ME News メッセージ。4月3日(UTC+8)、Monadの共同創業者Keone HonがXプラットフォームでプロトコルのセキュリティ自己点検チェックリストを公開し、管理権限、資金の安全性、多重署名(マルチシグ)メカニズムの設計などの中核的な論点を重点的に取り上げた。主な内容は10項目:1、どの管理者関数が資金損失につながり得るかを明確にする;2、関連するすべての操作にタイムロックを設定することを確実にする;3、リアルタイム監視メカニズムを構築する;4、管理者関数が呼び出された際に速やかにアラートする;5、すべての特権アカウントを棚卸しし、可能な限り多重署名(k-of-n)構造を採用する;6、署名ゲートの閾値パラメータを明確にする;7、多重署名の署名者は、署名操作のみに使用する独立したコールドデバイスを用い、ベストプラクティスに従う(例:独立して取引ハッシュを検証する);8、出金に対してレート制限を設け、同一の多重署名が管理しないようにする;9、従業員の端末に悪意あるソフトウェア検知および管理能力があることを確実にする;10、多重署名の署名者が侵害されるという極端なシナリオを事前に想定し、攻撃者の視点から潜在的な攻撃経路を逆算してそれに基づきシステム設計を最適化し、攻撃コストと複雑性を高める。先の報道では、Drift Protocolが2億8500万ドルのハッキング攻撃を受ける1週間前に多重署名メカニズムを「2/5」(1人の旧署名者+4人の新署名者)へ調整し、タイムロック(timelock)を設定していなかった。攻撃者はその後管理者権限を取得し、CVTトークンを偽造し、オラクルを操作し、安全メカニズムを停止し、資金プールから高額な資産を移転した。(出典:PANews)
Monad連創は10項目のプロトコル安全自己点検リストを公開し、多重署名と権限管理の重要リスクを強調
ME News メッセージ。4月3日(UTC+8)、Monadの共同創業者Keone HonがXプラットフォームでプロトコルのセキュリティ自己点検チェックリストを公開し、管理権限、資金の安全性、多重署名(マルチシグ)メカニズムの設計などの中核的な論点を重点的に取り上げた。主な内容は10項目:1、どの管理者関数が資金損失につながり得るかを明確にする;2、関連するすべての操作にタイムロックを設定することを確実にする;3、リアルタイム監視メカニズムを構築する;4、管理者関数が呼び出された際に速やかにアラートする;5、すべての特権アカウントを棚卸しし、可能な限り多重署名(k-of-n)構造を採用する;6、署名ゲートの閾値パラメータを明確にする;7、多重署名の署名者は、署名操作のみに使用する独立したコールドデバイスを用い、ベストプラクティスに従う(例:独立して取引ハッシュを検証する);8、出金に対してレート制限を設け、同一の多重署名が管理しないようにする;9、従業員の端末に悪意あるソフトウェア検知および管理能力があることを確実にする;10、多重署名の署名者が侵害されるという極端なシナリオを事前に想定し、攻撃者の視点から潜在的な攻撃経路を逆算してそれに基づきシステム設計を最適化し、攻撃コストと複雑性を高める。先の報道では、Drift Protocolが2億8500万ドルのハッキング攻撃を受ける1週間前に多重署名メカニズムを「2/5」(1人の旧署名者+4人の新署名者)へ調整し、タイムロック(timelock)を設定していなかった。攻撃者はその後管理者権限を取得し、CVTトークンを偽造し、オラクルを操作し、安全メカニズムを停止し、資金プールから高額な資産を移転した。(出典:PANews)