jakiro
مقدمة
خططت OKX Web3 Wallet خصيصًا لعمود “Safety Special Issue” لإجراء إجابات خاصة على أنواع مختلفة من أسئلة أمان السلسلة.من خلال الحالات الأكثر واقعية حول المستخدم ، تتم مشاركتها بشكل مشترك مع الخبراء أو المؤسسات في مجال الأمن.
أكبر سحر في العالم هو أن كل شخص لديه القدرة على أن يصبح “حوت عملاق”
لكن حتى “الحوت العملاق” لا يمكن أن يكون عنيدًا.
لذلك ، اللعب على السلسلة ، السلامة أولا
خلاف ذلك ، عليك “بدء وظيفة” ~
هذه القضية هي العدد الخامس من السلامة الخاصة استراتيجية التحوط Defi.على سبيل المثال ، كيفية النظر إلى تقارير التدقيق ، والتقييم الأولي للمؤشرات والمعلمات ، أو أطراف المشروع أو مستخدمي الحوت العملاقة ، وكيفية بناء قدرة إدراك المراقبة ، ورموز حماية الأمان Defi ، وما إلى ذلك ، لا تفوتها!
Blocksecفريق الأمن:Blocksec هو مزود خدمة الأمن “الكامل” الرائد في العالم في الأموال.
المدير التنفيذي لشركة Locksec & Amp ؛CTO & AMPكان مدير المنتج ريموند مسؤولاً عن المنتجات الآمنة في Tencent و 360.
OKX Web3فريق سلامة المحفظة:مرحبًا بالجميع ، أنا سعيد جدًا بإجراء هذه المشاركة.يعد فريق أمان OKX Web3 مسؤولاً بشكل أساسي عن إنشاء أنواع مختلفة من إمكانات الأمان في مجال Web3 ، مثل تدقيق أمان العقد الذكي ، وبناء قدرة أمان المحفظة ، ومراقبة السلامة للمشروع على السلسلة. البيئة الأمنية في blockchain بأكملها.
س 1: شارك بعض اللقاءات الحقيقية للمستخدمينDefiحالة المخاطر
Blocksecفريق الأمن:اجتذب Defi العديد من الأسر الكبيرة لأنها تجلب عوائد عالية نسبيا إلى الأصول.من أجل تحسين السيولة ، ستدعو العديد من أطراف المشروع أيضًا بنشاط الأسر الكبيرة للاستقرار.على سبيل المثال ، يمكننا في كثير من الأحيان رؤية تقارير إخبارية تفيد بأن بعض الأسر الكبيرة يتم تخزينها في أصول ضخمة في Defi.بالطبع ، عند المشاركة في مشروع Defi ، ستواجه هذه الحيتان العملاقة أيضًا بعض المخاطر بالإضافة إلى فوائد مستقرة.بعد ذلك ، نشارك بعض الكشف عن حالات مخاطر Defi:
الحالة 1: في حادثة أمن Polynetwork في عام 2022 ، تم هجوم ما مجموعه أكثر من 600 مليون دولار في الأصول.وفقًا للشائعات ، فإن Shenyu لديها أيضًا 100 مليون دولار أمريكي. كن معاناة جدا.على الرغم من أن جزءًا صغيرًا من حادثة الأمن الحالية أمر جيد ، إلا أن معظم أحداث السلامة ليست محظوظة جدًا.
الحالة 2: تم هجوم Dex Sushiswap المعروف في عام 2023. فقد العدد الكبير من الأسر الكبيرة أكثر من 3.3 مليون دولار من الخسائر ، ووصلت خسارته وحدها إلى حوالي 90 ٪ من إجمالي الخسارة.
الحالة 3: في حادثة الأمن في مارس من هذا العام ، كانت الخسارة الإجمالية 14 مليون دولار أمريكي. ٪.معظم هذه الأصول المسروقة لم يتم استردادها.
في التحليل النهائي ، لا يتم تجاهل الشبكة الرئيسية ، خاصةً أن رسوم الغاز لا يمكن تجاهلها. ساهم الحيتان 80 ٪ من TVL.عندما تحدث حادثة الأمن ، فإن هذه الحيتان العملاقة ستحمل حتما معظم الخسائر.”لا يمكنك رؤية الحيتان العملاقة التي تتناول اللحوم ، كما أنها تعرض للضرب”.
OKX Web3فريق سلامة المحفظة:مع ازدهار العالم على السلسلة ، فإن حالات مخاطر Defi التي يواجهها المستخدمون تزداد أيضًا يومًا بعد يوم.
الحالة 1: حساب امتياز PlayDapp حادث تسرب المفتاح الخاص.من 9 إلى 12 فبراير ، 2024 ، تعرضت منصة لعبة PlayDapp على أساس Ethereum بسبب تسربات رئيسية خاصة.أضاف المهاجم Coinkers جديد إلى رمز PLA ، وألقى عددًا كبيرًا من PLA ، ومتناثر إلى عناوين وتبادلات سلسلة متعددة.
القضية 2: حدث هجوم تمويل هدري.في 19 أبريل ، 2024 ، واجه Finance Hedgey نقاط ثغرات أمنية كبيرة في Ethereum والتعريفي ، مما أدى إلى خسارة حوالي 44.7 مليون دولار أمريكي.يستخدم المهاجم العقد لتفتقر إلى ضعف التحقق من مدخلات المستخدم للحصول على إذن الهجوم على الهجوم على الهجوم ، وذلك لسرقة الأصول من العقد.
س 2: هل يمكنك تلخيص التيارDefiيوجد نوع الخطر الرئيسي في هذا المجال
OKX Web3فريق سلامة المحفظة:جنبا إلى جنب مع الحالات الحقيقية ، نقوم بفرز 4 أنواع من أنواع المخاطر المشتركة في حقل Defi الحالي
الفئة الأولى: هجوم الصيد.هجمات الصيد هي نوع شائع في الهجمات الإلكترونية.في مجال Defi ، عادة ما يتم تنفيذ هجمات الصيد بالطرق التالية:
1) مواقع الويب المزيفة: يقوم المهاجم بإنشاء موقع لصيد الأسماك على غرار مشروع Defi الحقيقي لإغراء المستخدمين لتوقيع السلطات أو نقل المعاملات.
2) هجوم الهندسة الاجتماعية: على Twitter ، يستخدم المهاجم حسابات تقليدية عالية أو اختطاف حزب المشروع على Twitter أو حساب Discord لإصدار أنشطة ترويجية خاطئة أو معلومات Airdrop (روابط الصيد بالفعل) لأداء هجمات الصيد على المستخدمين.
3) العقود الذكية الخبيثة: نشر المهاجم عقدًا ذكيًا جذابًا على ما يبدو أو مشروع Defi لإغراء المستخدمين لإخفاء حقوق الوصول الخاصة بهم لسرقة الأموال.
الفئة الثانية: Rugpull.Rugpull هو عملية احتيال فريدة من نوعها في مجال Defi.يحدث Rugpull عادة في التبادل اللامركزي (DEX) ومشاريع تعدين السيولة.تشمل المظاهر الرئيسية:
1) إخلاء السيولة: يوفر المطور كمية كبيرة من السيولة لجذب استثمارات المستخدم في مجموعة السيولة ، ثم يسحب فجأة جميع السيولة ، مما أدى إلى انخفاض أسعار الرمز المميز ، وقد تعرض المستثمرون خسائر فادحة.
2) Project Project: يقوم المطورون بإنشاء مشروع Defi قانونيًا على ما يبدو ، يغوي المستخدمين على الاستثمار من خلال التزامات كاذبة ودخل مرتفع ، ولكن لا يوجد في الواقع أي منتج أو خدمة فعلية.
3) تغيير أذونات العقد: يستخدم المطورون الباب الخلفي أو الأذونات في العقود الذكية لتغيير قواعد العقد أو سحب الأموال في أي وقت.
الفئة الثالثة: ضعف العقد الذكي.العقد الذكي هو رمز التنفيذ التلقائي.إذا كان هناك ثغرة في عقد ذكي ، فسيؤدي ذلك إلى مشكلات أمنية خطيرة.تشمل نقاط الضعف العقد الذكية الشائعة:
1) تعرض الثغرة الأمنية التي تم إدخالها: دعا المهاجم مرارًا وتكرارًا عقد الضعف قبل الانتهاء من المكالمة الأخيرة ، مما تسبب في مشاكل في الحالة الداخلية للعقد.
2) الخطأ المنطقي: تؤدي الأخطاء المنطقية في تصميم العقد أو التنفيذ إلى سلوكيات أو ثغرات غير متوقعة.
3) فائض عدد صحيح لدينا: لا يتعامل العقد بشكل صحيح مع عملية عدد صحيح ، مما يؤدي إلى الفائض أو الفائض.
4) التلاعب في الأسعار: يتعرض المهاجم للهجوم من خلال التلاعب بسعر آلة النبوة.
5) فقدان الدقة: بسبب مشكلة النقطة العائمة أو دقة عدد صحيح ، تحدث أخطاء الحساب.
6) عدم التحقق من المدخلات: الفشل في التحقق من مدخلات المستخدم ، مما يؤدي إلى مشكلات الأمان المحتملة.
الفئة الرابعة: مخاطر الحوكمة.تتضمن خطر الحوكمة قرارًا أساسيًا -اتخاذ القرار والتحكم في المشروع.تشمل أنواع المخاطر الشائعة:
1) تسرب المفتاح الخاص
يتم التحكم في حساب امتياز بعض مشاريع Defi بواسطة EOA (حسابات مملوكة خارجيًا) أو توقيع المزيد من المحافظ.
2) هجوم الحوكمة
على الرغم من أن بعض مشاريع Defi تستخدم حلول الحوكمة اللامركزية ، إلا أن المخاطر التالية لا تزال موجودة:
· الاقتراض للرموز: يمكن للمهاجم التعامل مع نتائج التصويت في فترة زمنية قصيرة عن طريق استعارة كمية كبيرة من الرموز.
· التحكم في الحق في التصويت: إذا كان الرمز مميزًا للغاية في أيدي عدد قليل من الأشخاص ، فيمكن لهؤلاء الأشخاص التحكم في القرار -اتخاذ القرار بأكمله من خلال حقوق التصويت المركزية.
س 3: ما هي الأبعاد أو المعلمات التي يمكن تقييمها بشكل أساسيDefiمستوى السلامة والمخاطر للمشروع؟
Blocksecفريق الأمن:قبل المشاركة في مشروع Defi ، من الضروري إجراء تقييم أمني شامل للمشروع.خاصة بالنسبة للمشاركين الذين يعانون من حجم رأس المال الكبير نسبيًا ، يمكن لدراسات الاستقصاءات اللازمة للخداع الواجب في الأمان ضمان أمان الأموال إلى أقصى حد.
أولاً ، يوصى بتقييم أمن الكود للمشروع بشكل شامل ، بما في ذلك ما إذا كان طرف المشروع قد تم تدقيقه وما إذا كانت شركة التدقيق ذات السمعة الأمنية الجيدة ، وما إذا كان هناك العديد من شركات التدقيق المعنية ، وما إذا كان قد تم تدقيق آخر رمز أم لا.بشكل عام ، إذا تم تدقيق الرمز الذي يعمل عبر الإنترنت من قبل عدد من شركات الأمن التي يتمتع بسمعة طيبة جيدة ، فإنه سيقلل بشكل كبير من خطر الهجوم من قبل الأمن.
ثانياً ، يعتمد ذلك على ما إذا كان حزب المشروع ينشر نظامًا حقيقيًا لمراقبة السلامة في الوقت المناسب.ضمانات تدقيق الأمان ثابتة ولا تحل مشكلة السلامة الديناميكية الناجمة عن المشروع بعد المشروع.على سبيل المثال ، قام طرف المشروع بتعديل معلمات التشغيل الرئيسية للمشروع بشكل غير لائق وأضاف تجمع جديد.إذا كان طرف المشروع يستخدم بعض أنظمة مراقبة السلامة في الوقت المناسب ، فإن عامل الأمان في وقت التشغيل أعلى من الاتفاقية التي لا تعتمد مثل هذا الحل.
ثالثًا ، يعتمد ذلك على ما إذا كان لدى حزب المشروع قدرة استجابة تلقائية في حالات الطوارئ.تم تجاهل هذه القدرة منذ فترة طويلة من قبل المجتمع.لقد وجدنا أنه في حوادث أمنية متعددة ، لم يحقق حزب المشروع ذوبان الوظائف التلقائية (أو ذوبان العمليات الحساسة للصناديق).تستخدم معظم أطراف المشروع طرقًا يدوية للتعامل مع أحداث السلامة في حالات الطوارئ ، وقد ثبت أن هذه الطريقة غير فعالة أو حتى غير صالحة.
رابعًا ، يعتمد ذلك على الاعتماد الخارجي للمشروع وقوة الاعتماد الخارجي.سيعتمد مشروع DEFI على المعلومات التي توفرها مشاريع البارتي الثالثة ، مثل السعر والسيولة.لذلك ، من الضروري تقييم أمان المشاريع من كمية الاعتماد الخارجي ، وأمن المشروع المعتمد على الخارجي ، سواء كان هناك مراقبة للبيانات الخارجية المعتمدة وزاوية معالجة الوقت الحقيقي لتقييم المشاريع.بشكل عام ، فإن طرف مشروع التبعيات الخارجية هو حزب المشروع في مشروع الرأس وسيكون التسامح مع الأخطاء ومعالجة الوقت الحقيقي للبيانات غير الطبيعية للمشاريع الخارجية أكثر أمانًا.
خامسًا ، ما إذا كان حزب المشروع لديه هيكل جيد نسبيًا من حوكمة المجتمع.ويشمل ذلك ما إذا كان لدى حزب المشروع آلية تصويت مجتمعية للأحداث الكبرى ، وما إذا كانت العملية الحساسة قد اكتملت ، وما إذا كانت المحفظة قد أدخلت المشاركة المحايدة للمجتمع وما إذا كان لديها لجنة أمن المجتمع.يمكن أن تعمل هياكل الحوكمة هذه على تحسين شفافية المشروع وتقليل إمكانية وجود أموال المستخدمين في المشروع بواسطة Rugpull.
أخيرًا ، يعد التاريخ التاريخي لحزب المشروع مهمًا جدًا.يجب إجراء التحقيق في الخلفية لفريق المشروع والأعضاء الأساسيين في المشروع.إذا تعرض العضو الأساسي في حزب المشروع للهجوم عدة مرات في السجلات التاريخية السابقة أو السيئة مثل Rugpull ، فستكون المخاطر الأمنية لهذه المشاريع مرتفعة نسبيًا.
باختصار ، قبل المشاركة في مشروع Defi ، يجب على المستخدمين ، وخاصة المشاركين في التمويل الكبير ، القيام بعمل جيد للبحث ، من مراجعة أمن الكود قبل المشروع إلى مراقبة الأمان في الوقت الحقيقي وقدرات الاستجابة التلقائية بعد أن يمر المشروع عبر الإنترنت ، وتفقد أمن الاستثمار الأمني لأمن وأمن حزب المشروع ، يجب علينا القيام بعمل جيد في نقله من منظور الاعتماد الخارجي ، وهيكل الحوكمة ، والتاريخ السابق للمشروع لضمان أمن الأموال المستثمرة في المشروع.
OKX Web3فريق سلامة المحفظة:على الرغم من أنه من المستحيل ضمان أمان مشروع DEFI بنسبة 100 ٪ ، يمكن للمستخدمين في البداية تقييم مستوى السلامة والمخاطر لمشروع DEFI من خلال التماثل المتقاطع للأبعاد التالية.
1. الأمن الفني للمشروع
1. تدقيق العقد الذكي:
1) تحقق مما إذا كان قد تم تدقيق المشروع من قبل شركات تدقيق متعددة ، وما إذا كانت شركة التدقيق تتمتع بسمعة طيبة وخبرة جيدة.
2) تحقق من رقم وشدة التقارير في تقرير التدقيق لضمان إصلاح جميع المشكلات.
3) تحقق مما إذا كان رمز نشر المشروع متوافقًا مع إصدار رمز التدقيق.
2. الكود مفتوح المصدر:
1) عرض ما إذا كان رمز المشروع مفتوحًا.
2) خلفية فريق التطوير: فهم خلفية وتجربة فريق تطوير المشروع ، وخاصة خبرتهم في blockchain والأمن ، وكذلك شفافية الفريق ومستوى المعلومات العامة.
3) خطة مكافأة الضعف: ما إذا كان المشروع لديه خطة مكافأة الضعف لتحفيز الباحثين الأمن على الإبلاغ عن الثغرات.
3. التمويل والأمن الاقتصادي
1) كمية قفل الصندوق: تحقق من مبلغ الأموال المقفلة في العقود الذكية ، وقد يعني القفل الأعلى درجة عالية من الثقة في المشروع.
2) حجم المعاملات والسيولة: تقييم حجم وسيولة المشروع ، قد يزيد السيولة المنخفضة من خطر معالجة الأسعار.
3) النموذج الاقتصادي الرموز: تقييم النموذج الاقتصادي الرمزي للمشروع ، بما في ذلك توزيع الرمز المميز وآلية الحوافز ونموذج التضخم.على سبيل المثال ، هناك رموز مركزة مفرطة عقد ، وهلم جرا.
4. سلامة التشغيل والإدارة
1) آلية الحوكمة: فهم آلية الحوكمة للمشروع ، وما إذا كانت هناك آلية حوكمة مركزية ، وما إذا كان يمكن للمجتمع التصويت لاتخاذ قرارات مهمة ، وتحليل توزيع الرموز وتركيز حقوق التصويت.
2) تدابير إدارة المخاطر: ما إذا كان المشروع لديه تدابير لإدارة المخاطر وخطط الطوارئ ، وكيفية التعامل مع التهديدات الأمنية المحتملة والهجمات الاقتصادية.بالإضافة إلى ذلك ، فيما يتعلق بشفافية المشروع والاتصال المجتمعي ، يمكنك أن ترى أن حزب المشروع لا يمكنه إصدار تقارير تقدم المشروع وتحديثات الأمن بانتظام ، وما إذا كنت تريد التواصل بنشاط مع المجتمع وحل مشاكل المستخدم.
5. تقييم السوق والمجتمع
1) النشاط المجتمعي: تقييم النشاط المجتمعي ومستخدم المستخدم.
2) تقييم وسائل الإعلام والوسائط الاجتماعية: تحليل تقييم المشاريع في وسائل الإعلام ووسائل الإعلام الاجتماعية ، وفهم آراء المستخدمين وخبراء الصناعة في المشاريع.
3) الشركاء والمستثمرين: عرض ما إذا كان المشروع لديه شركاء ومستثمرين معروفين.
س 4: كيف يجب أن ينظر المستخدمون إلى تقرير التدقيق ، وحالة المصدر المفتوح وما إلى ذلك؟
Blocksecفريق الأمن:بالنسبة للمشاريع التي تم تدقيقها ، عادة ما يعلن حزب المشروع بنشاط عن تقرير التدقيق إلى المجتمع على القنوات الرسمية.عادة ما تكون تقارير التدقيق هذه في مستندات حزب المشروع ومكتبات رمز جيثب والقنوات الأخرى.بالإضافة إلى ذلك ، هناك حاجة إلى صحة تقرير التدقيق.
فكيف يدرس المستثمرون تقارير التدقيق هذه عندما يحصلون على تقارير التدقيق هذه؟
أولاً ، يعتمد ذلك على ما إذا كان قد تم تدقيق تقرير التدقيق من قبل بعض شركات الأمن ذات السمعة الأمنية العالية ، مثل Zeppelin Open و Trail of Bits و BlockSec وشركات التدقيق الرئيسية الأخرى.
ثانياً ، يعتمد ذلك على ما إذا كانت المشكلات المذكورة في تقرير التدقيق قد تم إصلاحها.هنا نحتاج أيضًا إلى التمييز بين تقارير الضعف الصالحة ونقاط الضعف غير الصالحة في تقرير التدقيق.نظرًا لأن تقرير التدقيق لا يحتوي على معايير موحدة للصناعة ، فإن شركة التدقيق الأمنية ستقوم بتصنيف مخاطر نقاط الضعف في المشروع وتقاريرها بناءً على إدراك السلامة الخاص بها.لذلك ، يجب أن تركز الثغرات الموجودة في تقرير التدقيق على تقرير الضعف الفعال.من الأفضل أن تقوم هذه العملية بتقديم فريق الاستشارات الأمنية الخاصة به لإجراء تقييم مستقل ثالث.
ثالثًا ، يعتمد ذلك على ما إذا كان وقت التدقيق في تقرير التدقيق الذي نشره حزب المشروع يتوافق مع وقت الترقية والتحديث للمشروع الأخير (أو الإغلاق). في تقرير التدقيق يغطي جميع مدونة الرمز الحالي على الإنترنت لحزب المشروعللنظر في التكاليف الاقتصادية والوقت ، يقوم حزب المشروع عادةً ببعض مراجعة التعليمات البرمجية.لذلك ، في هذه الحالة ، من الضروري تحديد ما إذا كان الرمز المدقق هو رمز البروتوكول الأساسي.
رابعًا ، يعتمد ذلك على ما إذا كان قد تم التحقق من الرمز الذي يعمل على سطر المشروع (المصدر المفتوح) ويتوافق الرمز الذي تم التحقق منه مع تقرير التدقيق.بشكل عام ، ستستند التدقيق إلى GitHub لحزب المشروع (بدلاً من الكود الذي تم نشره عبر الإنترنت).إذا لم يكن النشر النهائي للمشروع على السلسلة مفتوح المصدر ، أو أنه يختلف إلى حد كبير عن الرمز المدقق ، فهذا نقطة تحتاج إلى الاهتمام بها.
باختصار ، يعد قراءة تقرير التدقيق نفسه أمرًا مهنيًا للغاية.
OKX Web3فريق سلامة المحفظة:يمكن للمستخدمين استخدام الموقع الرسمي لمشروع Defi أو موقع الويب الثالث ، مثل OkLink لعرض تقرير التدقيق وحالة المصدر المفتوح للعقود الذكية.
أولاً ، ابحث عن الإعلان الرسمي أو موقع الويب.ستعرض معظم مشاريع Defi الموثوقة معلومات المستندات ذات الصلة على موقعها الرسمي على صفحة وثيقة المشروع. عنوان العقد.بالإضافة إلى الموقع الرسمي لحزب المشروع ، فإنه يعرض عادة تقرير التدقيق ونشر معلومات عناوين العقد على وسائل التواصل الاجتماعي الرسمية مثل Medium و Twitter.
ثانياً ، بعد قراءة الموقع الرسمي لطرف المشروع ، يمكنك التحقق من معلومات عنوان العقد المقدم من طرف المشروع من خلال متصفح OkLink ، والتحقق من معلومات رمز المصدر المفتوح للعقد في العمود “العقد”.
ثالثًا ، بعد الحصول على تقرير التدقيق ومعلومات رمز المصدر المفتوح لحزب المشروع ، يمكنك البدء في قراءة تقرير المراجعة لحزب المشروع.
1) فهم بنية تقرير التدقيق ولديها مفهوم عام لمحتوى تقرير التدقيق.
2) عند قراءة المحتوى ذي الصلة للمقدمة ، نحتاج إلى الانتباه إلى نطاق المراجعة
3) عند قراءة المشكلات والحلول والاقتراحات ونتائج التدقيق الموجودة في القراءة ، نحتاج إلى التركيز على ما إذا كان فريق المشروع قد قام بإصلاح نقاط الضعف الموجودة وفقًا للاقتراح ، وما إذا كان طرف المشروع قد أجرى مراجعة المشكلات. يتم التعامل معها بشكل صحيح.
4) مقارنة التقارير المتعددة.إذا تم تدقيق المشروع عدة مرات ، فتحقق من الاختلافات بين كل تقرير تدقيق لفهم تحسين السلامة في المشروع.
س 5: Hacker Attack History and Bounty Plan ، RightDefiالقيمة المرجعية لسلامة المشروع؟
OKX Web3فريق سلامة المحفظة: يوفر Hacker Attack Heathip and Bounty Plan قيمة مرجعية معينة للتقييم الأمني لمشروع Defi ، الذي ينعكس بشكل أساسي في الجوانب التالية:
أولا ، تاريخ الهجوم المتسلل
1) كشف الضعف التاريخي: يمكن أن يظهر الهجوم على التاريخ الثغرات الأمنية المحددة للمشروع ، مما يسمح للمستخدمين بفهم المشكلات الأمنية التي تم استخدامها في الماضي ، وما إذا كانت هذه المشكلات قد تم إصلاحها بالكامل.
2) تقييم قدرات إدارة المخاطر: كيف يستجيب المشروع لحوادث الأمن في التاريخ ، والتي يمكن أن تعكس قدرتها على إدارة الأزمة والتعامل معها.يعتبر المشروع الذي يستجيب بنشاط ، وعادة ما يعتبر التعرض لإصلاح المستخدمين في الوقت المناسب خيارات استثمار أكثر موثوقية وناضجة.
3) سمعة المشروع: قد تقلل مشكلات الأمان المتكررة من ثقة المستخدمين في المشروع ، ولكن إذا تمكن المشروع من إظهار القدرة على التعلم وتعزيز التدابير الأمنية من الأخطاء ، فقد يؤدي ذلك أيضًا إلى بناء سمعته الطويلة المدى.
ثانياً ، خطة المكافأة
يعد تنفيذ خطة المكافأة في Defi ومشاريع البرمجيات الأخرى استراتيجية مهمة لتحسين الأمن وحفر الثغرات المحتملة.هذه الخطط تجلب قيمة مرجعية متعددة لتقييم السلامة للمشروع:
1) تعزيز التدقيق الخارجي: تشجع خطة المكافأة باحثو الأمن العالميين على المشاركة في تدقيق أمن المشروع.يمكن أن يكشف اختبار الأمن “التعهيد الجماعي” عن مشاكل قد يتم تجاهلها في التدقيق الداخلي ، مما يزيد من فرصة اكتشاف وحل نقاط الضعف المحتملة.
2) صحة التحقق من تدابير السلامة: من خلال خطط المكافآت الفعلية ، يمكن للمشروع اختبار فعالية تدابير السلامة في القتال الفعلي.إذا كانت خطة فضل المشروع أطول ، ولكن التقرير أقل خطورة ، فقد يكون هذا مؤشراً يشير إلى أن المشروع ناضج وآمن نسبيًا.
3) تحسين الأمن المستمر: توفر خطة المكافأة آلية تحسين مستمرة.مع ظهور تقنيات جديدة وطرق الهجوم الجديدة ، تساعد خطة المكافأة فريق المشروع على تحديث وتعزيز تدابيرها الأمنية في الوقت المناسب لضمان أن يتمكن المشروع من مواجهة آخر تحديات الأمان.
4) إنشاء ثقافة أمنية: ما إذا كان المشروع يضع خطة مكافأة ، ويمكن أن يعكس جدية ونشاط الخطة موقف فريق المشروع تجاه الأمن.تُظهر خطة المكافأة الإيجابية التزام المشروع بإنشاء ثقافة أمنية قوية.
5) تحسين ثقة المجتمع والمستثمر: يمكن أن يثبت وجود وتأثير خطة المكافأة للمجتمع والمستثمرين المحتملين أن المشروع يعلق أهمية الأمن.هذا لا يمكن أن يعزز ثقة المستخدم فحسب ، بل يجذب أيضًا المزيد من الاستثمار ، لأن المستثمرين يميلون إلى اختيار المشاريع التي تظهر مسؤولية أمان عالية.
س 6:يشاركDefiفي ذلك الوقت ، كيف يمكن للمستخدمين بناء إمكانيات إدراك المراقبة
Blocksecفريق الأمن:أخذ مستخدمي الحوت العملاقة كمثال ، تشير الحيتان العملاقة بشكل أساسي إلى مؤسسات الاستثمار للمستثمرين الأفراد أو الفرق الصغيرة.لذلك ، حتى الآن ، فإن معظم الحيتان العملاقة ليس لديها ما يكفي من تصور المخاطر ، وإلا فإنها لن تعاني من مثل هذه الخسائر الضخمة.
نظرًا لخطر الخسائر الضخمة ، بدأ بعض مستخدمي الحوت العملاق في الاعتماد بوعي على بعض أدوات الأمان المفتوحة لمراقبة المخاطر وتصورها.الآن ، تقوم العديد من الفرق بعمل منتجات مراقبة ، ولكن كيفية الاختيار أمر مهم للغاية.فيما يلي بعض النقاط الرئيسية:
أولا ، تكلفة الاستخدام.على الرغم من أن العديد من الأدوات قوية للغاية ، إلا أنها تحتاج إلى برمجة وتكلفة الاستخدام ليست منخفضة.بالنسبة للمستخدمين ، ليس من السهل فهم بنية العقد ، وحتى جمع العناوين.
ثانياً ، إنها دقة.لا أحد يأمل في الحصول على بعض الإنذارات على التوالي أثناء النوم في الليل ، ويجد أنه خطأ ، مما يجعل الناس ينفجرون.لذلك ، الدقة هي أيضا أمر بالغ الأهمية.
أخيرًا ، إنه أمن.خاصةً بموجب هذا النطاق من الأموال ، لا يمكننا تجاهل تطوير الأدوات والمخاطر الأمنية المختلفة لفريقها.تعرضت لعبة GALA الأخيرة للهجوم ، والتي قيل إنها قدمت مزودي الخدمات الثالثة غير الآمنة.لذلك ، فإن الفرق الموثوقة والمنتجات الموثوقة ضرورية.
اعتبارا من الآن ، وجدتنا العديد من الحيتان العملاقة. إدراك المخاطر.
س 7:يشاركDefiاقتراحات السلامة وكيفية التعامل مع مخاطر السلامة
Blocksecفريق الأمن:بالنسبة للمشاركين الكبار على نطاق واسع ، فإن المشاركة في اتفاقية DEFI هي ضمان الأمن الرئيسي ، والاستثمار في بحث شامل حول المخاطر الأمنية المحتملة.يمكن عادةً ضمان سلامة الصندوق من الجوانب التالية.
بادئ ذي بدء ، يجب أن نحكم على أمن واستثمار حزب المشروع في جوانب متعددة.بما في ذلك ما إذا كان ما ورد أعلاه هو تدقيق أمني شامل ، ما إذا كان حزب المشروع لديه مراقبة مخاطر السلامة في المشروع وقدرات الاستجابة التلقائية ، سواء كان لديها آلية جيدة لحوكمة المجتمع ، وما إلى ذلك.يمكن أن يعكس ذلك ما إذا كان لدى طرف المشروع موقف مسؤول للغاية تجاه أمان أموال المستخدم في جانب مهم نسبيًا وما إذا كان أمان تمويل المستخدم مسؤولاً للغاية.
ثانياً ، يحتاج المشاركون ذوو الأموال الكبيرة أيضًا إلى بناء نظام مراقبة السلامة الخاص بهم ونظام الاستجابة التلقائي.بعد حادثة أمنية في اتفاقية الاستثمار ، يجب أن يكون المستثمرون ذوو الأموال الكبيرة قادرين على إدراك الأموال وتراجعها في أقرب وقت ممكن لاستعادة الخسائر قدر الإمكان بدلاً من تثبيت كل الأمل في حفلة المشروع.في عام 2023 ، يمكننا أن نرى أن العديد من المشاريع المعروفة قد تعرضت للهجوم ، بما في ذلك Curve و Kyberswap و Euler Finance ، إلخ.لسوء الحظ ، وجدنا أنه عندما وقع الهجوم ، كان المستثمرون الكبار يفتقرون غالبًا إلى الوقت والذكاء الفعال ، كما لم يكن نظام مراقبة السلامة الخاص بهم ونظام تراجع الطوارئ.
بالإضافة إلى ذلك ، يحتاج المستثمرون إلى اختيار شركاء أمان أفضل لمواصلة الاهتمام بسلامة معايير مشروع الاستثمار.سواء كان ذلك هو ترقية رمز طرف المشروع ، أو تغييرات معلمة مهمة ، وما إلى ذلك ، يجب أن تكون قادرًا على إدراك وتقييم المخاطر في الوقت المناسب.ومن الصعب إكمال مثل هذه الأشياء دون مشاركة فرق وأدوات الأمن المهنية.
أخيرًا ، تحتاج إلى حماية أمان المفتاح الخاص.بالنسبة للحسابات التي يجب تداولها بشكل متكرر ، من الأفضل الجمع بين مزيج التوقيع عبر الإنترنت وحلول الأمان الرئيسية غير المتصلة بالإنترنت للقضاء على مخاطر نقطة واحدة بعد فقدان عنوان واحد ومفتاح خاص واحد.
ماذا علي أن أفعل إذا كان المشروع يواجه مخاطر أمنية؟
من المعتقد أنه بالنسبة لأي حوت عملاق ومستثمرين ، يجب أن يكون رد الفعل الأول لمواجهة حادثة أمنية أول من يحمي العاصمة.ومع ذلك ، فإن سرعة المهاجمين عادة ما تكون سريعة للغاية ، وغالبًا ما تكون العملية اليدوية متأخرة جدًا ، لذلك من الأفضل سحب رأس المال تلقائيًا وفقًا للمخاطر.في الوقت الحاضر ، نقدم الأدوات ذات الصلة التي يمكنها سحب رأس المال تلقائيًا بعد اكتشاف الهجمات ومساعدة المستخدمين على إعطاء الأولوية للإخلاء.
ثانياً ، إذا واجهت بالفعل خسائر ، بالإضافة إلى التعلم ، يجب عليك أيضًا الترويج بنشاط لحزب المشروع للبحث عن مساعدة من شركة أمنية وتتبع ومراقبة صناديق الأضرار.نظرًا لأن صناعة التشفير بأكملها تعلق أهمية كبيرة للأمان ، فإن نسبة استرداد الأموال تتزايد تدريجياً.
أخيرًا ، إذا كانت أسرة كبيرة ، فيمكنك أيضًا مطالبة شركة الأمن بتقييم المشاريع الأخرى للاستثمار في مشاكل مماثلة.العديد من هجمات السبب الجذري متسقة.لذلك ، يمكنك مطالبة شركة الأمن بتحليل مخاطر المشاريع الأخرى في محفظة الاستثمار.
OKX Web3فريق سلامة المحفظة:عند المشاركة في مشروع DEFI ، يمكن للمستخدمين اتخاذ تدابير متعددة للمشاركة بشكل أكثر آمنة للمشاركة في مشروع DEFI ، وتقليل خطر فقدان رأس المال ، والتمتع بالفوائد التي يوفرها التمويل اللامركزي.يتم توسيعنا من مستوى المستخدم ومحفظة OKX Web3.
أولاً ، للمستخدمين:
1) اختر مشاريع التدقيق: يختار بشكل تفضيلي المشاريع التي تم تدقيقها من قبل شركات التدقيق الثالثة المعروفة (مثل Consensys Deligence ، Trail of Bits ، Openzeppelin ، Quantstamp ، ABDK Audit Projects ، مراجعة تقارير التدقيق العام لفهم المخاطر المحتملة و إصلاح الضعف.
2) فهم خلفية المشروع والفريق: من خلال البحث في الورقة البيضاء ، الموقع الرسمي وخلفية فريق التطوير للمشروع ، تأكد من أن المشروع شفاف وذات مصداقية.انتبه إلى أنشطة الفريق في مجتمعات التواصل الاجتماعي ومجتمعات التنمية ، وفهم قوتهم التقنية ودعم المجتمع.
3) الاستثمار التخلص: لا تستثمر جميع الأموال في مشروع DEFI أو الأصول ، يمكن أن يقلل الاستثمار اللامركزي.حدد مشاريع DEFI متعددة من أنواع مختلفة ، مثل الاقتراض ، DEX ، الزراعة ، وما إلى ذلك للتعرض للمخاطر اللامركزية.
4) الاختبارات الصغيرة: قبل كمية كبيرة من المعاملات ، قم بإجراء معاملة اختبار صغيرة لضمان سلامة العمليات والمنصات.
5) حسابات المراقبة المنتظمة وعلاج الطوارئ: تحقق بانتظام من حساب Defi والأصول الخاصة بك ، واكتشاف المعاملات أو الأنشطة غير الطبيعية في الوقت المناسب.استخدم أدوات (مثل Etherscan) سجلات سلسلة ترابية سلسلة لضمان سلامة الأصول.بعد اكتشاف تشوهات ، اتخذ تدابير الطوارئ في الوقت المناسب ، مثل إلغاء جميع ترخيص الحساب ، والاتصال بفريق سلامة المحفظة للحصول على الدعم.
6) استخدم مشاريع جديدة بحذر: احتفظ بحذر بالمشاريع الجديدة التي لا تصدق أو لا تصدق.يمكنك استثمار مبلغ صغير من الأموال للاختبار لمراقبة تشغيلها وسلامتها.
7) استخدم محافظ Web3 الرئيسية للمعاملات: تتفاعل محفظة Web3 السائدة مع مشروع Defi.
8) منع هجمات الصيد: انقر بعناية على روابط ورسائل بريد إلكتروني غريبة غير معروفة.استخدم القنوات الرسمية لتنزيل المحافظ والتطبيقات لضمان صحة البرنامج.
ثانياً ، من مستوى محفظة OKX Web3:
نحن نقدم الكثير من آليات الأمان لحماية أموال المستخدم:
1) الكشف عن اسم مجال المخاطر: عندما يصل المستخدمون إلى DAPP ، سيتم اكتشاف محافظ OKX Web3 وتحليلها في اسم المجال.
2) 貔貅 اختبار الرموز المميزة: تدعم محفظة OKX Web3 قدرة الكشف عن رمز الدمى الكامل ، ودرمي بنشاط 貔貅 لوحة إلى العملة الموجودة في المحفظة ، وتجنب المستخدمين الذين يحاولون التفاعل مع رموز اللوحة 貔貅.
3) مكتبة تسمية العنوان: توفر محفظة OKX Web3 مكتبة تسمية غنية ومثالية.
4) التداول قبل التنفيذ: قبل أن يقدم المستخدم أي معاملة ، ستقوم محفظة OKX Web3 بمحاكاة المعاملة وعرض نتائج الأصول والترخيص للمستخدم للرجوع إليها.يمكن للمستخدمين الحكم على ما إذا كانوا يستوفون التوقعات بناءً على النتائج حتى يتمكنوا من تحديد ما إذا كان سيستمرون في تقديم المعاملة.
5) تطبيق Defi المتكامل: يمكن لـ OKX Web3 Wallet خدمات متكاملة لمشاريع Defi الرئيسية المختلفة.بالإضافة إلى ذلك ، توصي محافظ OKX Web3 أيضًا مسارات لـ DEX و Cross -CHAIN BRIDGE وخدمات DEFI الأخرى لتزويد المستخدمين بخدمات DEFI الأمثل وحلول الغاز الأمثل.
6) المزيد من خدمات الأمان: تزيد محافظ OKX Web3 تدريجياً من المزيد من وظائف الأمان ، وبناء خدمات أكثر تقدماً في حماية الأمان ، وأفضل وأكثر كفاءة لضمان سلامة مستخدمي محفظة OKX.
س 8: ليس المستخدمين فقط ،Defiكيف تحمي خطر المشروع وكيفية حمايته؟
Blocksecفريق الأمن:تشمل أنواع المخاطر التي يواجهها مشروع DEFI: مخاطر أمان الكود ، ومخاطر أمن التشغيل ، ومخاطر الاعتماد الخارجي.
أولاً ، مخاطر أمان الكود.أي أن مخاطر الأمان التي قد توجد على مستوى الكود على مستوى الكود.بالنسبة لمشروع Defi ، فإن العقود الذكية هي منطق أعمالها الأساسي (المنطق الأمامي والخلفي للمعالجة ، وما إلى ذلك. :
1) أولاً ، من منظور التنمية ، نحتاج إلى متابعة ممارسة تنمية الأمن الذكية المعترف بها في الصناعة ، مثل نموذج التفاعلات بين الآثار الثلاثة لمنع ثغرات الثغرات. أدركت لتجنب المخاطر غير المعروفة الناجمة عن عجلات الاختراع المتكررة.
2) تليها الاختبار الداخلي ، يعد الاختبار جزءًا مهمًا من تطوير البرمجيات ، والذي يمكن أن يساعد في اكتشاف العديد من المشكلات.ومع ذلك ، بالنسبة لمشروع Defi ، فإن الاختبار المحلي فقط لا يكفي لفضح المشكلة ، ولكنه يتطلب أيضًا إجراء مزيد من الاختبارات في بيئة النشر بالقرب من الإنترنت الفعلي.
3) أخيرًا ، بعد اكتمال الاختبار ، يتصل بخدمة تدقيق ثالثة معروفة بشكل جيد.على الرغم من أن التدقيق لا يمكن أن يضمن عدم وجود أي مشاكل ، إلا أن أعمال التدقيق الجهازي يمكن أن تساعد إلى حد كبير طرف المشروع في وضع مشكلات سلامة مشتركة مختلفة ، والتي غالباً ما تكون غير مألوفة للمطورين أو بسبب طرق التفكير المختلفة. .بطبيعة الحال ، نظرًا للاختلافات في الاحتراف والتوجيه ، إذا كانت تصاريح الميزانية ، يوصى بشركتي تدقيق أو أكثر للمشاركة في الممارسة.
ثانياً ، تشغيل مخاطر السلامة.أي أن خطر السلامة للمشروع بعد إطلاق المشروع.من ناحية ، قد لا يزال يحتوي الرمز على ثغرات غير معروفة.على الرغم من أن الكود خضع لتطوير جيد واختبار ومراجعة ، إلا أنه قد لا تزال هناك مخاطر أمنية غير محدودة ، والتي أثبتت على نطاق واسع في الممارسة الأمنية لتطوير البرمجيات لعقود ؛ تم إطلاق المشروع ، حيث يواجه المزيد من التحديات ، مثل تسربات المفاتيح الخاصة ، وإعدادات خطأ المعلمة المهمة في النظام ، وما إلى ذلك ، يمكن أن تسبب عواقب وخيمة وخسائر هائلة.تشمل مخاطر سلامة التشغيل :: ::
1) إنشاء وتحسين إدارة المفاتيح الخاصة: اعتماد طرق إدارة المفاتيح الخاصة الموثوقة ، مثل محافظ الأجهزة الموثوقة أو حلول المحفظة القائمة على MPC.
2) قم بعمل جيد في تشغيل مراقبة الحالة: يدرك نظام المراقبة تشغيل الحقوق الخاصة وحالة سلامة تشغيل المشروع في الوقت الفعلي.
3) إنشاء آلية استجابة تلقائية للمخاطر: على سبيل المثال ، يمكن استخدام Blocksec Phalcon الحصول تلقائيًا على الحجب وتجنب (مزيد من) الخسائر عند مواجهة الهجمات.
4) تجنب مخاطر النقطة الفردية لتشغيل الامتيازات: إذا كنت تستخدم Safe لتوقيع المزيد من المحافظ لأداء الامتيازات.
ثالثًا ، تشير مخاطر الاعتماد الخارجي إلى المخاطر التي تسببها التبعيات الخارجية الموجودة في المشروع.تشمل اقتراحات لمخاطر الاعتماد الخارجي:
1) اختر شركاء خارجيين موثوق بهم ، مثل بروتوكول الرأس الموثوق به المعترف به.
2) قم بعمل جيد في حالة التشغيل: على غرار مخاطر السلامة التشغيلية ، ولكن كائن المراقبة هنا هو تبعيات خارجية.
3) بناء آلية استجابة تلقائية للمخاطر: على غرار مخاطر سلامة التشغيل ، ولكن قد تكون طريقة التخلص مختلفة ، مثل تبديل التبعيات الاحتياطية بدلاً من بروتوكول التوقف بشكل مباشر.
بالإضافة إلى ذلك ، بالنسبة لحزب المشروع الذي يريد بناء قدرة مراقبة ، نقدم أيضًا بعض اقتراحات المراقبة
1) تعيين نقاط المراقبة بدقة: تحديد الحالات الرئيسية (المتغيرات) والمواقع التي يجب مراقبتها.ومع ذلك ، يصعب تغطية وضع نقطة المراقبة شاملة ، خاصة في مراقبة الهجوم ، يوصى باستخدام محرك خارجي من الطرف الثالث ومحرك الكشف عن هجوم التفتيش الفعلي.
2) ضمان دقة الرصد وفي الوقت المناسب: تعني دقة المراقبة أنه لا يجب أن يكون هناك الكثير من سوء الفهم (FP) (FN). ويتم اكتشاف معاملة الهجوم) ، وإلا فإنه لا يمكن استخدامه إلا لتحليل ما بعد البشر ، والذي له متطلبات عالية للغاية لأداء واستقرار نظام المراقبة.
3) الحاجة إلى أتمتة قدرات الاستجابة: استنادًا إلى مراقبة دقيقة وحقيقية ، يمكنه بناء استجابات تلقائية ، بما في ذلك هجمات حظر بروتوكول الإيقاف المؤقت ، وما إلى ذلك.فيما يلي دعم إطار استجابة أتمتة مخصصة وموثوقة.
بشكل عام ، يتطلب بناء قدرات المراقبة موردي أمن خارجي محترفون للمشاركة في البناء.
OKX Web3فريق سلامة المحفظة:هناك العديد من المخاطر في مشروع Defi ، والتي تتضمن بشكل أساسي الفئات التالية:
1) المخاطر الفنية: ويشمل بشكل أساسي نقاط الضعف في العقود الذكية وهجمات الشبكة.تشمل التدابير الوقائية شركة تدقيق ثالثة من خلال تطوير الأمن وتوظيف عمليات تدقيق مهنية لإجراء تدقيق شامل للعقود الذكية ، وإعداد خطط Bounty من أجل تحفيز القبعات البيضاء والمتسللين لاكتشاف الثغرات الأمنية ، وتحسين أمن الأصول لتحسين الأموال.
2) مخاطر السوق: تشمل بشكل أساسي تقلبات الأسعار ، ومخاطر السيولة ، والتلاعب في السوق والمخاطر المشتركة.تشمل التدابير الوقائية استخدام العملة المستقرة وتحوط المخاطر لمنع تقلبات الأسعار ، واستخدام تعدين السيولة وآلية التكلفة الديناميكية للتعامل مع مخاطر السيولة ، ومراجعة بدقة أنواع الأصول التي يدعمها بروتوكول DEFI واستخدام آلات النبوءة اللامركزية لمنع معالجة السوق. ابتكار وتحسين وظائف البروتوكول للتعامل مع المخاطر التنافسية.
3) مخاطر التشغيل: يشمل بشكل أساسي مخاطر الأخطاء البشرية ومخاطر آلية الحوكمة.تشمل التدابير الوقائية إنشاء عمليات مراقبة وعمليات داخلية صارمة لتقليل حدوث الأخطاء الاصطناعية ، واستخدام الأدوات الآلية لتحسين كفاءة التشغيل ، وآليات حوكمة التصميم المعقولة لضمان توازن اللامركزية والتوازن الأمني ، مثل إدخال تأخير التصويت وآليات التوقيع المتعددة.ووضع خطة مراقبة جيدة وخطة الطوارئ للمشاريع عبر الإنترنت.
4) المخاطر التنظيمية: متطلبات الامتثال للقانون وغسل الأموال (AML)/فهم العميل (KYC) التزام.تشمل تدابير الحماية توظيف مستشارين قانونيين لضمان تلبية المشروع لمتطلبات القانون والتنظيمية ، ووضع سياسة امتثال شفافة ، وتنفيذ تدابير AML و KYC بنشاط لتعزيز ثقة المستخدمين والمنظمين.
س 9الDefiكيف تحكم واختيار شركة تدقيق جيدة؟
Blocksecفريق الأمن:كيف يحكم حزب مشروع Defi واختيار شركة تدقيق جيدة.
1) ما إذا كان يجب مراجعة المشاريع المعروفة: هذا يشير إلى أن شركة التدقيق معترف بها من قبل هذه المشاريع المعروفة جيدًا.
2) ما إذا كانت عناصر التدقيق قد تعرضت للهجوم: على الرغم من نظريًا ، فإن التدقيق لا يضمن 100 ٪ من الأمن ، لكن معظم المشاريع التي يتم تدقيقها من قبل الشركة المدققة بسمعة جيدة لم تتعرض للهجوم.
3) من خلال جودة التدقيق من خلال تقارير التدقيق السابقة: يعد تقرير التدقيق رمزًا مهمًا لقياس احتراف شركة التدقيق. (الضرر (الضرر الضار حسب الدرجة) ، والكمية ، وما إلى ذلك ، وجدت الضعف ما إذا كان عادة ما يتم تكييفه من قبل حزب المشروع.
4) الممارسين المحترفين: تكوين شركة التدقيق ، بما في ذلك المؤهلات الأكاديمية وخلفيات التوظيف.
أخيرًا ، شكرًا لك على مشاهدة العدد الخامس من محفظة OKX Web3 “Safety Special”. ، لذا ترقبوا!
تنصل:
هذه المقالة هي للرجوع إليها فقط.يتضمن عقد الأصول الرقمية (بما في ذلك العملة المستقرة و NFTS) مخاطر عالية ، وقد تتقلب بشكل حاد ، حتى لا قيمة لها.يجب أن تفكر بعناية ما إذا كانت المعاملات أو عقد الأصول الرقمية مناسبة لك وفقًا لوضعك المالي.يرجى أن تكون مسؤولاً عن فهم قوانين وأنظمة التطبيق المحلية ذات الصلة.
