BNB Chain là một trong những blockchain phổ biến nhất trong thế giới Web3. Phí hợp lý, giao dịch nhanh và hệ sinh thái dự án phong phú đã thu hút một lượng lớn người dùng. Giống như bất kỳ blockchain nào, các nhà phát triển trên Chuỗi BNB trước tiên nên xem xét các vấn đề bảo mật trong quá trình phát triển: bởi vì bất kỳ khoản tiền nào bị mất sẽ làm suy yếu niềm tin của người dùng vào giao thức và nền tảng, đồng thời các vi phạm bảo mật và tấn công của hacker là một trong những rủi ro lớn nhất mà các nhà phát triển phải đối mặt.
Trong bài viết này, chúng tôi cung cấp 10 mẹo bảo mật thiết thực để các nhà phát triển có thể giảm thiểu rủi ro và phát triển các hợp đồng thông minh an toàn hơn trên Chuỗi BNB.
01
/ Sự định nghĩa /
Tấn công phát lại, còn được gọi là tấn công phát lại và tấn công phát lại, là một loại tấn công phổ biến trong môi trường blockchain. Trong an ninh mạng, tấn công lặp lại"” là một loại tấn công mạng trong đó việc truyền dữ liệu hợp lệ được lặp lại hoặc trì hoãn một cách cố ý hoặc gian lận.
Trong bối cảnh Web3 và hợp đồng thông minh, điều này thường có nghĩa là kẻ tấn công có thể lặp lại các giao dịch hoặc hành động trong hợp đồng thông minh mà không có sự cho phép của người dùng ban đầu. Điều này có thể dẫn đến nhiều hình thức gian lận khác nhau như chi tiêu gấp đôi, v.v.
Những cuộc tấn công này gây ra hậu quả nghiêm trọng cho người dùng và nhà phát triển, vì chúng cho phép kẻ tấn công sử dụng lại cùng một chữ ký để có quyền truy cập trái phép vào tất cả các quỹ hoặc tài sản khác trên hợp đồng thông minh.
Để ngăn chặn các cuộc tấn công lặp lại, các nhà phát triển phải thiết kế và triển khai mã hợp đồng thông minh một cách cẩn thận, đồng thời tuân theo xác minh chữ ký cũng như các tiêu chuẩn bảo mật tốt nhất trong ngành.
02
/ Phân tích trường hợp /
Đoạn mã sau đây trình bày quá trình triển khai chuyển mã thông báo trên chuỗi BNB. Mã này dễ bị tấn công lặp lại, cho phép kẻ tấn công sử dụng lại cùng một chữ ký.
Tính năng này thiếu tính năng bảo vệ không sử dụng hoặc phát lại, cho phép kẻ tấn công phát lại giao dịch chuyển tiền đã ký nhiều lần. Kẻ tấn công có thể chặn một giao dịch đã ký và gửi lại giao dịch đó đến cùng một hợp đồng hoặc hợp đồng khác và hợp đồng đó vẫn coi đó là hợp lệ, vì vậy kẻ tấn công có thể khai thác lỗ hổng này để đánh cắp tài sản.
03
/ Phương pháp cải tiến /
Thêm số không vào chữ ký hoặc sử dụng biến ánh xạ để ghi lại chữ ký. Các giải pháp cụ thể trong số đó sẽ khác nhau tùy theo thiết kế dự án.
01
/ Sự định nghĩa /
Cuộc tấn công reentrancy xảy ra khi một hợp đồng độc hại liên tục gọi một hợp đồng dễ bị tổn thương trước khi cuộc gọi ban đầu hoàn tất. Nói cách khác, kẻ tấn công có thể đánh lừa một hợp đồng dễ bị tổn thương rằng nó đã hoàn thành một giao dịch và có thể tự do chuyển sang giao dịch tiếp theo, nhưng trên thực tế, nó vẫn đang thực thi mã độc của kẻ tấn công.
Điều này có thể dẫn đến việc kẻ tấn công có thể thao túng trạng thái của hợp đồng theo những cách không mong muốn và có khả năng lấy được tiền trái phép.
02
/ Phân tích trường hợp /
Trong đoạn mã bên dưới, người dùng có thể rút tiền từ tài khoản của họ bằng cách gọi chức năng rút tiền và chỉ định số tiền họ muốn rút. Tuy nhiên, vì chức năng rút tiền không ngăn chặn các lệnh gọi đệ quy đến hàm này nên nó dễ bị tấn công vào lại.
Kẻ tấn công có thể khai thác lỗ hổng bằng cách tạo một hợp đồng độc hại gọi chức năng rút tiền nhiều lần trước khi số dư thực sự bị trừ khỏi tài khoản của anh ta. Hàm msg.sender.call gửi tiền đến hợp đồng độc hại và kẻ tấn công sử dụng hàm get() của hợp đồng độc hại để rút tiền liên tục trước khi số dư của nó giảm xuống 0, do đó rút hết tiền của hợp đồng nạn nhân.
03
/ Phương pháp cải tiến /
Cập nhật trạng thái được thực hiện trước bất kỳ cuộc gọi bên ngoài nào.
Mẫu này được gọi là mẫu Kiểm tra-Hiệu ứng-Tương tác và là mẫu thiết kế được sử dụng để ngăn chặn các cuộc tấn công quay trở lại trong hợp đồng thông minh. Mẫu này tách biệt các thay đổi trạng thái từ lệnh gọi bên ngoài sang các hợp đồng khác bằng cách trước tiên kiểm tra các điều kiện tiên quyết, sau đó cập nhật trạng thái trước khi thực hiện bất kỳ lệnh gọi bên ngoài nào. Điều này ngăn chặn các tác động không mong muốn khác nếu lệnh gọi bên ngoài kích hoạt lệnh gọi lại cố gắng gọi lại hợp đồng nhưng trạng thái đã được cập nhật.
Bằng cách làm theo mô hình này, các nhà phát triển có thể đảm bảo hợp đồng của họ an toàn hơn và ít bị tổn thương hơn trước các cuộc tấn công reentrancy.
Một cách khắc phục khả thi khác là sử dụng các công cụ sửa đổi để giới hạn nhiều lệnh gọi đến cùng một chức năng, giống như ReentrancyGuard của OpenZeppelin.
01
/ Sự định nghĩa /
Oracles giúp các hợp đồng thông minh lấy thông tin từ bên ngoài blockchain. Thông thường, giá của một tài sản trên sàn giao dịch phi tập trung (DEX) được xác định bằng giá được máy oracle trích xuất từ giao dịch thành công cuối cùng của DEX.
Tuy nhiên, vấn đề là giá có thể dễ dàng bị thao túng bởi bất kỳ ai, gây ra vấn đề trong hợp đồng thông minh. Chúng tôi thường thấy các trường hợp thao túng giá thông qua các khoản vay nhanh, bởi vì các khoản vay nhanh cho phép người dùng vay số tiền khổng lồ mà không cần thế chấp miễn là họ hoàn trả khoản vay trong cùng một khối. Điều này cho phép kẻ tấn công dễ dàng tác động hoặc thậm chí thao túng giá để thu lợi từ việc thanh lý sai, cho vay quá mức hoặc giao dịch không công bằng.
02
/ Phân tích trường hợp /
Dưới đây là đoạn mã dễ bị Oracle thao túng.
Hợp đồng này cho phép người dùng hoán đổi Token A lấy Token B bằng cách sử dụng hợp đồng định tuyến, nhưng nó dựa vào một nhà tiên tri bên ngoài (Hợp đồng cặp Uniswap) để lấy lượng dự trữ của Token A và Token B để tính giá. Kẻ tấn công đã có thể thao túng khoản dự trữ của hợp đồng Uniswap Pair cũng như chức năng getAmountOut, cuối cùng khiến giao dịch hoán đổi được thực hiện ở mức giá không hợp lý.
03
/ Phương pháp cải tiến /
Để ngăn chặn cuộc tấn công này, các nhà phát triển nên sử dụng mạng oracle phi tập trung để nắm bắt giá trung bình theo trọng số khối lượng (VWAP) hoặc giá trung bình theo trọng số thời gian (TWAP) trên chuỗi cho các sàn giao dịch tập trung và phi tập trung. Bằng cách này, dữ liệu được thu thập từ nhiều nguồn và trong khoảng thời gian rộng, giúp mã ít bị tấn công và thao túng hơn. Điều quan trọng là các nhà phát triển phải có khả năng loại bỏ bất kỳ vectơ tấn công nào nhằm thao túng các oracle trong hợp đồng thông minh để ngăn chặn các lỗ hổng tiềm ẩn.
01
/ Sự định nghĩa /
Việc thiết lập đúng cách mức độ hiển thị của các chức năng sẽ đảm bảo tính bảo mật và tính toàn vẹn của hợp đồng thông minh. Việc sử dụng cài đặt hiển thị chức năng không chính xác có thể cho phép người dùng ngoài ý muốn thao túng trạng thái hợp đồng, dẫn đến các vấn đề nghiêm trọng như tiền bị đánh cắp hoặc chức năng hợp đồng bị kiểm soát.
Bằng cách đặt mức độ hiển thị của các chức năng thành riêng tư hoặc nội bộ, bạn có thể đảm bảo rằng các nhà phát triển có quyền truy cập hạn chế vào một số chức năng nhất định và chỉ những bên được ủy quyền mới có thể gọi các chức năng này. Các chức năng riêng tư chỉ có thể được gọi từ chính hợp đồng, trong khi các chức năng nội bộ cũng có thể được gọi từ kế thừa hợp đồng hiện tại. Điều này cho phép các nhà phát triển tạo ra các hợp đồng mạnh mẽ và phức tạp hơn trong khi vẫn duy trì quyền kiểm soát quyền truy cập vào chức năng.
02
/ Phân tích trường hợp /
Hàm setAdmin() cho phép mọi người đặt bất kỳ địa chỉ nào làm quản trị viên hợp đồng. Tùy thuộc vào các quyền được cấp trong hợp đồng để quản lý địa chỉ, điều này có thể dẫn đến việc nhà phát triển mất quyền kiểm soát hợp đồng hoặc thậm chí mất tiền.
Một số chức năng hợp đồng nội bộ có thể cho phép đặt một số người dùng nhất định làm quản trị viên bằng cách đặt chế độ hiển thị của chức năng thành nội bộ.
03
/ Phương pháp cải tiến /
Công cụ sửa đổi quyền truy cập là một tính năng bảo mật quan trọng quy định ai có thể truy cập các chức năng hoặc biến cụ thể trong hợp đồng. Những công cụ sửa đổi này có thể được sử dụng để hạn chế khả năng hiển thị của các chức năng hoặc biến nhất định đối với các vai trò hoặc địa chỉ cụ thể, đồng thời ngăn chặn các tác nhân độc hại truy cập trái phép hoặc thao túng trạng thái hợp đồng.
Ví dụ: một hợp đồng có thể có một chức năng mà chỉ chủ sở hữu hợp đồng mới có thể gọi hoặc một biến chỉ có thể được truy cập bởi một bộ địa chỉ nhất định.
Bằng cách thay đổi công cụ sửa đổi mức độ hiển thị thành bên ngoài và đặt công cụ sửa đổi quyền truy cập thành onlyOwner, quyền truy cập vào hàm setAdmin có thể bị giới hạn ở địa chỉ của chủ sở hữu hợp đồng. Điều này sẽ ngăn chặn các bên độc hại bên ngoài nắm quyền kiểm soát các chức năng đặc quyền nhất định.
Việc sử dụng đúng cách các công cụ sửa đổi hạn chế và khả năng hiển thị có thể giúp quản lý hợp đồng dễ dàng hơn và giảm các cuộc tấn công phổ biến như tấn công reentrancy (trong đó kẻ tấn công liên tục gọi một chức năng để thao túng trạng thái của hợp đồng) hoặc các cuộc tấn công chạy trước (trong đó kẻ tấn công giám sát các giao dịch đang chờ xử lý và thao túng trạng thái hợp đồng trước khi các giao dịch hợp pháp được thực hiện).
Bằng cách sử dụng các tính năng này một cách thích hợp, các nhà phát triển có thể nâng cao độ tin cậy và bảo mật hợp đồng của họ, giảm nguy cơ truy cập trái phép, đồng thời cải thiện chất lượng tổng thể và khả năng bảo trì mã của họ.
01
/ Sự định nghĩa /
Khi quyết định có nâng cấp hợp đồng trong tương lai hay không, cần phải xem xét kỹ lưỡng thiết kế của hợp đồng ngay từ đầu. Khả năng nâng cấp hợp đồng đề cập đến đặc tính mà hợp đồng thông minh có thể được sửa đổi hoặc cập nhật sau khi chúng được triển khai trên blockchain. Mặc dù khả năng nâng cấp có thể mang lại nhiều lợi ích (như sửa lỗi, nâng cao hiệu quả hoặc thêm chức năng mới, v.v.), nhưng nó cũng gây ra một số rủi ro. Việc nâng cấp hợp đồng có thể gây ra các lỗ hổng mới, tăng độ phức tạp của hợp đồng hoặc gây ra những hậu quả không lường trước được.
Khả năng nâng cấp hợp đồng cũng làm nảy sinh các vấn đề về niềm tin vì quản trị viên proxy có thể nâng cấp hợp đồng mà không cần sự đồng thuận của cộng đồng. Các nhà phát triển cần cân nhắc cẩn thận những ưu điểm và nhược điểm của khả năng nâng cấp, đồng thời xác định xem dự án của họ có thực sự cần thiết phải đưa ra các hợp đồng có thể nâng cấp hay không. Trong một số trường hợp, sẽ an toàn hơn nếu thiết kế một hợp đồng có mục đích bất biến ngay từ đầu thay vì dựa vào khả năng sửa đổi nó sau này.
02
/ Phương pháp cải tiến /
Có một số thực tiễn quan trọng cần tuân theo khi nói đến khả năng nâng cấp hợp đồng. Đầu tiên và quan trọng nhất, không sửa đổi thư viện proxy. Thư viện hợp đồng Proxy cực kỳ phức tạp, đặc biệt là về cơ chế quản lý lưu trữ và nâng cấp. Ngay cả những sai sót nhỏ cũng có thể ảnh hưởng lớn đến hoạt động của các hợp đồng Proxy và logic. Trên thực tế, nhiều lỗi nghiêm trọng liên quan đến proxy được tìm thấy trong quá trình kiểm tra là do những sửa đổi không phù hợp đối với thư viện proxy.
Một cách thực hành quan trọng khác về khả năng nâng cấp hợp đồng là đưa khoảng trống lưu trữ vào hợp đồng cơ sở. Hợp đồng logic phải bao gồm khoảng trống lưu trữ trong mã hợp đồng để tính đến các biến mới có thể được đưa vào khi triển khai triển khai logic mới. Sau khi thêm các biến trạng thái mới, việc cập nhật kích thước của khoảng trống trở nên quan trọng hơn. Cách thực hành này đảm bảo rằng các bản nâng cấp trong tương lai sẽ chạy trơn tru mà không gặp sự cố.
Cuối cùng, phải tránh sử dụng selfdesturation() hoặc thực hiện delegatecall()/call() đối với các hợp đồng không đáng tin cậy. Kẻ tấn công có thể khai thác các chức năng này để phá hoại việc triển khai logic hoặc thực thi logic tùy chỉnh. Để ngăn chặn điều này, điều quan trọng là phải xác thực dữ liệu đầu vào của người dùng! Không cho phép các hợp đồng thực hiện delegatecall()/call() trên các hợp đồng không đáng tin cậy. Ngoài ra, không nên sử dụng delegatecall() trong hợp đồng logic vì việc quản lý bố cục lưu trữ trên nhiều hợp đồng sẽ khó khăn. Bằng cách làm theo những phương pháp này, nhà phát triển có thể giảm thiểu lỗi và rủi ro trong quá trình nâng cấp hợp đồng của mình.
01
/ Sự định nghĩa /
Front-Running luôn là một vấn đề cứng đầu và không dễ giải quyết, người dùng có thể tận dụng sự chậm trễ giữa việc gửi giao dịch và xác nhận nó trên blockchain để kiếm lợi nhuận. Sự chậm trễ này là do mempool gây ra.
Mempool là khu vực lưu trữ tạm thời cho các giao dịch chưa được xác nhận đã được phát lên mạng. Tất cả các nút trong mạng đều duy trì một mempool cho phép mọi người xem các giao dịch đang chờ xử lý và có khả năng chặn chúng để kiếm lợi từ chúng. Mempool cũng tạo cơ hội cho các thợ mỏ sắp xếp lại các giao dịch để tối đa hóa lợi nhuận của họ, tạo ra cái được gọi là giá trị có thể trích xuất của thợ mỏ (hoặc tối đa) (MEV).
02
/ Phân tích trường hợp /
Dưới đây là ví dụ về tính năng đặt giá thầu đấu giá có xu hướng chạy trước.
Tính năng này cho phép người dùng đặt giá thầu trong các cuộc đấu giá, nhưng nó có thể dễ bị tấn công trực tiếp. Giả sử một người dùng độc hại giám sát blockchain và thấy rằng một người dùng khác đã gửi giá thầu cao, do đó người dùng độc hại có thể nhanh chóng gửi giá thầu cao hơn và được ưu tiên, cuối cùng thắng cuộc đấu giá.
Trong phiên bản sau, người dùng gửi giá thầu không xác định và những giá thầu này được lưu trữ trong bản đồ. Số tiền đấu thầu được mã hóa cho đến khi kết thúc thời gian đấu thầu.
03
/ Phương pháp cải tiến /
Khi kết thúc thời gian đặt giá thầu, người dùng có thể tiết lộ giá thầu của mình bằng cách gửi số tiền giá thầu ban đầu và giá trị bí mật. Hợp đồng xác minh rằng số tiền giá thầu và hàm băm bí mật khớp với giá thầu bí mật được lưu trữ, đảm bảo rằng giá thầu đã được gửi trước khi kết thúc thời gian đấu giá. Nếu giá thầu đó cao hơn giá thầu tối đa hiện tại thì nó sẽ trở thành giá thầu tối đa mới. Tính năng này giảm thiểu các cuộc tấn công chạy trước bằng cách che giấu số tiền giá thầu cho đến khi kết thúc thời gian đấu giá.
Chạy trước và MEV đã trở thành mối quan tâm lớn trong cộng đồng blockchain và nhiều giải pháp khác nhau, chẳng hạn như giao dịch và dịch vụ đặt hàng công bằng (FSS), đã được đề xuất để giải quyết những vấn đề này. Giao dịch có thể giúp ngăn chặn hoạt động chạy trước bằng cách ẩn chi tiết giao dịch với những người dùng khác cho đến khi giao dịch được thực hiện trên blockchain. Mặt khác, FSS có thể giảm tác động của các giao dịch chạy trước và MEV thông qua việc đặt hàng giao dịch ngoài chuỗi an toàn.
Việc có sẵn một kế hoạch ứng phó rõ ràng và toàn diện là rất quan trọng để xử lý các sự cố an ninh khẩn cấp. Kế hoạch này cần được xem xét, cập nhật và kiểm tra thường xuyên về tính hiệu quả. Khi nói đến các sự cố an ninh khẩn cấp, thời gian là điều cốt yếu. Do đó, kế hoạch cần được tùy chỉnh trước và bao gồm các bước vận hành chi tiết như nhận dạng, kiểm soát và giải phóng bền vững.
Kế hoạch phải được thực hiện một cách hiệu quả và thông báo cho tất cả các bên liên quan. Đồng thời, việc sao lưu dữ liệu thường xuyên cũng rất quan trọng để tránh mất dữ liệu. Kế hoạch phác thảo quy trình khôi phục để khôi phục dữ liệu và hệ thống về trạng thái trước đó. Các thành viên trong nhóm cần được đào tạo có hệ thống về chương trình để đảm bảo mọi người hiểu rõ vai trò và trách nhiệm của mình.
Một kế hoạch ứng phó được chuẩn bị tốt có thể không giải quyết được vấn đề nhưng có thể giảm thiểu tác động của sự cố và duy trì niềm tin với người dùng cũng như các bên liên quan.
Kiểm tra mã thường xuyên là rất quan trọng để duy trì bảo mật ứng dụng. Làm việc với các kiểm toán viên chuyên nghiệp chuyên về bảo mật hợp đồng thông minh là một bước quan trọng trong quá trình phát triển. Kiểm toán viên sẽ kiểm tra các lỗ hổng trong mã và đưa ra các khuyến nghị để cải thiện tính bảo mật tổng thể.
Ưu tiên và giải quyết các vấn đề đã xác định cũng như duy trì liên lạc cởi mở với kiểm toán viên là rất quan trọng để cải thiện an ninh.
Ngoài ra, việc giao tiếp với kiểm toán viên cũng rất quan trọng. Kiểm toán viên có thể giải thích chi tiết các vấn đề và lỗ hổng mà họ tìm thấy, đồng thời đưa ra hướng dẫn và trợ giúp thiết thực về cách giải quyết lỗ hổng. Bằng cách hợp tác với các tổ chức/nhân viên kiểm toán chuyên nghiệp, an ninh sẽ được “nâng lên tầm cao mới”.
Đối với các nhà phát triển chuỗi BNB, việc tiến hành kiểm toán thường xuyên là một phần không thể thiếu trong bất kỳ chiến lược bảo mật toàn diện nào. Chủ động xác định và giải quyết các lỗ hổng trong mã của bạn sẽ giảm thiểu nguy cơ vi phạm bảo mật.
Sử dụng chương trình tiền thưởng là một cách hiệu quả để khuyến khích cộng đồng tin tặc mũ trắng báo cáo các lỗ hổng bảo mật trong mã của dự án. Bằng cách cung cấp các ưu đãi như mã thông báo hoặc phần thưởng khác, bất kỳ dự án nào cũng có thể khuyến khích những người có kinh nghiệm xem lại mã và báo cáo mọi vấn đề tiềm ẩn mà họ tìm thấy.
Điều quan trọng là phải có chương trình thưởng lỗi rõ ràng và minh bạch. Kế hoạch cần bao gồm: loại lỗ hổng nào được phát hiện là đủ điều kiện nhận phần thưởng, cách đánh giá giá trị của các lỗ hổng này, v.v. Đồng thời, việc bao gồm một bên thứ ba đáng tin cậy trong chương trình tiền thưởng lỗi có thể giúp đảm bảo chương trình vận hành suôn sẻ và phân phối phần thưởng một cách công bằng.
Đồng thời, điều quan trọng là phải có một nhóm “thợ săn tiền thưởng” đa dạng. Các hacker mũ trắng khác nhau có lĩnh vực chuyên môn khác nhau và có thể tập trung vào việc tìm kiếm các vấn đề mà người khác có thể bỏ sót.
Cuối cùng, một khi các lỗ hổng được báo cáo, hành động phải được thực hiện nhanh chóng và hiệu quả để giải quyết chúng. Các chương trình tiền thưởng có thể là một công cụ hiệu quả để xác định các lỗ hổng, nhưng việc khắc phục vấn đề thực sự có ý nghĩa hay không phụ thuộc vào nhóm phát triển.
Giáo dục về bảo mật cho người dùng Web3 là một bước quan trọng trong việc xây dựng hệ sinh thái bảo mật. Giữ an toàn cho khách hàng giúp giữ cho nền tảng được an toàn. Người dùng nên được giáo dục về các phương pháp hay nhất để bảo vệ tài khoản và thông tin nhạy cảm của họ.
Một trong những phần quan trọng nhất là học cách tránh lừa đảo.
Những kẻ lừa đảo lừa đảo sẽ đánh lừa người dùng bằng cách mạo danh các trang web hoặc dịch vụ hợp pháp, khiến người dùng tiết lộ khóa hoặc mật khẩu riêng tư. CertiK khuyên người dùng luôn kiểm tra kỹ URL trang web đang được sử dụng trong bất kỳ thư, nguồn nào, v.v. khi nhận bất kỳ thông tin nào và không bao giờ nhập khóa hoặc mật khẩu riêng tư trên các trang web không đáng tin cậy.
Một phần quan trọng khác là có mật khẩu an toàn và mạnh mẽ. CertiK khuyên người dùng nên sử dụng mật khẩu phức tạp và duy nhất cho mỗi tài khoản và tránh sử dụng lại mật khẩu trên các dịch vụ khác nhau. Ngoài ra, hãy sử dụng trình quản lý mật khẩu hoặc cơ chế lưu trữ an toàn khác để lưu trữ mật khẩu một cách an toàn.
Cuối cùng, việc bảo vệ khóa riêng là vô cùng quan trọng. Khóa riêng tương đương với mật khẩu của người dùng và phải được đảm bảo không bị người khác truy cập bất cứ lúc nào. Người dùng nên tránh chia sẻ khóa riêng của mình với bất kỳ ai và giữ chúng ở nơi an toàn.
Tóm tắt
Các nhà phát triển xây dựng hợp đồng thông minh và dApp trên Chuỗi BNB phải thực hiện phương pháp bảo mật toàn diện để giữ an toàn cho tiền và tài sản của người dùng. Điều quan trọng hơn là phải chủ động thay vì phản ứng khi xử lý các vi phạm an ninh; lập kế hoạch ứng phó khi chúng xảy ra và thậm chí trước khi chúng xảy ra, đồng thời cung cấp giáo dục bảo mật phù hợp cho tất cả người dùng và các bên liên quan có liên quan. Bằng cách kết hợp tất cả các biện pháp trên, nó có thể giúp các dự án giảm đáng kể nguy cơ vi phạm an ninh và tấn công hack.
