Algunos rumores atribuyen el hack del Enigma a una contraseña filtrada que se usó varias veces con diferentes cuentas y sin dos factores de autenticación (2FA). Espero que no sea cierto, ya que eso contaría como negligencia grave.
Los certificados, https, 2FA y contraseñas seguras son cosas buenas necesarias, pero la seguridad del estado de la técnica es un objetivo que siempre se está moviendo y cambiando: ¡las actualizaciones de seguridad necesarias en el software y los servidores pueden ser diarias!
Nuestra solución es Nunca creas que has alcanzado el óptimo de seguridad. y siempre trate de aprender y mejorar (el ecosistema técnico pero también su propio comportamiento). Aquí, en el Proyecto Rouge, tenemos una reunión semanal sobre seguridad durante la cual auditamos e intentamos mejorarnos en este campo.
Por ejemplo, concluimos que el uso de Slack en muchos proyectos de Ethereum puede ser contraproducente. Slack es una herramienta fantástica que me encanta pero que fue creada para equipos, es decir, personas con un cierto grado de confianza entre ellos. No estoy seguro de que sea el medio adecuado cuando desarrollas una comunidad que los miembros no se conocen entre sí.
Sé que es difícil admitirlo, ¡pero tal vez te hackeen incluso si sigues la regla número 1!
Así que los proyectos necesitan Piense en soluciones que sean a prueba de balas contra algunos grados de piratería exitosa de su proyecto (el máximo el mejor).
Por ejemplo, el problema número uno en las ventas de fichas de Ethereum es cuando las personas envían a ether a la dirección incorrecta. Los piratas informáticos pueden reemplazar su dirección correcta por la suya propia en su sitio web si está comprometida (¡observe aquí que la regla Enigma 1 falla!). O los hackers pueden enviar correos electrónicos o boletines que parecen legítimos con la dirección incorrecta, etc.
En el Proyecto Rouge, propondremos en nuestras futuras ventas de fichas un concepto muy simple que podría resistir un montón de piratería: la prueba de dirección.
La dirección del contrato de nuestras ventas de token deberá ser autenticada por mí (Naira) o nuestro Desarrollador principal (Valentin) para que sea válida.
El sistema de autenticación es sencillo: ambos firmaremos un mensaje que valida la dirección del contrato utilizando el mecanismo de firma de Ethereum (este procedimiento es una funcionalidad estándar de Ethereum: vea, por ejemplo, cómo se firma este mensaje). Por lo tanto, cualquier persona puede realizar una verificación independiente (por ejemplo, en etherscan.io).
Las dos cuentas de Ethereum que se utilizan para firmar tienen claves privadas sin conexión y hace mucho tiempo que se publicaron ampliamente, ¡no solo en las páginas auto hospedadas! – en muchos lugares diferentes (bitcointalk, etc). Preferiblemente, es mejor elegir lugares donde las publicaciones anteriores sean inmutables (github, twitter) o tener una versión en caché en Google.
Si todos los proyectos hicieran lo mismo y las personas hubieran aprendido el reflejo para autenticar una dirección de esta manera antes de enviar ether, los intentos de phishing se convertirían en mucho ¡Más fuerte!