Se vuoi capitale istituzionale, il tuo vero rischio non è la prossima reentrancy. È la persona che può accedere e modificare il tuo protocollo. Amministratori cloud, token CI, chiavi di distribuzione, firmatari multisig. Se un attaccante può autenticarsi una volta, può prendere il controllo. Dettagli di seguito.

Zero trust IAM: ogni richiesta è autenticata + autorizzata, privilegio minimo, accesso limitato nel tempo, assumere compromissione, registrare tutto. In web3, i ruoli onchain sono IAM. SSO aiuta, ma solo se copre cloud, Git, CI e operazioni chiave.

Modalità di errore comuni: credenziali di amministratore a lungo termine, lacune SSO tra cloud/Git/CI/KMS, MFA incoerente, account di servizio orfani e ruoli onchain che non corrispondono più a chi è responsabile. Una chiave dimenticata è un permesso permanente per gli attaccanti.

Progetta: MFA supportato da hardware per amministratori e firmatari, dispositivi di firma dedicati, ruoli basati su flussi di lavoro (distribuzione, modifica parametri, aggiornamento, tesoreria), ruoli onchain separati, automatizza l'ingresso/uscita, esegui le ricertificazioni di accesso, mantieni un registro che mappa esseri umani↔indirizzi admin.

Spearbit esegue audit che mappano il controllo reale. Tracciamo dev→deploy, rivediamo IAM cloud + CI, multisig/MPC, guardiani/recupero e mettiamo in evidenza il percorso più breve da un attacco di phishing a un takeover del protocollo. Se non puoi dimostrare il controllo, sei esposto.

Scopri di più qui: