mirror of
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook.git
synced 2024-11-10 16:03:54 +08:00
Update README.md
This commit is contained in:
parent
70bc961412
commit
05ca7a50f3
@ -357,7 +357,7 @@ DeFi 安全至少包括如下几部分:
|
|||||||
|
|
||||||
对于高级玩家来说,如果智能合约部分本身安全性可控(无论是自己能安全审计还是读懂专业机构的安全审计报告),那么也就无所谓其他部分的安全了。可控是个很有差异的理解,有的得看玩家实力。比如说智能合约权限过大的风险,玩家是有要求的,除非项目方本身实力雄厚及口碑良好,完全中心化也都无所谓。但对于那些不大知名的、有争议的或新出现的项目,如果你说这个项目的智能合约有权限过大的风险,尤其是这种权限还可以影响你的本金或收益,你肯定就不愿意了。
|
对于高级玩家来说,如果智能合约部分本身安全性可控(无论是自己能安全审计还是读懂专业机构的安全审计报告),那么也就无所谓其他部分的安全了。可控是个很有差异的理解,有的得看玩家实力。比如说智能合约权限过大的风险,玩家是有要求的,除非项目方本身实力雄厚及口碑良好,完全中心化也都无所谓。但对于那些不大知名的、有争议的或新出现的项目,如果你说这个项目的智能合约有权限过大的风险,尤其是这种权限还可以影响你的本金或收益,你肯定就不愿意了。
|
||||||
|
|
||||||
权限过大这种风险是很微妙的,很多时候权限这东西是方便项目方做相关治理及风险应急的。但对我们来说,这就是人性考量了,万一项目方做恶呢?于是业内有了折中的实践:增加时间锁(Timelock)来解决一些权限过大的风险,比如:
|
权限过大这种风险是很微妙的,很多时候权限这东西是方便项目方做相关治理及风险应急的。但对我们来说,这就是人性考量了,万一项目方作恶呢?于是业内有了折中的实践:增加时间锁(Timelock)来解决一些权限过大的风险,比如:
|
||||||
|
|
||||||
> Compound,这个老牌知名的 DeFi 项目,它核心的智能合约模块 Comptroller 及 Governance 的 admin 权限都加了 Timelock 机制:<br>
|
> Compound,这个老牌知名的 DeFi 项目,它核心的智能合约模块 Comptroller 及 Governance 的 admin 权限都加了 Timelock 机制:<br>
|
||||||
> Comptroller(0x3d9819210a31b4961b30ef54be2aed79b9c9cd3b)<br>
|
> Comptroller(0x3d9819210a31b4961b30ef54be2aed79b9c9cd3b)<br>
|
||||||
@ -389,8 +389,8 @@ DeFi 安全至少包括如下几部分:
|
|||||||
|
|
||||||
造成这种不安全感主要是因为以下这两种风险:
|
造成这种不安全感主要是因为以下这两种风险:
|
||||||
|
|
||||||
* 内部做恶
|
* 内部作恶
|
||||||
* 第三方做恶
|
* 第三方作恶
|
||||||
|
|
||||||
内部作恶很好理解,比如开发人员偷偷将前端页面里的目标智能合约地址替换为一个有后门的合约地址,或者直接植入个授权钓鱼脚本。当你访问该前端页面时,你钱包后续的一系列涉及加密货币的操作都可能是在陷阱里完成的。神不知鬼不觉,币没了。
|
内部作恶很好理解,比如开发人员偷偷将前端页面里的目标智能合约地址替换为一个有后门的合约地址,或者直接植入个授权钓鱼脚本。当你访问该前端页面时,你钱包后续的一系列涉及加密货币的操作都可能是在陷阱里完成的。神不知鬼不觉,币没了。
|
||||||
|
|
||||||
@ -821,7 +821,7 @@ Discord 是这两年流行起来的新型社交平台,聊天、群组这些基
|
|||||||
|
|
||||||
Discord 上发生了这么多起 NFT 被盗案,请问其中的攻击技术要点是什么?如果这都没搞清楚,一堆 Discord 安全建议用处都不大。
|
Discord 上发生了这么多起 NFT 被盗案,请问其中的攻击技术要点是什么?如果这都没搞清楚,一堆 Discord 安全建议用处都不大。
|
||||||
|
|
||||||
不少项目方的 Discord 服务器被搞的技术要点是那个所谓的 Discord Token,实际上这个玩意是 HTTP 请求头里的 authorization 字段内容。这玩意在 Discord 存在非常久了,对于黑客来说,只要想办法拿到这个 Discord Token,即可几乎完全控制目标的 Discord 权限,也就是说,如果目标是管理员、有管理权限的人或机器人(Bot),那么黑客就可以用这些特权来做恶了。
|
不少项目方的 Discord 服务器被搞的技术要点是那个所谓的 Discord Token,实际上这个玩意是 HTTP 请求头里的 authorization 字段内容。这玩意在 Discord 存在非常久了,对于黑客来说,只要想办法拿到这个 Discord Token,即可几乎完全控制目标的 Discord 权限,也就是说,如果目标是管理员、有管理权限的人或机器人(Bot),那么黑客就可以用这些特权来作恶了。
|
||||||
|
|
||||||
比如,发布 NFT 钓鱼网站,大家一看:官方发的公告,于是就一股脑儿冲进钓鱼网站了...
|
比如,发布 NFT 钓鱼网站,大家一看:官方发的公告,于是就一股脑儿冲进钓鱼网站了...
|
||||||
|
|
||||||
|
Loading…
Reference in New Issue
Block a user