Nếu bạn muốn có vốn từ các tổ chức, rủi ro thực sự của bạn không phải là lần tái nhập tiếp theo. Đó là người có thể đăng nhập và thay đổi giao thức của bạn. Quản trị viên đám mây, mã thông báo CI, khóa triển khai, người ký đa chữ ký. Nếu một kẻ tấn công có thể xác thực một lần, họ có thể kiểm soát. Chi tiết bên dưới.

Quản lý danh tính không tin cậy: mọi yêu cầu đều được xác thực + ủy quyền, quyền tối thiểu, truy cập có thời hạn, giả định bị xâm phạm, ghi lại mọi thứ. Trong web3, các vai trò onchain là IAM. SSO giúp ích, nhưng chỉ khi nó bao phủ đám mây, Git, CI và các hoạt động chính.

Các chế độ thất bại phổ biến: thông tin xác thực quản trị viên lâu dài, khoảng trống SSO giữa cloud/Git/CI/KMS, MFA không nhất quán, tài khoản dịch vụ mồ côi, và các vai trò onchain không còn phù hợp với người chịu trách nhiệm. Một khóa bị quên là một giấy phép đứng cho kẻ tấn công.

Thiết kế nó: MFA hỗ trợ phần cứng cho quản trị viên và người ký, thiết bị ký chuyên dụng, vai trò dựa trên quy trình làm việc (triển khai, thay đổi tham số, nâng cấp, kho bạc), vai trò onchain riêng biệt, tự động hóa việc gia nhập/ra đi, thực hiện chứng nhận quyền truy cập, giữ một danh sách đăng ký ánh xạ con người↔địa chỉ quản trị.

Spearbit kiểm toán bản đồ kiểm soát thực sự. Chúng tôi theo dõi dev→deploy, xem xét IAM đám mây + CI, multisig/MPC, người bảo vệ/phục hồi, và tìm ra con đường ngắn nhất từ một cuộc lừa đảo đến việc chiếm đoạt giao thức. Nếu bạn không thể chứng minh quyền kiểm soát, bạn đang bị lộ.

Tìm hiểu thêm tại đây: