikować i uniknąć ryzyka prania pieniędzy.
Narzędzia te mogą pomóc w poprawie bezpieczeństwa w łańcuchu, ale nie mogą zagwarantować absolutnego bezpieczeństwa. Nowe wersje mogą zawierać błędy lub nawet zawierać backdoory. Dlatego zalecam samodzielne myślenie podczas korzystania z tych narzędzi, praktykowanie zasad zerowego zaufania i ciągłą weryfikację. To nastawienie jest niezwykle istotne, ponieważ należy pamiętać, że nie ma czegoś takiego jak absolutne bezpieczeństwo.
Gdzie jeszcze Twoim zdaniem branża kryptowalut powinna wzmocnić środki bezpieczeństwa?
Lisa:
Branża szyfrująca nie może ignorować kwestii bezpieczeństwa. Jeden błąd może skutkować stratą wielomilionowych dolarów, co może skutkować paraliżem projektu lub osobistym bankructwem. Wszystkie dziedziny narażone są na ryzyko ataków hakerskich. Ze względu na efekt beczki bezpieczeństwa wzmocnienie środków bezpieczeństwa jest ogólną potrzebą, ponieważ każde ogniwo – w tym użytkownicy, strony projektu i łańcuchy dostaw – jest kluczowe i w żadnym łączu nie może być żadnych braków w zakresie bezpieczeństwa. Jakiekolwiek pominięcie zniszczy całe zamknięte pętla bezpieczeństwa, która wymaga połączenia obrony technicznej + obrony ręcznej w celu uzyskania pełnej, systematycznej obrony.
Po pierwsze, należy zwiększyć świadomość użytkowników w zakresie bezpieczeństwa. SlowMist zapewnia system przesyłania formularzy skradzionych/oszukanych. Użytkownicy mogą przesłać odpowiednie informacje po kradzieży/oszustwie, a my przeprowadzimy dla nich bezpłatne śledzenie środków i ocenę społeczności. Dzięki tym opiniom odkryliśmy, że należy pilnie poprawić świadomość wielu użytkowników w zakresie bezpieczeństwa. Mają tendencję do ignorowania incydentów i przypomnień związanych z bezpieczeństwem, są zanurzeni w emocjach FOMO i nie rozumieją powszechnych metod ataku.
Zarówno strony projektu, jak i indywidualni użytkownicy muszą zrozumieć powszechne metody ataków i z wyprzedzeniem opracować plany awaryjne, aby można było zlokalizować i opanować problemy w momencie wystąpienia strat. W SlowMist rozpowszechniamy wiedzę na temat bezpieczeństwa za pośrednictwem „Podręcznika samoratowania Blockchain Dark Forest” i Twittera, ale wielu użytkowników bardziej interesuje się funduszami niż dogłębnym zrozumieniem kwestii bezpieczeństwa. Wymaga to wspólnych wysiłków wszystkich stron w celu zapewnienia lepszej ochrony bezpieczeństwa środków użytkowników.
Ostatnio na Twitterze pojawiło się wiele komentarzy phishingowych ze strony fałszywych stron zajmujących się projektami. Inżynierowie SpaceX uruchomili nową funkcję, która pozwala użytkownikom wyłączać linki w odpowiedziach, co jest skutecznym środkiem bezpieczeństwa, który znacznie zmniejsza ryzyko phishingu. Są to pozytywne zmiany w branży i mam nadzieję, że w przyszłości będzie więcej takich usług bezpieczeństwa, które pomogą użytkownikom ulepszyć ich możliwości zapobiegania zagrożeniom.
Tommy:
Jako praktyk, użytkownik i gracz mam nadzieję, że produkty narzędziowe będą mogły być stale ulepszane, aby zmniejszyć moje obawy dotyczące kwestii bezpieczeństwa. Oczekuję, że te narzędzia będą mnie ostrzegać w przypadku pojawienia się ryzyka, a nawet bezpośrednio zapobiegać potencjalnie niebezpiecznym operacjom. Takie podejście jest bardziej przyjazne dla użytkownika i uważam, że doświadczenie Web3 w końcu osiągnie lub nawet przekroczy obecny poziom Web2.
Tylko wtedy, gdy coraz więcej użytkowników zewnętrznych będzie mogło płynnie zintegrować się z dziedziną Crypto, branża ta będzie mogła naprawdę się rozwijać i rozwijać. Ulepszenie tej infrastruktury może nie tylko pomóc użytkownikom przeciwstawić się zagrożeniom, ale także zapewnić nowym użytkownikom lepsze doświadczenia i uniknąć oszukania i powodowania oporu całej branży.