Monad співзасновники опублікували список із 10 пунктів для перевірки безпеки протоколів, підкреслюючи ключові ризики мультипідпису та управління правами

МЕ Новини повідомляє, що 3 квітня (UTC+8) співзасновник Monad Keone Hon опублікував у платформі X список перевірки безпеки протоколу, який охоплює ключові питання, такі як управлінські повноваження, безпека коштів та дизайн механізмів мульти-підпису, з основними десятьма пунктами: 1. Чітко визначити, які функції адміністратора можуть спричинити втрату коштів; 2. Забезпечити встановлення таймлоків для відповідних операцій; 3. Встановити механізм моніторингу в реальному часі; 4. Вчасно попереджати при виклику функцій адміністратора; 5. Відсортувати всі привілейовані облікові записи та максимально використовувати структуру мульти-підпису (k-of-n); 6. Чітко визначити параметри порогу підпису; 7. Мульти-підписувачі повинні використовувати окремі холодні пристрої, призначені лише для підпису, та дотримуватися найкращих практик (наприклад, незалежна перевірка хешу транзакції); 8. Встановити обмеження швидкості зняття коштів і уникати контролю з однієї і тієї ж мульти-підписної групи; 9. Забезпечити здатність обладнання співробітників виявляти та керувати шкідливим програмним забезпеченням; 10. Передбачити крайні сценарії, коли мульти-підписувачі будуть зламані, і з точки зору атаки проаналізувати потенційні шляхи атаки для оптимізації системного дизайну з метою підвищення вартості та складності атаки. Раніше повідомлялося, що протокол Drift за тиждень до атаки хакерів на суму 285 мільйонів доларів налаштував механізм мульти-підпису на “2/5” (один старий підписувач + 4 нових підписувачі) без встановлення таймлоку, після чого зловмисник отримав адміністративні права, підробив токени CVT, маніпулював оракулом, закрив системи безпеки та перевів високовартісні активи з пулу коштів. (Джерело: PANews)