本文梳理自 Defiance Capital 创始人 Arthur 在个人社交媒体平台上的观点,律动 BlockBeats 对其整理翻译如下:
起初,以下内容仅写给我们的投资组合公司和合作伙伴。一番思考过后,我认为应该将它们开源。
经过研究和与顶尖网络安全专家的沟通,我们相信黑客组织 BlueNorOff 正在进行一个有组织的筹谋,目标是加密领域的所有知名组织。鉴于他们的社会工程攻击十分高明,我相信他们已绘制了整个加密领域的关系图,知道什么样的钓鱼邮件最有可能通过我们的心理防线。
DeFi教育基金就银团贷款是否为证券要求SEC提供更多信息:金色财经报道,DeFi 教育基金(DEF)最近利用《信息自由法》提交了关于SEC决定不明确银团贷款作为证券分类的更多信息的请求。2023年3月,美国第二巡回上诉法院要求SEC就Kirschner诉北美摩根大通一案提供看法,该案涉及银团贷款的分类,SEC曾三次提出延长提交截止日期的动议,该截止日期最初为2023年4月13日。7月18日,SEC 致函法院表示不会提交法庭之友陈述。
DEF首席法律官Amanda Tuminelli表示,对于一个似乎决心将几乎所有加密代币归类为证券的证券监管机构来说,不提供其关于更传统的金融工具是否是证券的逻辑很奇怪,因此加密行业需要知道真相。
根据《信息自由法》,SEC不必在给定日期之前对DEF做出回应,也不必交出任何内部通讯或文件。[2023/8/3 16:15:03]
关键我们要高度意识到,加密行业正在成为一个受国家支助的网络犯罪组织的积极目标。这个组织非常机智和老练,他们甚至可能在未来变换工具和攻击模式。一旦目前的攻击方法变得不那么有效,例如最近出现的木马化 DeFi App 和钱包攻击。为了成功,朝鲜很可能会为该组织投入更多资源,从而扩大攻击的强度。
以太坊社区成员提出ERC 7265标准以缓解DeFi黑客攻击:金色财经报道,以太坊社区成员提出了一个新的标准,以提高去中心化金融(DeFi)协议的安全性。被称为ERC(以太坊征求意见)7265的拟议标准将启用“断路器\"。
Fluid Protocol的Meir Bank表示,ERC 7265 允许团队创建一个断路器来保护他们的协议,并为每项资产提供高度定制的速率限制参数。当发生黑客攻击时,攻击者将无法再在几秒钟内耗尽整个合约。大部分资金都可以收回。[2023/7/4 22:17:10]
抛开所有标标准准的网络安全建议不谈,在网络安全意识强的朋友的协助下,我提出了以下这些不完全的加密相关安全建议。希望这将防止类似事件发生在我们任何人身上。
DeFi项目SashimiSwap代币价格大跳水,跌幅近80%:9月10日,aelf网络上的DeFi项目SashimiSwap宣布上线。上线不到12小时,SashimiSwap锁仓量突破2.5亿美金,代币SASHIMI价格最高达6.2美元,交易额突破1亿美金。9月11日,SASHIMI价格跳水至1.1美元,日内跌幅近80%。据了解,SashimiSwap是一个全新的Sushi项目,无预挖、移除所有团队份额,并采用自动化做市商的模式,但并不是SushiSwap平台的分叉,两者不共享流动性。[2020/9/11]
将链上加密资产存储在企业级托管解决方案上
Asproex(阿波罗)于9月3日正式上线DeFi热门币种DOT、LINK、LEND、COMP:据官方消息,2020年9月3日,Asproex(阿波罗)正式上线DeFi热门币种DOT、LINK、LEND、COMP ,并于当日开通DOT/USDT、LINK/USDT、LEND/USDT、COMP/USDT交易对。开放充提时间:9月3日17:00;开放交易时间:9月3日18:00。2020年,DeFi流动性挖矿盛行,Asproex(阿波罗)已率先切入“DeFi”生态赛道,后续将为用户甄选更优质的DeFi项目,让用户安全快捷参与DeFi浪潮。
Asproex(阿波罗)作为首家离岸银行控股持牌交易平台,也是一家涵盖CTO企业通证上市的交易平台,持有5国牌照,为全球中小微企业提供融资难的解决方案,助力数字化上市。[2020/9/3]
一个硬件钱包不足以保障 EOA(Externally owned account),因为他们可以插入一个虚假的 Metamask 浏览器扩展,从而批准非预期的交易。至少它应该是一个 Gnosis Safe 这样由几个硬件钱包保障的多签钱包。我强烈推荐使用 Fireblocks、Copper、Qredo 等更高级别的托管解决方案,因为它们自带用于交易审批的原生多签 2FA 钱包。
招聘远程团队要进行额外的尽职调查
招聘远程团队要进行额外的尽职调查,尤其是雇佣软件工程师或开发人员。「Lazarus APT 集团甚至参与创建开发加密货币软件的虚假公司。」我们从我们的一个投资组合公司那听说,他们软件工程师职位的申请人面试时很可疑,也与他们简历中的样貌不相符。
配置专用于加密交易的计算机
应该要有专门的计算机,只用于从事加密交易,不与任何电子邮件、互联网链接、消息应用程序、MS word 文档、PDF 等交互。
为所有登录实施 2FA
虽然不是针对加密,但也重要到要提个醒。云存储、电子邮件、Telegram 等消息应用程序都应该开启 2FA 登录。请用 Google 身份验证代替短信 2FA。
应尽可能使用 YubiKey 这样的硬件 2FA 钱包,公司和个人账户都是。
将常用加密 DApp 网站加入书签
有时候搜索引擎会搜出钓鱼网站,要是搜索过程中一个不小心,你可能就会上了一个钓鱼网站。最好通过书签列表访问加密 DApp 网站。
撤销不需要的 Token 授权
Token 授权允许另一方移动你的资产,是与大多数智能合约交互的必要条件。避免无限制的 Token 授权,并定期撤销不必要的授权,这可以用 Revoke 做到。
建立一个地址监控系统
内部的加密货币钱包地址应该被密切监控,以便在未经授权的交易发生时,团队可以立即察觉并尽快采取行动。Etherscan 和 Nansen 都提供这样的解决方案。
为团队成员定期举行网络安全培训
所有团队成员在入职时都应接受网络安全培训,但这往往随着组织发展会被忽略掉。
通过正确配置电子邮件的 DNS 设置,防范钓鱼和垃圾邮件
尽可能对 SPF(发件人策略框架)、DKIM(域密钥识别邮件)和 DMARC 使用 hard-fail 模式或严格模式。
信任浏览器而非网站
任何浏览器栏下方的内容都可能是不安全的,是潜在的攻击媒介。如果你没有登录,一些 DApp 可能会弹出一个窗口,要求你登录到你的加密钱包。切勿输入密码。
原文作者:Arthur,Defiance Capital
原文编译:0x9F、0x22,律动 BlockBeats
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。