ME News メッセージ、4月3日(UTC+8)、Monad共同創設者Keone HonはXプラットフォーム上でプロトコルのセキュリティ自己点検リストを公開しました。 このリストは、管理権限、資金の安全性、多署名メカニズムの設計などのコアな問題を重点的にカバーし、主に10項目から構成されています: 1、どの管理者関数が資金損失を引き起こす可能性があるかを明確にする; 2、関連操作にはすべてタイムロックを設定する; 3、リアルタイム監視メカニズムを構築する; 4、管理者関数呼び出し時に即座に警告を出す; 5、すべての特権アカウントを整理し、できるだけ多署名(k-of-n)構造を採用する; 6、署名閾値パラメータを明確にする; 7、多署名の署名者は独立したコールドデバイスを使用し、署名操作のみに限定し、最良の実践(例:独立した取引ハッシュの検証)を遵守する; 8、引き出しにはレートリミットを設定し、同一の多署名による制御を避ける; 9、従業員のデバイスにはマルウェア検出と管理能力を備える; 10、万一多署名の署名者が攻撃された場合の極端なシナリオを事前に想定し、攻撃者の視点から潜在的な攻撃経路を逆算してシステム設計を最適化し、攻撃コストと複雑さを向上させる。 以前のニュース、Drift Protocolは2億8500万ドルのハッカー攻撃を受ける一週間前に、多署名メカニズムを「2/5」(1人の旧署名者+4人の新署名者)に調整し、タイムロックを設定しませんでした。 その後、攻撃者は管理者権限を獲得し、CVTトークンを偽造し、オラクルを操作し、安全メカニズムを停止し、資金プールから高額資産を移動しました。(出典:PANews)
Monad共同創設者が10項目のプロトコル安全自己点検リストを公開、マルチシグと権限管理の重要リスクを強調
ME News メッセージ、4月3日(UTC+8)、Monad共同創設者Keone HonはXプラットフォーム上でプロトコルのセキュリティ自己点検リストを公開しました。
このリストは、管理権限、資金の安全性、多署名メカニズムの設計などのコアな問題を重点的にカバーし、主に10項目から構成されています:
1、どの管理者関数が資金損失を引き起こす可能性があるかを明確にする;
2、関連操作にはすべてタイムロックを設定する;
3、リアルタイム監視メカニズムを構築する;
4、管理者関数呼び出し時に即座に警告を出す;
5、すべての特権アカウントを整理し、できるだけ多署名(k-of-n)構造を採用する;
6、署名閾値パラメータを明確にする;
7、多署名の署名者は独立したコールドデバイスを使用し、署名操作のみに限定し、最良の実践(例:独立した取引ハッシュの検証)を遵守する;
8、引き出しにはレートリミットを設定し、同一の多署名による制御を避ける;
9、従業員のデバイスにはマルウェア検出と管理能力を備える;
10、万一多署名の署名者が攻撃された場合の極端なシナリオを事前に想定し、攻撃者の視点から潜在的な攻撃経路を逆算してシステム設計を最適化し、攻撃コストと複雑さを向上させる。
以前のニュース、Drift Protocolは2億8500万ドルのハッカー攻撃を受ける一週間前に、多署名メカニズムを「2/5」(1人の旧署名者+4人の新署名者)に調整し、タイムロックを設定しませんでした。
その後、攻撃者は管理者権限を獲得し、CVTトークンを偽造し、オラクルを操作し、安全メカニズムを停止し、資金プールから高額資産を移動しました。(出典:PANews)