区块链技术和加密货币彻底改变了公司筹集资金的方式。 初创企业现在不必在募集资金的过程中投入风险投资公司并牺牲股权,控制权和自主权,而现在可以获得发展和成功所需的融资,而无需放弃更多的财务激励措施。 即使这样,最初的硬币发行也不总是万无一失。
尽管加密货币具有高度吹捧的安全优势和区块链自身的防御能力,但仍有几篇广为人知的案例显示即使是最坚硬的墙也是坚不可摧的。 对于潜在的ICO发射器,这描绘了一个敌对的并可能令人震惊的景观。
据报道,由于黑客攻击,ICO筹集的所有资金中有近10%被盗或丢失,基于区块链的初创企业面临艰巨的成功之战。 但是,风险不应阻止公司寻求其蓬勃发展所需的资金。 相反,有几种策略可以显着增强ICO的安全性,并确保您的众筹不仅安全而且成功。
1.审核您的基础智能合约
智能合约提供了一种创新的解决方案,可以轻松地进行不信任交换,因为执行协议的规则是完全自动化的,并且被硬编码到算法中。 但是,就ICO而言,智能合约在筹资过程中一直是薄弱环节。 确实,有人估计将近一半的以太坊黑客归咎于设计不良的智能合约。
智能合约和区块链专家Frank Bonnet强调了对智能合约进行专业审核的重要性。
邦内特说:“编写100%密封的智能合约几乎是不可能的。” “即使是最优秀的程序员也会犯错,因此绝对必须要有第三方审查和审核您的合同,即使只是为了让您的投资人省心。”
诸如奇偶校验冻结和DAO丑闻之类的示例是黑客在智能合约代码中发现漏洞并加以利用的结果。 但是,更重要的是,编码不佳的智能合约可能会导致其他问题,例如资金消失,重复的代币,甚至是旨在操纵代币铸造过程的脚本。
使用Hosho等区块链安全服务对智能合约进行ICO之前的审计,该服务专注于针对区块链应用程序和智能合约的安全性和渗透性测试,使项目能够在问题演变成灾难之前对其进行检测。
Hosho Group的创始人兼首席执行官Hartej Singh Sawhney说:“成功的引人注目的攻击和数据泄露的数量表明了许多公司和组织所存在的安全漏洞。为令牌生成活动做准备的公司至少应获得他们的智能合约的第三方技术审核。 另外,对其网站进行渗透测试至关重要,这样可以避免诸如CoinDash发生的情况。”
2.倾听社区关注并解决它们
公共区块链和相关的加密货币最独特的方面之一是它们的透明度。 大多数公司都会发布全部或至少部分代码,在某些情况下甚至会发布ICO的智能合约。 尽管它们在主流散户投资者中越来越受欢迎,但是紧随区块链之后的社区中有很大一部分人具有编码知识,将需要时间来检查这些相关细节。 对于某些企业而言,这比实际步骤更为形式化,但是这可能是错误的查看方式。
DAO是公司为什么必须听取其社区意见的完美典范。 该公司的开放源代码可在主要存储库上进行审查,一些开发人员警告说这些文件具有重大安全漏洞。 DAO没有修补代码,而是忽略了警告,结果损失了数百万美元。
社区成员对成功的ICO有既得利益,因为这意味着他们将能够从平台或服务提供的实用程序中受益。 因此,给他们一个清晰的渠道来表达关注和暴露问题是确保ICO安全的重要组成部分。 但是,更重要的是将这些问题变成具体的解决方法,因为它们可能是您在生成合同时可能会错过的领域。
3.实施强有力的策略来检测网络钓鱼者
在ICO的非编程方面,至关重要的是要始终警惕任何潜在欺诈的迹象。 尽管程序员和其他技术方面的员工可能对网络安全趋势和最佳实践不屑一顾,但并不是每个团队成员都知道或一定关心在线安全。 在这种情况下,第一步是教育。 业务开发和销售团队成员无需了解代码,但他们需要了解潜在的漏洞利用和黑客或欺诈行为的迹象。
更重要的是,公司在避免欺诈方面应始终保持安全和主动。 对Facebook,Telegram和其他中心等Web平台进行一致的扫描可以帮助指出可疑活动,并为任何可能的情况做好准备。 这也使您的团队有机会可靠地转发关键更新,显示ICO的正确网站以及对社区成员进行潜在风险教育。
以EtherDelta为例,该公司无法检测其网站的欺诈性副本,这是黑客通过访问其DNS记录并替换其域而建立的,从而导致数千美元的损失。 欺诈者建立了看起来像原始网站的假冒网站,该公司并不足够警惕以识别和报告潜在的欺诈行为。
4.为您的ICO网关提供强大的安全性
CoinDash的故事,一个被大肆宣传的ICO,被黑并导致43, 000 ETH的损失,已经成为新进入者的告诫故事。 该公司的智能合约得到了保护,但其网站却没有。 结果,黑客改变了ICO网关上的钱包地址,并且一旦向公众开放,黑客在不到7分钟的时间内偷走了700万美元。
黑客能够通过利用漏洞来更改公司文件,从而完全控制该网站,从而使他们能够访问公司的网站。 通过简单地更改钱包地址,尽管最近又有一些硬币回来了,但他们仍然能够逃脱抢劫。
CoinDash故事的寓意是,不仅针对大多数已提高其安全性的大多数ICO的基础结构,而且针对像网站这样的容易被忽视的目标,它越来越受欢迎。 在这种情况下,不需要进行重大的安全审核,但是部署正确的工具来保护网关至关重要。
实现此目的最简单,最有效的方法之一是实施功能强大的Web应用程序防火墙(WAF),例如Incapsula。 WAF控制入站和出站流量,使公司可以更好地控制和监督谁在访问其文件和网站。 防火墙保护这些后门到网站外壳,同时提供针对常见脚本注入和利用技术的保护。
5.保护您的用户
成功的ICO并不一定要结束众筹流程。 用户收到令牌后,还需要访问其资助的服务。 正如英国加密货币初创公司Electroneum得知他们的网站受到DDoS攻击(将其用户拒之门外)所打击时,筹款只是成功的一半。
保护网站免受诸如DDoS攻击之类的黑客攻击,需要具备适当的工具来实现此目的,WAF也可以提供此功能。 此外,公司应始终为用户争取最严格的安全措施,包括两因素身份验证,有关任何更改的持续通知,甚至出于安全目的而保留活动日志。 保护用户是至关重要的,确保他们能够使用付费服务是避免法律影响的必要条件。
底线
对于寻求维持业务控制权的初创公司而言,ICO是一种非常有效的工具,但它们并非无风险且无所不能。 为了确保成功,您应该始终遵循最佳安全性惯例,并努力确保自己尽可能安全,并保护用户。
