Sổ Tay An Toàn ICO: 5 Bước Đảm Bảo Thực Hành Tốt Nhất

Công nghệ blockchain và tiền điện tử đã làm thay đổi cách các công ty huy động vốn. Thay vì mạo hiểm với các công ty đầu tư rủi ro và hy sinh sự sở hữu, kiểm soát và tự chủ trong quá trình gây quỹ, các startup bây giờ có thể tiếp cận nguồn tài chính cần thiết để phát triển và thành công mà không cần nhường nhiều hơn một số động lực tài chính. Tuy nhiên, các ICO không phải lúc nào cũng hoàn toàn an toàn.

Mặc dù các lợi thế về bảo mật được ca ngợi cao của tiền điện tử và các phòng thủ của blockchain, nhiều trường hợp nổi bật đã chứng minh rằng ngay cả những bức tường cứng nhất cũng không thể ngăn chặn được. Đối với những người muốn tung ra ICO, điều này vẽ ra một bối cảnh đầy thù địch và có thể gây báo động.

Vì các quỹ được huy động từ ICO có thể bị đánh cắp hoặc mất do các vụ hack, các startup dựa trên blockchain đối mặt với một cuộc chiến gian nan để thành công. Tuy nhiên, những rủi ro này không nên làm dừng bước một công ty khỏi việc tìm kiếm vốn cần thiết để phát triển. Thay vào đó, có nhiều chiến lược có thể cải thiện đáng kể sự an toàn của một ICO và đảm bảo vòng gây quỹ của bạn không chỉ an toàn mà còn thành công.

Những Điểm Chính

1. Kiểm Định Các Hợp Đồng Thông Minh Gốc

Các hợp đồng thông minh cung cấp một giải pháp sáng tạo để hỗ trợ các giao dịch không cần tin tưởng với điều kiện thực hiện hợp đồng được hoàn toàn tự động hóa và lập trình cứng vào các thuật toán. Các hợp đồng thông minh là các ứng dụng số tự động, tự thực thi có khả năng chạy một cách độc lập theo chương trình đã được lập trình.

Tuy nhiên, các hợp đồng thông minh đã bị hack do thiết kế kém hoặc lỗ hổng trong lập trình của chúng. Tổ chức tự phát triển phân tán (DAO) là một loạt các hợp đồng thông minh chạy trên blockchain Ethereum. DAO là một tổ chức được thiết kế để là quỹ vốn rủi ro được phân tán và tự động hóa. Vào tháng 6 năm 2016, blockchain Ethereum đã bị hack và khoảng 50 triệu USD tiền đã bị đánh cắp. Các hacker đã tận dụng các lỗ hổng trong mã code của các hợp đồng.

Chuyên gia về hợp đồng thông minh và blockchain Frank Bonnet nhấn mạnh sự quan trọng của việc được kiểm định chuyên nghiệp cho các Hợp Đồng Thông Minh.

'Gần như không thể lập trình một hợp đồng thông minh hoàn toàn chặt chẽ 100%,' Bonnet nói. 'Ngay cả những lập trình viên giỏi nhất cũng có thể mắc lỗi, và vì vậy việc kiểm tra và duyệt hợp đồng bởi bên thứ ba là điều tuyệt đối cần thiết, ngay cả chỉ để an tâm cho các nhà đầu tư của bạn.'

Những kẻ tấn công khai thác lỗ hổng trong mã hợp đồng thông minh có thể gây ra vấn đề nghiêm trọng cho một mạng lưới. Một hợp đồng thông minh lập trình kém có thể tạo ra các vấn đề khác như mất tiền, token bị sao chép, và thậm chí là các kịch bản được thiết kế để can thiệp vào quá trình phát hành token.

Thực hiện kiểm định trước ICO của các hợp đồng thông minh, tập trung vào bảo mật và kiểm thử xâm nhập cho các ứng dụng blockchain và hợp đồng thông minh, cho phép các dự án phát hiện ra vấn đề trước khi chúng trở thành thảm họa.

2. Lắng nghe các vấn đề của cộng đồng và giải quyết chúng

Một trong những khía cạnh độc đáo nhất của các blockchain công khai và các loại tiền điện tử liên quan là mức độ minh bạch của chúng. Hầu hết các công ty công bố toàn bộ hoặc ít nhất là một phần mã nguồn của họ, và trong một số trường hợp, thậm chí là các hợp đồng thông minh cho ICO. Mặc dù ngày càng phổ biến với các nhà đầu tư bán lẻ chính thống, một phần lớn cộng đồng theo dõi blockchain chặt chẽ biết lập trình và sẽ dành thời gian để xem xét những chi tiết quan trọng này. Điều này là hơn cả một thủ tục của một số doanh nghiệp, nhưng có thể là một cách nhìn sai lầm.

The DAO là một ví dụ hoàn hảo cho việc tại sao các công ty phải lắng nghe cộng đồng của họ. Mã nguồn mở của công ty có sẵn để xem xét trên các kho lưu trữ lớn, và một số nhà phát triển cảnh báo rằng tập tin có một lỗ hổng bảo mật lớn. Thay vì vá lỗi trong mã, The DAO đã phớt lờ những cảnh báo này, và hàng triệu đô la đã bị mất vì điều đó.

Các thành viên cộng đồng có một lợi ích nghiêm túc trong một ICO thành công vì điều này có nghĩa là họ sẽ có cơ hội hưởng lợi từ tiện ích được cung cấp bởi nền tảng hoặc dịch vụ. Do đó, việc cung cấp cho họ một kênh rõ ràng để bày tỏ mối quan ngại và phơi bày các vấn đề là rất quan trọng trong việc bảo vệ một ICO.

3. Áp dụng Chính sách Mạnh Mẽ để Phát hiện Kẻ Lừa Đảo

Trên phần không phải lập trình của một ICO, việc luôn cảnh giác với bất kỳ dấu hiệu nào của các chiêu thức lừa đảo tiềm năng là rất quan trọng. Mặc dù các lập trình viên và nhân viên kỹ thuật khác có thể biết đến các xu hướng bảo mật mạng và các thực tiễn tốt nhất, không phải tất cả các thành viên trong nhóm đều nhận thức được, hoặc quan tâm đến, an toàn trực tuyến. Bước đầu tiên, trong trường hợp này, là giáo dục. Các thành viên của nhóm phát triển kinh doanh và bán hàng không cần phải hiểu mã lập trình, nhưng họ cần phải biết về các lỗ hổng tiềm năng và dấu hiệu của một cuộc tấn công hoặc lừa đảo đang diễn ra.

Công ty nên luôn đảm bảo an toàn và tích cực trong việc tránh lừa đảo. Việc quét thường xuyên các nền tảng web như Facebook, Telegram và các trung tâm khác có thể giúp phát hiện hoạt động đáng ngờ và sẵn sàng cho mọi sự cố có thể xảy ra. Điều này cũng cung cấp cơ hội cho đội ngũ của bạn để truyền tải những cập nhật quan trọng một cách đáng tin cậy, hiển thị trang web chính xác cho một ICO, và giáo dục các thành viên cộng đồng về những nguy cơ tiềm ẩn.

Trong trường hợp tấn công Máy chủ tên miền (DNS), các hacker có thể truy cập vào các bản ghi DNS và tạo bản sao giả mạo của trang web, thay thế tên miền của công ty bằng các tên miền giả mạo. Các trang web giả mạo được thiết lập bởi những kẻ lừa đảo này trông giống như ban đầu. Các hacker chiếm đoạt lưu lượng để đánh cắp dữ liệu cá nhân hoặc thông tin đăng nhập của người dùng. Các công ty phải duy trì sự cảnh giác để nhận diện và báo cáo các hoạt động lừa đảo tiềm ẩn.

4. Cung cấp Bảo mật Mạnh mẽ cho Cổng thanh toán ICO của Bạn

Năm 2017, CoinDash, một ICO được nhắc đến nhiều, đã bị hack, dẫn đến mất mát 43,000 ETH và trở thành một câu chuyện cảnh báo đối với những người mới tham gia. Hợp đồng thông minh của công ty đã được bảo vệ, nhưng trang web của họ thì không. Do đó, các hacker đã thay đổi địa chỉ ví trên cổng thanh toán ICO, và khi nó được mở cho công chúng, các hacker đã đánh cắp hơn 7 triệu USD trong chưa đầy bảy phút.

Các hacker đã có thể truy cập vào trang web của công ty thông qua một lỗ hổng cho phép họ thay đổi tập tin nguồn, cấp họ điều khiển từ xa hoàn toàn trên trang web. Chỉ bằng cách thay đổi địa chỉ ví, họ đã có thể thực hiện một vụ cướp lớn mặc dù đã trả lại một số đồng tiền.

Bài học rút ra từ câu chuyện của CoinDash là việc tấn công không chỉ hướng đến cơ sở hạ tầng của hầu hết các ICO, mà đã nâng cấp bảo mật của họ, mà còn tấn công vào một mục tiêu dễ bị bỏ qua như một trang web. Trong trường hợp này, không cần phải có một cuộc kiểm tra bảo mật lớn, nhưng rất quan trọng để triển khai các công cụ phù hợp để bảo vệ cổng thanh toán.

Một trong những cách đơn giản và hiệu quả nhất để làm điều này là triển khai một tường lửa ứng dụng web mạnh mẽ (WAF), như của Incapsula. WAF kiểm soát lưu lượng vào và ra, cung cấp cho các công ty sự kiểm soát và giám sát cải tiến về người nào đang truy cập vào tập tin và trang web của họ. Tường lửa bảo vệ những lỗ hổng này đối với các shell trang web và đồng thời bảo vệ chống lại các kỹ thuật tiêm kịch bản và khai thác thông thường.

5. Bảo vệ Người dùng Của Bạn

Một ICO thành công không nhất thiết là kết thúc của quá trình gọi vốn. Sau khi người dùng nhận được mã thông báo của họ, họ cũng cần truy cập vào các dịch vụ mà họ đã giúp đỡ tài chính. Một loại tấn công khác mà các ICO và nền tảng và sàn giao dịch tiền điện tử có thể bị nạn như là tấn công từ chối dịch vụ phân tán (DDoS).

Kẻ lừa đảo sử dụng các cuộc tấn công DDoS như một phương tiện làm phân tâm bằng cách quá tải hệ thống, tấn công nó với nhiều thiết bị. Quá tải hệ thống ngăn chặn người dùng hợp pháp truy cập hệ thống, làm gián đoạn dịch vụ hoặc khiến nó không khả dụng. Từ đó, các kẻ lừa đảo cố gắng truy cập vào trung tâm dữ liệu hoặc thông tin nhạy cảm để có thể tiến hành thêm các cuộc tấn công trong tương lai.

Ví dụ, vào đầu năm 2020, Bitfinex đã bị một cuộc tấn công DDoS trong đó kẻ tấn công 'cố gắng khai thác đồng thời một số tính năng nền tảng để tăng tải trên cơ sở hạ tầng.' Kẻ tấn công đã lợi dụng sự không hiệu quả nội bộ bằng cách sử dụng một số lượng lớn địa chỉ IP để cố gắng làm quá tải hệ thống, nhưng vấn đề đã được giải quyết và dịch vụ được khôi phục.

Bảo vệ một trang web khỏi các cuộc tấn công như tấn công DDoS bao gồm việc có đủ công cụ để làm điều đó, và WAF cũng có thể phục vụ chức năng này. Hơn nữa, các công ty nên luôn đẩy mạnh các biện pháp bảo mật nghiêm ngặt nhất cho người dùng, bao gồm xác thực hai yếu tố, thông báo liên tục về bất kỳ thay đổi nào, và thậm chí duy trì nhật ký hoạt động cho mục đích bảo mật. Bảo vệ người dùng là điều cấp thiết, đảm bảo họ có quyền truy cập vào các dịch vụ mà họ đã thanh toán là cần thiết để tránh hậu quả pháp lý.

Điểm quan trọng

ICO là một công cụ vô cùng hiệu quả cho các startup mong muốn duy trì sự kiểm soát của họ đối với doanh nghiệp nhưng không hoàn toàn miễn phí rủi ro và toàn năng. Để đạt được thành công, bạn luôn nên tuân thủ các thực hành bảo mật tốt nhất, bỏ công sức để đảm bảo rằng bạn an toàn nhất có thể và người dùng của bạn cũng được bảo vệ.

Đầu tư vào tiền điện tử và các đợt phát hành tiền điện tử ('ICO') khác rất rủi ro và đầu cơ, và bài viết này không phải là một đề xuất từ Mytour hoặc người viết để đầu tư vào tiền điện tử hoặc các ICO khác. Bởi vì từng tình huống cá nhân là duy nhất, nên luôn cần tư vấn từ một chuyên gia đủ năng lực trước khi đưa ra bất kỳ quyết định tài chính nào. Mytour không đảm bảo về tính chính xác hoặc thời kỳ của thông tin chứa đựng trong bài viết này.