#adminkeys
adminkeys
33 wyświetleń
2 dyskutuje
Gorące
Najnowsze
Twój "zdobiony" protokół może dziś ukraść Twoje pieniądze. I to będzie legalne.
Większość protokołów DeFi ma aktualizowalne smart kontrakty kontrolowane przez multi-sig lub portfel administratora. Mała grupa deweloperów, lub jeden zhakowany klucz, może w każdej chwili zmienić kod, opróżnić środki lub zablokować aktywa.
Użytkownicy myślą, że kod to prawo. To nieprawda.
Ponad 60% czołowych protokołów DeFi nadal ma klucze administratora z pełną kontrolą nad aktualizacjami. To oznacza, że garstka ludzi może nadpisać kontrakt kiedykolwiek zechce.
Oto jak działa atak:
1. Projekt wdraża aktualizowalny smart kontrakt.
2. Trzymają klucz administratora, który może zmienić kod.
3. Klucz zostaje skompromitowany lub
zespół odchodzi na złą drogę.
4. Złośliwy kod jest wdrażany, a środki są opróżniane.
To nie jest teoretyczne ryzyko. To się zdarzyło.
Jak się chronić:
· Sprawdź, czy protokół używa timelocka. To opóźnia działania administratora i daje użytkownikom czas na reakcję.
· Zweryfikuj, czy administrator to multi-sig, a nie pojedynczy portfel. Więcej sygnatariuszy oznacza większe bezpieczeństwo.
· Szukaj zrezygnowanych lub spalonych kluczy administratora. To oznacza, że kontrakt jest naprawdę niezmienny.
· Przeczytaj kontrakt na Etherscan. Jeśli używa wzoru proxy, bądź ostrożny.
· Bądź na bieżąco. Kwestionuj wszystko.
Jeśli nie możesz zweryfikować, kto kontroluje klucze administratora, Twoje pieniądze nie są bezpieczne.
Czy kiedykolwiek sprawdziłeś, czy Twój protokół ma kontrole administratora?
#defi #security #AdminKeys #BinanceSquareFamily #cryptoeducation
$ETH $ARB $OP
Większość protokołów DeFi ma aktualizowalne smart kontrakty kontrolowane przez multi-sig lub portfel administratora. Mała grupa deweloperów, lub jeden zhakowany klucz, może w każdej chwili zmienić kod, opróżnić środki lub zablokować aktywa.
Użytkownicy myślą, że kod to prawo. To nieprawda.
Ponad 60% czołowych protokołów DeFi nadal ma klucze administratora z pełną kontrolą nad aktualizacjami. To oznacza, że garstka ludzi może nadpisać kontrakt kiedykolwiek zechce.
Oto jak działa atak:
1. Projekt wdraża aktualizowalny smart kontrakt.
2. Trzymają klucz administratora, który może zmienić kod.
3. Klucz zostaje skompromitowany lub
zespół odchodzi na złą drogę.
4. Złośliwy kod jest wdrażany, a środki są opróżniane.
To nie jest teoretyczne ryzyko. To się zdarzyło.
Jak się chronić:
· Sprawdź, czy protokół używa timelocka. To opóźnia działania administratora i daje użytkownikom czas na reakcję.
· Zweryfikuj, czy administrator to multi-sig, a nie pojedynczy portfel. Więcej sygnatariuszy oznacza większe bezpieczeństwo.
· Szukaj zrezygnowanych lub spalonych kluczy administratora. To oznacza, że kontrakt jest naprawdę niezmienny.
· Przeczytaj kontrakt na Etherscan. Jeśli używa wzoru proxy, bądź ostrożny.
· Bądź na bieżąco. Kwestionuj wszystko.
Jeśli nie możesz zweryfikować, kto kontroluje klucze administratora, Twoje pieniądze nie są bezpieczne.
Czy kiedykolwiek sprawdziłeś, czy Twój protokół ma kontrole administratora?
#defi #security #AdminKeys #BinanceSquareFamily #cryptoeducation
$ETH $ARB $OP
Zaloguj się, aby odkryć więcej treści