GRVT 安全系列(第 2 部分:安全層詳述)
GRVT 的混合交換模型不僅融合了 CeFi 和 DeFi 的優點,還融合了 Web2 和 Web3 的優點。世界各地的許多人都是加密貨幣詐騙和網絡釣魚黑客的受害者。 在 GRVT,我們對這些也不陌生。 這就是為什麼除了 Web3 自我托管交易之外,我們還在我們的混合交易所上集成標準 Web2 保護。
在大多數 DeFi 項目的典型安全模型之上,我們正在構建一個熟悉且易於使用的附加 Web2 安全層。
在 GRVT 安全系列的第 2 部分中,我們將了解哪些傳統安全控制集成到平台中。
如果您錯過了我們的安全架構概述的第 1 部分,請在此處查看。
納入 Web2 安全性
GRVT 的混合交換模型不僅融合了 CeFi 和 DeFi 的優點,還融合了 Web2 和 Web3 的優點。
特別是,我們的 Web2 安全控制涉及以下關鍵要素:
用戶登錄和 2FA
錢包白名單
Web2 安全的第二層在保護中心化交易所 (CEX) 方面非常有效。 即使攻擊者在我們完全私有的第 2 層鏈上檢測到潛在的智能合約漏洞,他們也必須破壞我們的後端網絡才能利用潛在的漏洞。
那麼這個 Web2 安全層的重要性是什麼?
場景:用戶私鑰洩露
加密領域最常見的妥協形式是用戶私鑰或用戶簽名。
針對用戶簽名的網絡釣魚通常如下操作:
攻擊者創建一個虛假網站,例如 grvt交換
攻擊者發布有關即將到來的停機的警報,敦促用戶撤回資金
用戶簽署提款簽名,在不知不覺中將資金發送到攻擊者的錢包
攻擊者利用實際站點上的簽名竊取用戶資金
這種攻擊角度適用於所有 DeFi 應用。 相比之下,GRVT 在我們的安全基礎設施之上應用了兩個額外的保護控制措施來減輕此類風險。
用戶登錄和雙因素身份驗證 (2FA)
要在 GRVT 上提交交易簽名,用戶需要使用電子郵件和密碼登錄。 雖然 2FA 是可選的,但它大大降低了妥協的風險。
如果您的簽名遭到洩露,攻擊者將面臨更具挑戰性的任務。 要提交網絡釣魚簽名,他們需要您的登錄憑據(易於網絡釣魚)和 2FA(較難網絡釣魚)。
錢包白名單
我們的系統通過限制轉賬到預先批准或"白名單"的錢包來增強資金提取的安全性。
白名單或允許名單是一種網絡安全策略,它批准特定實體,例如電子郵件地址、IP 地址、域名或應用程序,同時拒絕所有其他實體。 IT 團隊使用白名單作為一種快速、簡單的方法來幫助保護網絡免受潛在有害威脅。 當目的地或應用程序被列入白名單時,它被認為是安全的。 將授予訪問批准的目的地或應用程序的權限。
對於 GRVT 上的個人交易者來說,將錢包列入白名單並提取資金的過程很簡單:
完成您的 2FA
簽署白名單交易
這是一項額外的安全措施,可防止您的帳戶受到攻擊。 如果攻擊者獲得了您的 GRVT 賬戶的訪問權限,您的資金只能轉移到您的錢包中。 防止未經授權的轉移到其他地方。 大多數去中心化交易所(DEX)不包含這種機制,因為它們的設計不適合任意限制。
下一步是什麼
隨著加密貨幣領域繼續應對欺詐和網絡釣魚黑客威脅,GRVT 採取了積極主動、全面的方法來保護我們的用戶。 在我們的混合交易所上集成標準 Web2 保護標誌著我們向前邁出了重要一步,使我們有別於其他 CEX 和 DEX。
在 GRVT 安全系列的下一部分中,我們將探討 Web3 安全層中包含的元素。
