Технологія blockchain та криптовалюти зробили революцію в способі залучення капіталу компаній. Замість того, щоб підкреслювати фірми венчурного капіталу та жертвувати власним капіталом, контролем та автономією під час процесу збору коштів, стартапи тепер можуть отримати доступ до фінансування, необхідного для розвитку та успіху, не припиняючи більше ніж деякі фінансові стимули. Тим не менш, початкові пропозиції монет не завжди є надійними.
Незважаючи на сильно розрекламовані переваги безпеки криптовалют та власну захисну функцію blockchain, є кілька високо розрекламованих справ, які показують, що навіть найскладніші стіни не є неприступними. Для потенційних пускових установ ICO це малює ворожий та потенційно тривожний пейзаж.
Майже 10% усіх коштів, зібраних ICO, повідомили про вкрадене або втрату через хаки, стартапи, що базуються на blockchain, стикаються з важкою битвою за успіх. Однак ризики не повинні стримувати компанію від пошуку капіталу, необхідного для процвітання. Натомість існує кілька стратегій, які можуть значно підвищити безпеку ICO та забезпечити ваш раунд-фаундфінансування не просто безпечним, але й успішним.
1. Аудит ваших основних смарт-контрактів
Розумні контракти пропонують винахідницьке рішення для полегшення бездоганних обмінів, оскільки правила виконання угод повністю автоматизовані та жорстко закодовані в алгоритми. Що стосується ICO, однак, у смарт-контрактів історія слабких зв'язків у процесі залучення капіталу. Дійсно, деякі оцінки звинувачують майже половину всіх хакерських ефірів у погано розроблених смарт-контрактах.
Експерт із смарт-контрактів та блокчейнів Френк Бонне наголошує на важливості отримання професійного аудиту для Smart Contracts.
"Кодексувати 100% герметичний смарт-контракт майже неможливо", - сказав Бонне. "Навіть найкращі програмісти роблять помилки, і тому абсолютно необхідно пройти сторонній перегляд та аудит вашого контракту, навіть якщо це стосується спокою ваших інвесторів".
Такі приклади, як заморожування паритету та скандал DAO, є результатом того, як хакери знаходять уразливі коди смарт-контрактів та використовують їх. Що ще важливіше, але погано закодований розумний контракт може створювати інші проблеми, такі як зникаючі кошти, дублюються жетони і навіть сценарії, призначені для маніпулювання процесом вилучення жетонів.
Проведення перед ICO аудиту розумних контрактів із службами безпеки blockchain, такими як Hosho, яка зосереджена на тестуванні безпеки та проникнення для додатків blockchain та смарт-контрактів, дозволяє проектам виявляти проблеми, перш ніж вони перетворюються на катастрофи.
"Кількість успішних гучних атак та порушень даних свідчить про слабкі місця безпеки, які мають багато компаній і організацій", - сказав Хартей Сінгх Соуні, засновник і генеральний директор компанії Hosho. технічний аудит третьої сторони їх розумних контрактів. Крім того, надзвичайно важливим є тест на проникнення на їхній веб-сайт, щоб уникнути таких ситуацій, як, наприклад, те, що сталося з CoinDash ".
2. Слухайте проблеми громадськості та вирішіть їх
Одним з найбільш унікальних аспектів публічних блокчейнів та пов'язаних з ними криптовалют є їх ступінь прозорості. Більшість компаній випускають весь або принаймні частину свого коду, а в деяких випадках навіть розумні контракти на ICO. Незважаючи на зростаючу популярність серед основних роздрібних інвесторів, значна частина спільноти, яка стежить за блокчейном, тісно володіє знаннями кодування і потребує часу, щоб вивчити ці відповідні деталі. Для деяких підприємств це формальність, ніж фактичний крок, але це може бути неправильний спосіб його перегляду.
DAO є прекрасним прикладом того, чому компанії повинні слухати свою спільноту. Відкритий код компанії був доступний для огляду в основних сховищах, і кілька розробників попередили, що файли мають велику вразливість безпеки. Замість виправлення коду DAO ігнорував попередження, і в результаті були втрачені мільйони доларів.
Члени спільноти зацікавлені в успішному проведенні ICO, оскільки це означає, що вони зможуть скористатися корисністю, пропонованою платформою або послугою. Таким чином, надання їм чіткого каналу для висловлення занепокоєння та викриття питань є важливою складовою в забезпеченні вашого ICO. Однак важливіше - перетворити ці проблеми на конкретні виправлення, оскільки вони можуть бути пропущеними під час створення контракту.
3. Реалізуйте чітку політику щодо виявлення фішерів
Що стосується непрограмувальної сторони ICO, то важливо завжди бути пильними щодо будь-яких ознак потенційних афери. Незважаючи на те, що програмісти та інші працівники технологічної сфери можуть бути вразливими до тенденцій кібербезпеки та найкращих практик, не кожен член команди обізнаний про безпеку в Інтернеті або обов'язково її дбає. Перший крок у цій справі - освіта. Учасникам команди розвитку та продажів не потрібно розуміти код, але вони повинні знати про можливі подвиги та ознаки вчинення злому чи афери.
Що ще важливіше, компанії завжди повинні бути настільки ж безпечними та ініціативними, щоб уникнути шахрайства. Послідовне сканування веб-платформ, таких як Facebook, Telegram та інші центри, може допомогти виявити підозрілу активність та бути готовими до будь-якої події. Це також дає вашій команді можливість надійно передавати критичні оновлення, показувати правильний веб-сайт для ICO та навчати членів спільноти щодо потенційних ризиків.
У випадку EtherDelta неможливість компанії виявити шахрайські копії свого сайту, які хакери створили за допомогою доступу до своїх записів DNS та заміни його доменів, призвели до втрати тисяч доларів. Шахраї створили фальшиві веб-сайти, схожі на оригінал, і компанія була недостатньо пильною, щоб виявити та повідомити про можливі афери.
4. Забезпечте міцну безпеку для вашого шлюзу ICO
Історія CoinDash, надзвичайно розбитого ICO, який був зламаний та призвів до втрати 43 000 ETH, став застережливою історією для нових учасників. Розумні контракти компанії були забезпечені, але її веб-сайт не був. В результаті хакери змінили адресу гаманця на шлюзі ICO, і як тільки він був відкритий для загального користування, хакери викрали за 7 хвилин більше 7 мільйонів доларів.
Хакерам вдалося отримати доступ до веб-сайту компанії за допомогою подвигу, який дозволив їм змінювати вихідний файл, надаючи їм повний віддалений контроль над веб-сайтом. Просто змінивши адресу гаманця, вони змогли позбутися величезного обкрадання, незважаючи на недавнє повернення деяких монет.
Мораль історії CoinDash полягає в тому, що все частіше стає популярним орієнтуватися не лише на інфраструктуру більшості ICO, які покращують свою безпеку, а на ціль, яка легко забувається, як веб-сайт. У цьому випадку немає необхідності в капітальному аудиті безпеки, але важливо розгорнути правильні інструменти для захисту шлюзів.
Один з найпростіших та найефективніших способів досягти цього - це впровадження потужного брандмауера веб-додатків (WAF), такого як Incapsula. WAF контролюють вхідний та вихідний трафік, надаючи компаніям поліпшений контроль та контроль того, хто має доступ до своїх файлів та веб-сайтів. Брандмауери захищають ці куточки до оболонок веб-сайту, забезпечуючи захист від загальноприйнятих методів введення сценарію та експлуатації.
5. Захистіть своїх користувачів
Вдалий ICO не обов'язково закінчує процес краудфандингу. Після того, як користувачі отримали свої жетони, вони також потребують доступу до послуг, які вони допомогли фінансувати. Як британський криптозапуск Electroneum дізнався, коли на їхній веб-сайт потрапила DDoS-атака, яка закрила їх користувачів з їхніх рахунків, збір коштів - це лише половина битви.
Захист веб-сайту від хак, таких як DDoS-атаки, передбачає наявність відповідних інструментів для цього, і WAF можуть також виконувати цю функцію. Більше того, компанії завжди повинні наполегливо застосовувати найсуворіші заходи безпеки для користувачів, включаючи двофакторну автентифікацію, постійні сповіщення про будь-які зміни та навіть ведення журналів діяльності з метою безпеки. Захист користувачів є найважливішим, а забезпечення їх доступу до послуг, за які вони платили, є необхідністю уникнути юридичних наслідків.
Суть
ICO є високоефективним інструментом для стартапів, які прагнуть зберегти контроль над своїм бізнесом, але не є безризиковими та всемогутними. Щоб забезпечити успіх, завжди слід дотримуватися найкращих практик безпеки, докладаючи зусиль, щоб гарантувати, що ви максимально безпечні, а ваші користувачі також захищені.
