译者 | 刘涛
审校 | 孙淑娟
现代世界中安全到底有多重要?回答是太重要了,特别是在财务方面,不管采取什么样的形式。
随着加密资产的新鲜感逐渐消退,这些工具的安全性成为人们关注的焦点。毕竟,谁也不想让自己的资产因为盗窃和欺诈而蒙受损失。
这也是为什么受到安全保护的Tokens在新手和有经验的专业人士中流行的原因。我叫迪马.维特科,是111PG项目的联合创始人。我们将帮助Tokens变得更安全。我们的主要任务是在 DEX 交易期间保护Tokens。除此以外,我们试图就市场上的重要问题——黑客和非法入侵——进行普及教育。
DEX交易中网络安全的重要性
去中心化交易仍然是加密货币体系中的一个重要部分。它们的核心功能就是促进加密货币及时交换,且中间没有中介。大多数大型 DEX交易所都有自己的控制与管理系统。例如, Uniswap, wave, dydX。但仍有一些 DEX交易所可能没有自己的控制系统。一旦您承诺交易,您只能委托智能合约来控制交易。由于个别实体可能缺乏责任分配,因此增加了额外的安全风险。
因此,在对 DEX交易的网络安全进行评估时,主要可以概述以下三种方法:安全审计、挖掘漏洞赏金计划和从SSL/TLS的角度进行交易网站配置。
安全审计
尽管 DEX交易依赖于智能合约,但是它们很容易受到黑客和其他类型的攻击。因此,确保智能合约安全成为当务之急。安全审计与渗透测试是保证智能合约安全的关键。具体地说,一支有经验的网络安全团队检测智能合约和协议代码中是否有潜在的漏洞。虽然这种方法无法保证绝对安全,但是它可以显著减少被攻击的漏洞数量。
安全审计的特点使我们能够对智能合约的质量和安全性进行评估。这些特点包括审计范围、审计规则和审计动机方面的变化。通过对执行过程的评估,审计范围应该超出智能合约代码分析的范围。审计规则要求它有足够的频率来识别代码更改中的新缺陷。审计应当带来重大变化,从而提高安全性。
挖掘漏洞赏金计划
挖掘漏洞赏金计划为良心黑客提供额外的激励,以发现和识别平台中的漏洞。DEX 交易奖励那些发现和报告漏洞的黑客,利用挖掘漏洞赏金计划防止经济损失的能力是 DEX交易和参与者的基本价值。
但是,我们认为这是市场发展的一个重要过程,而不能称之为“保护”。挖掘漏洞赏金计划能帮助企业识别防御系统的弱点,但黑客的进步往往超过了防御能力。从这一点上说,我们需要从整体上发展网络安全产业,而不仅仅是一次行动。
SSL/TLS配置
使用 SSL/TLS是 DEX交易最好的实践方式之一。特别是 SSL/TLS支持认证、完整性和机密性的保护。这些工具不但可以防止第三方窃取和传输数据,还将有助于加强加密资产在DEXs交易所内进行加密交易的安全。SSL分为握手阶段和数据传输阶段。在握手阶段,客户端和服务器使用公钥加密确定数据传输阶段使用的密钥参数。
客户端通过向服务器发送“ hello”消息来启动握手。此消息包含客户端支持的对称加密算法(密码规范)列表。服务器用类似的“ hello”消息进行响应,从列表中选择最合适的密码规范。然后,服务器发送一个包含其公钥的证书。
证书是验证真实性的一组数据。认证的第三方,即证书颁发机构(CA),生成证书并验证其真实性。为了获得证书,服务器必须使用安全通道将其公钥发送给证书颁发机构。
可能发生的攻击类型
狙击机器人
如果不能确保Tokens足够安全,加密货币可能会损失几百万甚至数十亿美元。狙击机器人是危害Tokens安全的常见工具之一。狙击机器人是用来搜索新列表的脚本。有些机器人只针对最大的列表,而其他机器人则会拦截所有能够识别的列表。创作者或创作者团队运行机器人并将其出售给第三方。
狙击机器人的主要目标是在区块链矿池增加流动性时进入区块组1。在发射过程中,机器人的数量可能达到数百个,这使得安全系统不堪重负。由于用户无法进入区块链,机器人获得了抬高价格的不公平优势。它们通常会观察到价格上涨之后,在很短的时间内将Tokens卖给用户。抛售后,Tokens价格大幅下跌,造成巨大经济损失。
很多公司会使用反狙击机器人以及其他方法来防止这种情况发生。像111 PG这样的专门平台可以拒绝或者恢复狙击机器人交易。但是反狙击机器人的开发者为了保护解决方案背后的代码而避免开源。这种方法确保了公平的列表,并且不会损害社区和Tokens发行商。
先发机器人
另一种常见的攻击类型是使用先发机器人。
先发机器人要比狙击机器人复杂得多。它们在一个区块内操控交易顺序,并支付更高的价格。交易程序将它们放在事务处理队列中的第一位。其主要原因在于其内在算法的复杂性。而且,整个运行过程的时间也更短。
这些机器人的内在复杂性是由自动化程度决定的。它们能以毫秒级来决定最优的交易规模。由于数字分类账户中的数据是可以访问的,因此这种操作是合法的。但这种行为在金融市场却是违法的。所以,提高安全性和保护能力依赖于首次区块链数字资产(IDOs)的发行。这些措施应该集中在先发机器人上。
名誉才是最重要的
对于Tokens发行者来说,名誉的重要性怎么高估都不过分。IotexPad 讲述了狙击机器人如何购买至少30% 的流动性,并在社区中进行大量倾销的案例。在发行前拒绝接受保护的团队会因此蒙受损失,也就失去了风投和社区的信任。
我们得到的教训是:削减安全开支从来都不是一个好主意。一次成功黑客攻击最终造成的损失可能降低项目的价值,甚至会打击未来筹集资金的积极性。
为什么受到安全保护的Tokens比不受到安全保护的Tokens更成功
所谓受到安全保护的Tokens,是指在 DEX交易中被保护的Tokens。对于开发人员来说,上市过程最为危险。
首先,如上所述,您将完全控制受保护的Tokens。即使机器人攻击了区块组1,也不能得到它们。在我们上一个案例中,当我们为MOON项目提供服务时,我们设法保护了价值近4万美元的Tokens。
也就是说,如果您的Tokens受到保护,那么您投入的努力、金钱和时间打水漂的概率几乎为零。
另一个重要部分就是声誉。只要一次机器人攻击,整个项目周围的社区都会被永远摧毁。让你的职业生涯成为CEO或简单的开发人员都将受到质疑。
如果我们谈论受到安全保护的Tokens比不受保护Tokens更好的主要原因,我们可以这样说:
受保护的Tokens让您能够轻松入睡,根本不必担心IDO期间会出现非常糟糕的情况。你非但没有庆祝Tokens的正式发行,反而经历了一场艰难的体验。
受到安全保护的Tokens反映了在特定项目中开发并实施可靠解决方案的能力。在这种情况下,受到安全保护的Tokens在社区和项目所有者之间提供了额外的信任级别。此外,它们加快了合法使用加密资产的速度——即所谓的制度化——因为安全是公正和自由市场的保障。因此,愿意参与的人会越来越多。
受到安全保护的Tokens创建了一个健康的生态系统,同时保持了适当的流动性。每个Token都可用作项目的代表。这将转化为用户和发行人之间的长期关系。
译者介绍
刘涛,51CTO社区编辑,某大型央企系统上线检测管控负责人。精通Kali下SQL审计、SQLMAP自动化探测、XSS审计、Metasploit审计、CSRF审计、webshell审计、maltego审计等技术。
原文标题:Secure Tokens are More Successful - Here's Why,作者:Dima Dimenko
