GRVT 安全系列(第 2 部分:安全层详述)
世界各地的许多人都是加密货币诈骗和网络钓鱼黑客的受害者。 在 GRVT,我们对这些也不陌生。 这就是为什么除了 Web3 自我托管交易之外,我们还在我们的混合交易所上集成标准 Web2 保护。
在大多数 DeFi 项目的典型安全模型之上,我们正在构建一个熟悉且易于使用的附加 Web2 安全层。
在 GRVT 安全系列的第 2 部分中,我们将了解哪些传统安全控制集成到平台中。
如果您错过了我们的安全架构概述的第 1 部分,请在此处查看。
纳入 Web2 安全性
GRVT 的混合交换模型不仅融合了 CeFi 和 DeFi 的优点,还融合了 Web2 和 Web3 的优点。
特别是,我们的 Web2 安全控制涉及以下关键要素:
用户登录和 2FA
钱包白名单
Web2 安全的第二层在保护中心化交易所 (CEX) 方面非常有效。 即使攻击者在我们完全私有的第 2 层链上检测到潜在的智能合约漏洞,他们也必须破坏我们的后端网络才能利用潜在的漏洞。
那么这个 Web2 安全层的重要性是什么?
场景:用户私钥泄露
加密领域最常见的妥协形式是用户私钥或用户签名。
针对用户签名的网络钓鱼通常如下操作:
攻击者创建一个虚假网站,例如 grvt交换
攻击者发布有关即将到来的停机的警报,敦促用户撤回资金
用户签署提款签名,在不知不觉中将资金发送到攻击者的钱包
攻击者利用实际站点上的签名窃取用户资金
这种攻击角度适用于所有 DeFi 应用。 相比之下,GRVT 在我们的安全基础设施之上应用了两个额外的保护控制措施来减轻此类风险。
用户登录和双因素身份验证 (2FA)
要在 GRVT 上提交交易签名,用户需要使用电子邮件和密码登录。 虽然 2FA 是可选的,但它大大降低了妥协的风险。
如果您的签名遭到泄露,攻击者将面临更具挑战性的任务。 要提交网络钓鱼签名,他们需要您的登录凭据(易于网络钓鱼)和 2FA(较难网络钓鱼)。
钱包白名单
我们的系统通过限制转账到预先批准或“白名单”的钱包来增强资金提取的安全性。
白名单或允许名单是一种网络安全策略,它批准特定实体,例如电子邮件地址、IP 地址、域名或应用程序,同时拒绝所有其他实体。 IT 团队使用白名单作为一种快速、简单的方法来帮助保护网络免受潜在有害威胁。 当目的地或应用程序被列入白名单时,它被认为是安全的。 将授予访问批准的目的地或应用程序的权限。
对于 GRVT 上的个人交易者来说,将钱包列入白名单并提取资金的过程很简单:
完成您的 2FA
签署白名单交易
这是一项额外的安全措施,可防止您的帐户受到攻击。 如果攻击者获得了您的 GRVT 账户的访问权限,您的资金只能转移到您的钱包中。 防止未经授权的转移到其他地方。 大多数去中心化交易所(DEX)不包含这种机制,因为它们的设计不适合任意限制。
下一步是什么
随着加密货币领域继续应对欺诈和网络钓鱼黑客威胁,GRVT 采取了积极主动、全面的方法来保护我们的用户。 在我们的混合交易所上集成标准 Web2 保护标志着我们向前迈出了重要一步,使我们有别于其他 CEX 和 DEX。
在 GRVT 安全系列的下一部分中,我们将探讨 Web3 安全层中包含的元素。