#671
感覺像是埋了一堆伏筆,還有下集嗎?
好厲害!不愧是資深讀者
寫得太精彩了
我的工作 🫡
我現在看到的授權機制好像都是要求公司高管執行最後授權,但問題是這些高管不是在開會就是在跑業務,有時候甚至直接在演講會場的休息室授權,滿腦子想的都是接下來要分享的內容,習慣性的就把 approve 按下去,殊不知自己就是擋下駭客行為的最後一關。
另外就是多簽有時候反而會導致個體責任被弱化,每個人都覺得其他授權者一定都驗證過並授權了,所以我可以偷懶一下直接授權,結果實際上的狀況是所有人都沒有驗證過就直接授權了,導致駭客直接打穿所有環節。
我雖然點出了問題,但沒有比較好的解決方法,畢竟我自己也經歷過好幾次明確指出 code 有 edge case 需要處理,結果還是被主管要求先 release 再說。
然後就被我說中了 🥴
以前學資安的時候學長就說,最薄弱的環節永遠是「人」,偏偏我們都會先入為主的認定人的判斷可以被無條件信任 😅
只是 Legder 上很多交易都只能用 blind signing才能簽🫨
這事件讓我好恐慌,metamask每次簽名時都小心翼翼看訊息,很怕metamask也有機會被置換訊息。
不怕麻煩再可以用 https://tenderly.co/ 模擬交易
目前知道 Safe 有支援,只要設定 1-1 就能當熱錢包用
送出之前先模擬,看看結果長啥樣再簽
https://blog.tenderly.co/how-to-secure-multisigs-with-transaction-simulations/
感覺像是埋了一堆伏筆,還有下集嗎?
好厲害!不愧是資深讀者
寫得太精彩了
我的工作 🫡
我現在看到的授權機制好像都是要求公司高管執行最後授權,但問題是這些高管不是在開會就是在跑業務,有時候甚至直接在演講會場的休息室授權,滿腦子想的都是接下來要分享的內容,習慣性的就把 approve 按下去,殊不知自己就是擋下駭客行為的最後一關。
另外就是多簽有時候反而會導致個體責任被弱化,每個人都覺得其他授權者一定都驗證過並授權了,所以我可以偷懶一下直接授權,結果實際上的狀況是所有人都沒有驗證過就直接授權了,導致駭客直接打穿所有環節。
我雖然點出了問題,但沒有比較好的解決方法,畢竟我自己也經歷過好幾次明確指出 code 有 edge case 需要處理,結果還是被主管要求先 release 再說。
然後就被我說中了 🥴
以前學資安的時候學長就說,最薄弱的環節永遠是「人」,偏偏我們都會先入為主的認定人的判斷可以被無條件信任 😅
只是 Legder 上很多交易都只能用 blind signing才能簽🫨
這事件讓我好恐慌,metamask每次簽名時都小心翼翼看訊息,很怕metamask也有機會被置換訊息。
不怕麻煩再可以用 https://tenderly.co/ 模擬交易
目前知道 Safe 有支援,只要設定 1-1 就能當熱錢包用
送出之前先模擬,看看結果長啥樣再簽
https://blog.tenderly.co/how-to-secure-multisigs-with-transaction-simulations/