Эта серия статей, основанная на материалах "Специального выпуска о безопасности 05", совместно подготовленного OKX Web3 и BlockSec, посвящена вопросам безопасности, с которыми сталкиваются пользователи DeFi и команды DeFi-проектов.
Q1 : Как пользователям сформировать бдительность при участии в DeFi
Команда безопасности OKX Web3 Wallet : Возьмем для примера «китов». Под китами мы в основном понимаем частных инвесторов или небольшие группы инвестиционных институтов, обладающих крупным капиталом, у которых обычно нет сильной команды специалистов по безопасности и возможности самостоятельно разрабатывать инструменты защиты. Поэтому до сих пор большинство китов на самом деле не обладают достаточным пониманием рисков, иначе они не понесли бы таких значительных убытков.
Из-за угрозы огромных потерь некоторые пользователи-киты стали сознательно полагаться на ряд общедоступных инструментов безопасности для мониторинга и обнаружения рисков. Сейчас многие команды работают над продуктами для мониторинга, но выбор инструмента имеет решающее значение. Вот несколько ключевых моментов:
Во-первых, это стоимость использования инструмента. Многие инструменты, несмотря на свою мощность, требуют навыков программирования и стоят недешево. Пользователям нелегко разобраться в структуре контракта или даже просто собрать адреса.
Во-вторых, это точность. Никому не хочется просыпаться ночью от серии оповещений, чтобы потом обнаружить, что это ложные срабатывания. Поэтому точность также критически важна.
Наконец, это безопасность самих инструментов. Особенно при таком объеме средств мы не можем игнорировать различные риски, связанные с разработкой инструмента и его командой. Недавний инцидент с атакой на Gala Games, как говорят, произошел из-за внедрения небезопасного стороннего поставщика услуг. Поэтому надежная команда и заслуживающие доверия продукты — это самое главное.
На данный момент многие киты обращаются к нам, и мы рекомендуем им профессиональные решения по управлению активами, чтобы они могли обеспечить сохранность своих средств, параллельно решая задачи ежедневного управления капиталом, такого как «майнинг, вывод и продажа», а также вовремя распознавать риски и даже экстренно выводить активы в чрезвычайных ситуациях.
Q2 : Советы по безопасности при участии в DeFi и управлении сопутствующими рисками
Команда безопасности BlockSec : Для участников с крупным капиталом главной заботой при работе с протоколами DeFi является обеспечение сохранности основного капитала, поэтому инвестировать стоит только после тщательного изучения потенциальных рисков безопасности. Есть несколько аспектов, которые следует учитывать для обеспечения защиты средств:
Во-первых, следует провести всестороннюю оценку того, насколько проектная команда уделяет внимание безопасности и инвестирует в нее. Это включает в себя наличие у проекта тщательного аудита безопасности, способность команды отслеживать риски безопасности и реагировать на них автоматически, а также наличие эффективного механизма управления сообществом. Все это отражает то, ставит ли проект приоритетом безопасность средств пользователей и насколько ответственно относится к их сохранности.
Во-вторых, участникам с крупным капиталом необходимо создавать собственные системы мониторинга безопасности и автоматического реагирования. В случае инцидента безопасности в протоколе, в который инвестированы средства, крупные инвесторы должны иметь возможность первыми заметить угрозу и вывести капитал, чтобы максимально минимизировать убытки, а не возлагать все надежды на проектную команду. Глядя на громкие атаки на такие проекты, как Curve, KyberSwap и Euler Finance в 2023 году, становится ясно, что крупные инвесторы часто пропускают своевременные оповещения и не имеют собственных систем мониторинга безопасности и экстренного вывода средств.
Кроме того, инвесторам необходимо выбирать надежных партнеров в сфере безопасности, чтобы постоянно контролировать защищенность целевых объектов инвестирования. Любые обновления кода проекта, важные изменения параметров и т. д. должны своевременно отслеживаться, а риски — оцениваться. Такие задачи трудно выполнить без участия профессиональной команды безопасности и соответствующих инструментов.
Наконец, необходимо обеспечить безопасность закрытых ключей. Для счетов, где требуется частая торговля, лучше всего сочетать онлайн-решения с мультиподписью и офлайн-решения по безопасности закрытых ключей, чтобы исключить риск единой точки отказа при потере одного адреса или одного закрытого ключа.
Что делать, если инвестиционный проект сталкивается с рисками безопасности?
Считается, что для любого кита или инвестора первой реакцией на инцидент безопасности должна быть защита основного капитала, и приоритетной задачей является максимально быстрый вывод средств. Однако злоумышленники обычно действуют очень быстро, и ручные операции часто опаздывают, поэтому лучше выводить средства автоматически в соответствии с уровнем риска. В настоящее время наша платформа для мониторинга и блокировки атак Phalcon может автоматически выводить средства после обнаружения атакующей транзакции, помогая пользователям эвакуировать активы в первую очередь.
Во-вторых, если убытки все же произошли, помимо извлечения уроков, следует активно побуждать проектную команду обращаться за помощью к охранным компаниям для отслеживания и контроля поврежденных средств. Благодаря вниманию всей криптоиндустрии к безопасности, доля возвращаемых средств постепенно увеличивается.
Наконец, для крупных держателей активов стоит рассмотреть возможность привлечения охранных фирм для аудита всего своего инвестиционного портфеля на предмет выявления схожих уязвимостей. Многие атаки имеют общие первопричины, как показал инцидент с Compound V2, который имел параллели в других проектах. Фирмы по безопасности могут выявить риски во всех ваших инвестициях, что позволит своевременно связаться с проектными командами или, при необходимости, предпринять меры по стратегическому выводу средств.
Команда безопасности OKX Web3 Wallet : При участии в DeFi-проектах пользователи могут принимать различные меры, чтобы делать это безопаснее, снижать риск потери средств и получать выгоду от децентрализованных финансов. Мы подробно рассмотрим это в двух аспектах: на уровне пользователя и на уровне OKX Web3 Wallet.
Во-первых, рекомендации для пользователей:
- 1)Выбирайте проекты, прошедшие аудит: отдавайте приоритет проектам, аудит которых проводили известные сторонние компании (такие как ConsenSys Diligence, Trail of Bits, OpenZeppelin, Quantstamp, ABDK), изучайте их публичные отчеты об аудитах и понимайте потенциальные риски и исправленные уязвимости.
- 2)Изучайте предысторию проекта и команду: убедитесь в прозрачности и надежности проекта, изучив «белую книгу», официальный сайт и послужной список команды разработчиков. Обращайте внимание на активность команды в социальных сетях и сообществах разработчиков, чтобы оценить их технический потенциал и поддержку со стороны сообщества.
- 3)Диверсифицируйте инвестиции: не вкладывайте все средства в один DeFi-проект или актив; диверсификация позволяет снизить риски. Выбирайте несколько разных типов DeFi-проектов, таких как кредитование, DEX, фарминг и т. д.
- 4)Проводите тесты небольшими суммами: прежде чем совершать крупные операции, проведите небольшие тестовые транзакции, чтобы убедиться в безопасности операций и платформ.
- 5)Регулярно проверяйте кошельки и принимайте меры при необходимости: регулярно проверяйте свои счета в DeFi и активы, чтобы своевременно замечать подозрительные транзакции или активность. Используйте инструменты (например, Etherscan) для мониторинга транзакций в сети. При обнаружении отклонений принимайте экстренные меры, такие как отзыв всех разрешений (approvals) для учетной записи, обращение в службу поддержки кошелька и т. д.
- 6)Соблюдайте осторожность с новыми проектами: относитесь настороженно к проектам, которые только что запустились или не прошли проверку временем. Сначала можно инвестировать небольшую сумму для тестирования и понаблюдать за их работой и безопасностью.
- 7)Используйте для транзакций основные Web3-кошельки: взаимодействуйте с DeFi-проектами только через популярные Web3-кошельки, которые обеспечивают лучшую защиту.
- 8)Остерегайтесь фишинговых атак: будьте осторожны при переходе по незнакомым ссылкам и письмам из неизвестных источников, не вводите закрытые ключи или мнемонические фразы на ненадежных сайтах и всегда проверяйте, что находитесь на официальном ресурсе. Используйте официальные каналы для загрузки кошельков и приложений, чтобы гарантировать подлинность программного обеспечения.
Во-вторых, с точки зрения OKX Web3 Wallet:
Мы предоставляем множество механизмов безопасности для защиты средств пользователей:
- 1)Выявление опасных доменов: при доступе пользователей к DApp кошелек OKX Web3 анализирует домен. Если пользователи пытаются зайти на вредоносный DApp, доступ будет заблокирован, либо пользователю будет выдано предупреждение, чтобы предотвратить обман.
- 2)Выявление Honeypot-токенов: OKX Web3 Wallet поддерживает комплексное обнаружение Honeypot-токенов, превентивно блокируя их, чтобы пользователи не могли взаимодействовать с ними.
- 3)Библиотека тегов адресов: OKX Web3 Wallet предлагает обширную библиотеку тегов адресов, которая своевременно уведомляет пользователей при взаимодействии с подозрительными адресами.
- 4)Предварительная симуляция транзакций: перед отправкой любой транзакции OKX Web3 Wallet имитирует её выполнение и отображает для ознакомления изменения в активах и разрешениях. Пользователи могут оценить, соответствуют ли результаты их ожиданиям, и решить, стоит ли продолжать транзакцию.
- 5)Интеграция DeFi-приложений: OKX Web3 Wallet интегрировал сервисы различных популярных DeFi-проектов, позволяя пользователям уверенно взаимодействовать с ними. Кроме того, OKX Web3 Wallet предоставляет рекомендации по выбору путей для DEX, кросс-чейн мостов и других DeFi-сервисов, чтобы предложить пользователям лучшие решения и оптимальные комиссии за газ.
- 6)Дополнительные услуги безопасности: OKX Web3 Wallet постепенно внедряет больше функций безопасности и разрабатывает продвинутые сервисы защиты, чтобы более эффективно и надежно обеспечивать сохранность активов пользователей.
