🔐 Wissensanalyse | Wie verteidigt man sich gegen diese "Vertrags-APT"?
✅ Drei-Schichten-Tiefenverteidigungsplan
1. Bereitstellungsphase: Prozesshärtung, um Vorabaktionen zu vermeiden
Standardisierte Bereitstellungsskripte: Verwendung von gründlich validierten, unveränderlichen Skripten für die Proxy-Initialisierung, um manuelle Eingriffe zu vermeiden.
Multi-Signatur-Initialisierung: Die Initialisierungsberechtigung des Proxy-Vertrags sollte nach Bestätigung durch eine Multi-Signatur-Wallet außerhalb der Kette ausgeführt werden, nicht von einem einzelnen privaten Schlüssel.
2. Prüfungsphase: Über den Code hinaus, den Prozess prüfen
Spezielle Proxy-Prüfung: Die Prüfung muss den vollständigen Upgrade-Pfad des Proxys, die Initialisierungsberechtigungen und alle Verwaltungsfunktionen abdecken.
Zeitverzögerungsprüfung: Prüfer sollten annehmen, dass es eine "Schlaflogik" gibt und prüfen, ob es Funktionen gibt, die in Zukunft von unbefugten Dritten aktiviert werden können.
3. Betriebsphase: Kontinuierliche Überwachung, Echtzeit-Alarm
Überwachungsverhalten bei Upgrades: Für alle Upgrade-bezogenen Aufrufe wie upgradeTo des Proxy-Vertrags sollten Echtzeit-Alarme festgelegt werden.
Verfolgung von Berechtigungsänderungen: Überwachung von Änderungen an Schlüsselerlaubnissen wie contract owner oder DEFAULT_ADMIN_ROLE.
💎 Empfehlungen für Projektteams
Im Angesicht solcher Angriffe muss eine Sicherheitsansicht über den gesamten Lebenszyklus „von der Bereitstellung bis zum Upgrade“ etabliert werden. Der gewählte Sicherheitspartner sollte nicht nur in der Lage sein, den Code zu prüfen, sondern auch Lösungen für Ihren Bereitstellungsprozess und die Betriebsüberwachung anzubieten.