譯者 | 劉濤

審校 | 孫淑娟

現(xiàn)代世界中安全到底有多重要？回答是太重要了，特別是在財務(wù)方面，不管采取什么樣的形式。

隨著加密資產(chǎn)的新鮮感逐漸消退，這些工具的安全性成為人們關(guān)注的焦點。畢竟，誰也不想讓自己的資產(chǎn)因為盜竊和欺詐而蒙受損失。

這也是為什么受到安全保護(hù)的Tokens在新手和有經(jīng)驗的專業(yè)人士中流行的原因。我叫迪馬.維特科，是111PG項目的聯(lián)合創(chuàng)始人。我們將幫助Tokens變得更安全。我們的主要任務(wù)是在 DEX 交易期間保護(hù)Tokens。除此以外，我們試圖就市場上的重要問題——黑客和非法入侵——進(jìn)行普及教育。

DEX交易中網(wǎng)絡(luò)安全的重要性

去中心化交易仍然是加密貨幣體系中的一個重要部分。它們的核心功能就是促進(jìn)加密貨幣及時交換，且中間沒有中介。大多數(shù)大型 DEX交易所都有自己的控制與管理系統(tǒng)。例如， Uniswap, wave, dydX。但仍有一些 DEX交易所可能沒有自己的控制系統(tǒng)。一旦您承諾交易，您只能委托智能合約來控制交易。由于個別實體可能缺乏責(zé)任分配，因此增加了額外的安全風(fēng)險。

因此，在對 DEX交易的網(wǎng)絡(luò)安全進(jìn)行評估時，主要可以概述以下三種方法：安全審計、挖掘漏洞賞金計劃和從SSL/TLS的角度進(jìn)行交易網(wǎng)站配置。

安全審計

盡管 DEX交易依賴于智能合約，但是它們很容易受到黑客和其他類型的攻擊。因此，確保智能合約安全成為當(dāng)務(wù)之急。安全審計與滲透測試是保證智能合約安全的關(guān)鍵。具體地說，一支有經(jīng)驗的網(wǎng)絡(luò)安全團(tuán)隊檢測智能合約和協(xié)議代碼中是否有潛在的漏洞。雖然這種方法無法保證絕對安全，但是它可以顯著減少被攻擊的漏洞數(shù)量。

安全審計的特點使我們能夠?qū)χ悄芎霞s的質(zhì)量和安全性進(jìn)行評估。這些特點包括審計范圍、審計規(guī)則和審計動機(jī)方面的變化。通過對執(zhí)行過程的評估，審計范圍應(yīng)該超出智能合約代碼分析的范圍。審計規(guī)則要求它有足夠的頻率來識別代碼更改中的新缺陷。審計應(yīng)當(dāng)帶來重大變化，從而提高安全性。

挖掘漏洞賞金計劃

挖掘漏洞賞金計劃為良心黑客提供額外的激勵，以發(fā)現(xiàn)和識別平臺中的漏洞。DEX 交易獎勵那些發(fā)現(xiàn)和報告漏洞的黑客，利用挖掘漏洞賞金計劃防止經(jīng)濟(jì)損失的能力是 DEX交易和參與者的基本價值。

但是，我們認(rèn)為這是市場發(fā)展的一個重要過程，而不能稱之為“保護(hù)”。挖掘漏洞賞金計劃能幫助企業(yè)識別防御系統(tǒng)的弱點，但黑客的進(jìn)步往往超過了防御能力。從這一點上說，我們需要從整體上發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè)，而不僅僅是一次行動。

SSL/TLS配置

使用 SSL/TLS是 DEX交易最好的實踐方式之一。特別是 SSL/TLS支持認(rèn)證、完整性和機(jī)密性的保護(hù)。這些工具不但可以防止第三方竊取和傳輸數(shù)據(jù)，還將有助于加強(qiáng)加密資產(chǎn)在DEXs交易所內(nèi)進(jìn)行加密交易的安全。SSL分為握手階段和數(shù)據(jù)傳輸階段。在握手階段，客戶端和服務(wù)器使用公鑰加密確定數(shù)據(jù)傳輸階段使用的密鑰參數(shù)。

客戶端通過向服務(wù)器發(fā)送“ hello”消息來啟動握手。此消息包含客戶端支持的對稱加密算法(密碼規(guī)范)列表。服務(wù)器用類似的“ hello”消息進(jìn)行響應(yīng)，從列表中選擇最合適的密碼規(guī)范。然后，服務(wù)器發(fā)送一個包含其公鑰的證書。

證書是驗證真實性的一組數(shù)據(jù)。認(rèn)證的第三方，即證書頒發(fā)機(jī)構(gòu)(CA)，生成證書并驗證其真實性。為了獲得證書，服務(wù)器必須使用安全通道將其公鑰發(fā)送給證書頒發(fā)機(jī)構(gòu)。

可能發(fā)生的攻擊類型

狙擊機(jī)器人

如果不能確保Tokens足夠安全，加密貨幣可能會損失幾百萬甚至數(shù)十億美元。狙擊機(jī)器人是危害Tokens安全的常見工具之一。狙擊機(jī)器人是用來搜索新列表的腳本。有些機(jī)器人只針對最大的列表，而其他機(jī)器人則會攔截所有能夠識別的列表。創(chuàng)作者或創(chuàng)作者團(tuán)隊運行機(jī)器人并將其出售給第三方。

狙擊機(jī)器人的主要目標(biāo)是在區(qū)塊鏈礦池增加流動性時進(jìn)入?yún)^(qū)塊組1。在發(fā)射過程中，機(jī)器人的數(shù)量可能達(dá)到數(shù)百個，這使得安全系統(tǒng)不堪重負(fù)。由于用戶無法進(jìn)入?yún)^(qū)塊鏈，機(jī)器人獲得了抬高價格的不公平優(yōu)勢。它們通常會觀察到價格上漲之后，在很短的時間內(nèi)將Tokens賣給用戶。拋售后，Tokens價格大幅下跌，造成巨大經(jīng)濟(jì)損失。

很多公司會使用反狙擊機(jī)器人以及其他方法來防止這種情況發(fā)生。像111 PG這樣的專門平臺可以拒絕或者恢復(fù)狙擊機(jī)器人交易。但是反狙擊機(jī)器人的開發(fā)者為了保護(hù)解決方案背后的代碼而避免開源。這種方法確保了公平的列表，并且不會損害社區(qū)和Tokens發(fā)行商。

先發(fā)機(jī)器人

另一種常見的攻擊類型是使用先發(fā)機(jī)器人。

先發(fā)機(jī)器人要比狙擊機(jī)器人復(fù)雜得多。它們在一個區(qū)塊內(nèi)操控交易順序，并支付更高的價格。交易程序?qū)⑺鼈兎旁谑聞?wù)處理隊列中的第一位。其主要原因在于其內(nèi)在算法的復(fù)雜性。而且，整個運行過程的時間也更短。

這些機(jī)器人的內(nèi)在復(fù)雜性是由自動化程度決定的。它們能以毫秒級來決定最優(yōu)的交易規(guī)模。由于數(shù)字分類賬戶中的數(shù)據(jù)是可以訪問的，因此這種操作是合法的。但這種行為在金融市場卻是違法的。所以，提高安全性和保護(hù)能力依賴于首次區(qū)塊鏈數(shù)字資產(chǎn)（IDOs）的發(fā)行。這些措施應(yīng)該集中在先發(fā)機(jī)器人上。

名譽才是最重要的

對于Tokens發(fā)行者來說，名譽的重要性怎么高估都不過分。IotexPad 講述了狙擊機(jī)器人如何購買至少30% 的流動性，并在社區(qū)中進(jìn)行大量傾銷的案例。在發(fā)行前拒絕接受保護(hù)的團(tuán)隊會因此蒙受損失，也就失去了風(fēng)投和社區(qū)的信任。

我們得到的教訓(xùn)是：削減安全開支從來都不是一個好主意。一次成功黑客攻擊最終造成的損失可能降低項目的價值，甚至?xí)驌粑磥砘I集資金的積極性。

為什么受到安全保護(hù)的Tokens比不受到安全保護(hù)的Tokens更成功

所謂受到安全保護(hù)的Tokens，是指在 DEX交易中被保護(hù)的Tokens。對于開發(fā)人員來說，上市過程最為危險。

首先，如上所述，您將完全控制受保護(hù)的Tokens。即使機(jī)器人攻擊了區(qū)塊組1，也不能得到它們。在我們上一個案例中，當(dāng)我們?yōu)镸OON項目提供服務(wù)時，我們設(shè)法保護(hù)了價值近4萬美元的Tokens。

也就是說，如果您的Tokens受到保護(hù)，那么您投入的努力、金錢和時間打水漂的概率幾乎為零。

另一個重要部分就是聲譽。只要一次機(jī)器人攻擊，整個項目周圍的社區(qū)都會被永遠(yuǎn)摧毀。讓你的職業(yè)生涯成為CEO或簡單的開發(fā)人員都將受到質(zhì)疑。

如果我們談?wù)撌艿桨踩Ｗo(hù)的Tokens比不受保護(hù)Tokens更好的主要原因，我們可以這樣說：

受保護(hù)的Tokens讓您能夠輕松入睡，根本不必?fù)?dān)心IDO期間會出現(xiàn)非常糟糕的情況。你非但沒有慶祝Tokens的正式發(fā)行，反而經(jīng)歷了一場艱難的體驗。

受到安全保護(hù)的Tokens反映了在特定項目中開發(fā)并實施可靠解決方案的能力。在這種情況下，受到安全保護(hù)的Tokens在社區(qū)和項目所有者之間提供了額外的信任級別。此外，它們加快了合法使用加密資產(chǎn)的速度——即所謂的制度化——因為安全是公正和自由市場的保障。因此，愿意參與的人會越來越多。

受到安全保護(hù)的Tokens創(chuàng)建了一個健康的生態(tài)系統(tǒng)，同時保持了適當(dāng)?shù)牧鲃有?。每個Token都可用作項目的代表。這將轉(zhuǎn)化為用戶和發(fā)行人之間的長期關(guān)系。

譯者介紹

劉濤，51CTO社區(qū)編輯，某大型央企系統(tǒng)上線檢測管控負(fù)責(zé)人。精通Kali下SQL審計、SQLMAP自動化探測、XSS審計、Metasploit審計、CSRF審計、webshell審計、maltego審計等技術(shù)。

原文標(biāo)題：Secure Tokens are More Successful - Here's Why，作者：Dima Dimenko