使用多重签名、权限和白名单保护EOSIO社区成员的资产。
证书
DApp认证实体可以利用Multisig(多重签名)、权限和白名单等特性来运行它们的操作。例如,一个证书/审核实体(EOSecure)可以要求几个值得信任的区块生产者在他们的官方帐户上成为多重签名合作伙伴。一旦他们建立了一个帐户,以便多重签名合作伙伴(BP)可以控制EOSecure帐户以防万一有任何不当行为,EOSecure可以与基于信任网络或审计网络与DApp进行联系,来换取每月的费用。
认证颁发实体可以将章程/服务条款协议与条款一起提及多重签名合作伙伴(BP)何时可以控制该帐户。并明确指出如何处理来自认证的dApp的任何争议,获得证书,dApp更新和帐户冻结的要求是什么?在签署合同更新提案之前,认证实体可以提及审计费用。
证书级别的章程将有助于保护社区免受恶意更新的智能合约、1CO欺诈,并为非技术人员提供急需的安全保障。
此外,像Scatter、Lynx、TokenPocket或GreyMass这样的钱包都可以让普通用户选择“白名单”认证的dApps。
image
DApp认证实体可以使用的框架。
白名单/黑名单
EOSIO提供了将某些帐户/合约列入白名单和黑名单的功能。白名单使人们只能将事务发送到少数选定的帐户/合约。黑名单阻止帐户与特定智能合约进行交互。白名单帐户优先于黑名单帐户,可以添加任意数量的白名单帐户。
钱包可以从链上查询以获取EOSecure(证书实体)许可帐户,并将其添加到用户的白名单中。
image
用户只要在开始使用钱包时得到通知,他们就可以取消选择白名单选项,但会牺牲其安全性。
黑名单的承诺
如果社区报告了恶意合约,大多数钱包和区块链浏览器可以将此类合约列入黑名单。同时,如果达成2/3+1的一致意见,则区块生产者(节点)可以将恶意合约列入黑名单。
我觉得黑名单只是权宜之计,因为骗子可以用不同的账号名来部署新合约。此外,对黑名单的依赖意味着在被举报之前一些社区成员可能会损失资金。与白名单不同的是,黑名单让骗子有机可乘。
基于证书白名单的正确实现还缺少什么?
目前,一个帐户可以很容易地设置多重签名,双方信任彼此——作为朋友或商业伙伴。作为一项服务,多重签名需要一份智能合约,检查来自dApp/合约开发商的月费、季度费、年费(可以在Scatter上设置重复交易),如果dApp不支付常规费用,则取消许可。
丢失/被盗/黑客密钥
人们忘记密码,电脑坏了,事情就这样发生了。墨菲定律指出,任何可能出错的事情都会出错,这适用于加密货币的专家和菜鸟。有了EOS.IO,运气将眷顾你。每个帐户都可以指定有能力更新active权限的恢复伙伴的数量(延迟7天),但前提是你的帐户在30天内处于非活动状态。只要你指定一些你信任的朋友和家人,在你丢失密钥时把你的账户还给你,那么你就不用担心永远被锁在外面。
企业家、受信任的社区成员或代理可以为丢失和被盗的密钥案件提供服务。提供此类服务的个人/企业可以选择使用受信任的BP(节点)和争议解决论坛的多重签名帐户(很像DApp认证框架)。可以为事务设置时间延迟,以防成员错误地处理恶意合约或有人入侵帐户。
如果提供此类服务的帐户无法及时付款,我希望随着时间的推移,我们会有一个系统合约以简化权限设置和撤消权限。它将促进这类服务的自由市场竞争,并有助于降低价格。如果服务提供者变得无赖,多重签名合作伙伴(BP)可以采取行动。
第三方服务提供商还可以利用谷歌Authenticator/ OTPs等双向安全性,并通过电子邮件通知用户任何事务。
结论
基础层仲裁论坛可以帮助保护社区成员的资产,但这是一个非常有争议的话题。我们可以利用多重签名、权限、白名单和事务延迟等特性来保护即使是非技术型用户。
基于认证的白名单将帮助EOS平台用户只在安全的智能合约和DApp上进行交易。该框架将责任从区块生产者转移到干预DApp层治理,如果BP作为多重签名合作伙伴,他们可能只需要在第三方服务提供商出现问题时采取行动。由于DApp开发者需要为这些服务付费,因此用户无需深入了解智能合约,责任就转移到了开发者和认证实体身上。与当前将仲裁作为最后手段的解决方案不同,该解决方案具有可扩展性和有效性。
此外,用户可以利用多重签名和时间延迟来保护自己免受黑客攻击或因丢失私钥而失去财产的情况。
网友评论