ME News ニュース、4月3日(UTC+8)、Monad共同創設者のKeone HonがXプラットフォーム上でプロトコルのセキュリティ自己点検リストを公開、管理権限、資金安全、多署署名メカニズム設計などのコアな問題を重点的にカバーし、主に十点を含む: 1、どの管理者関数が資金損失を引き起こす可能性があるかを明確にする; 2、関連操作にタイムロックを設定していることを保証する; 3、リアルタイム監視メカニズムを構築する; 4、管理者関数が呼び出された際に即座に警告を出す; 5、すべての特権アカウントを整理し、できるだけマルチシグ(k-of-n)構造を採用する; 6、署名閾値パラメータを明確にする; 7、マルチシグ署名者は署名操作専用の独立したコールドデバイスを使用し、(例:独立したトランザクションハッシュの検証)といったベストプラクティスに従う; 8、引き出しにレートリミットを設定し、同一のマルチシグによる制御を避ける; 9、従業員のデバイスにマルウェア検出と管理能力を備える; 10、マルチシグ署名者が攻撃された極端なシナリオを事前に想定し、攻撃者の視点から潜在的な攻撃経路を逆算してシステム設計を最適化し、攻撃コストと複雑さを向上させる。 以前のニュース、Drift Protocolは2.85億ドルのハッカー攻撃を受ける一週間前にマルチシグメカニズムを「2/5」(1人の旧署名者+4人の新署名者)に調整し、タイムロックを設定しなかったため、攻撃者はその後管理者権限を獲得し、CVTトークンを偽造し、オラクルを操作し、安全メカニズムを停止し、資金プールから高価値資産を移動した。(出典:PANews)
Monad共同創設者が10項目のプロトコル安全自己点検リストを公開、マルチシグと権限管理の重要リスクを強調
ME News ニュース、4月3日(UTC+8)、Monad共同創設者のKeone HonがXプラットフォーム上でプロトコルのセキュリティ自己点検リストを公開、管理権限、資金安全、多署署名メカニズム設計などのコアな問題を重点的にカバーし、主に十点を含む:
1、どの管理者関数が資金損失を引き起こす可能性があるかを明確にする;
2、関連操作にタイムロックを設定していることを保証する;
3、リアルタイム監視メカニズムを構築する;
4、管理者関数が呼び出された際に即座に警告を出す;
5、すべての特権アカウントを整理し、できるだけマルチシグ(k-of-n)構造を採用する;
6、署名閾値パラメータを明確にする;
7、マルチシグ署名者は署名操作専用の独立したコールドデバイスを使用し、(例:独立したトランザクションハッシュの検証)といったベストプラクティスに従う;
8、引き出しにレートリミットを設定し、同一のマルチシグによる制御を避ける;
9、従業員のデバイスにマルウェア検出と管理能力を備える;
10、マルチシグ署名者が攻撃された極端なシナリオを事前に想定し、攻撃者の視点から潜在的な攻撃経路を逆算してシステム設計を最適化し、攻撃コストと複雑さを向上させる。
以前のニュース、Drift Protocolは2.85億ドルのハッカー攻撃を受ける一週間前にマルチシグメカニズムを「2/5」(1人の旧署名者+4人の新署名者)に調整し、タイムロックを設定しなかったため、攻撃者はその後管理者権限を獲得し、CVTトークンを偽造し、オラクルを操作し、安全メカニズムを停止し、資金プールから高価値資産を移動した。(出典:PANews)