Læsetid: 5 minutter
Udforsk, hvilken del af broen der har brug for sikkerhed, og hvordan du implementerer det.
2022 var år med bridge hacks, med 5 store hacks: Qubit, Wormhole, Ronin, Harmony og Nomad. Hver protokol stod over for store tab i millioner. Broerne letter transaktionen mellem kæderne, men hvad nytter det, hvis vi ikke kan holde dem sikre?
I denne blog bringer vi dig forskellige aspekter af den blog, og hvad du skal være opmærksom på, mens du bygger eller reviderer en for at undgå sådanne store hacks på broer og skabe et bedre og mere sikkert Web3-økosystem.
Dissekere broen ud fra et sikkerhedssynspunkt
Der er forskellige aspekter af en bro. Normalt omfatter en bro Web App, RPC, Smart Contracts, Tokens, Validatorer, Multisigs og fællesskabet. Vi vil beskæftige os med hvert af disse aspekter og hvilke sikkerhedsrelaterede ting, vi skal kigge efter i nogle af disse.
Web App
Denne del er, hvor brugerne interagerer med en platform for tjenester. Dette kan være en hjemmeside eller en mobilapp. Dette er udviklet af skaberen af protokollen eller kan laves af en tredjepart til protokollen, denne interagerer på et senere tidspunkt med RPC'en (senere det) for at interagere med kernebroen.
Det vigtigste risikoområde i Web App er selve hjemmesiden. Hjemmesiden, der fungerer som en platform for brugere til at interagere med blockchain, bør kun overføre transaktionerne og kun til den påtænkte bro og ikke nogle ukendte kontrakter, som senere kan dræne brugerens tegnebog. Så der bør være en ordentlig kontrol af, at hver interaktion mellem platformen og blockchain skal være på kendte kontrakter.
Den anden risikofaktor i webapps er slutbrugeren. Der skal gøres mere for at uddanne brugeren. Brugerne bliver ofte ofre for phishing-websteder eller får deres enheder inficeret, hvilket resulterer i, at midlerne løber ud. For at redde din bruger fra sådanne tabsprotokoller bør du overveje at oplyse dem om de almindelige fejl, brugere begår.
Bridge Smart Contracts
Smarte kontrakter er en del af protokollen, hvor vi skal være ekstremt forsigtige og konstant lede efter sårbarheder, mens vi koder dem. De er kernemotoren i protokollen. Broen vil bestå af mange sådanne smarte kontrakter, og mange funktionaliteter vil sandsynligvis kræve forskellige kontrakter for at interagere, hvilket skaber plads til sårbarheder.
Smarte kontrakter er også synlige for alle; dette er en fordel, at blockchain-infrastruktur har gennemsigtighed. Enhver kan se, hvad protokollen gør, og hvordan den fungerer teknisk ved at gå gennem den smarte kontraktkode, men det betyder også, at din kildekode er åben, og det kan hackere drage fordel af. Derfor er det ekstremt vigtigt at efterlade din protokol uden sårbarheder og gøre den sikker fra første hånd.
Udviklingsteamet, der skriver koden til den smarte kontrakt, bør være et kompetent team, der tager et sikkerhedsorienteret skridt og ved hvert trin spørger, om denne kodeblok alligevel kan føre til sårbarhed. Bliver den bedste udviklingspraksis fulgt? og bør altid være klar i tilfælde af et sikkerhedsbrud.
At udvikle sikre smarte kontrakter er en udfordrende opgave. Det kræver mange års øvelse at mestre håndværket. Det er derfor altid tilrådeligt og vigtigt at gå efter en "Smart kontraktrevision" fra kendte firmaer som QuillAudits. Med et team af erfarne eksperter dækker QuillAudits alle aspekter af protokollen ud fra et sikkerhedssynspunkt og overlader intet til tilfældighederne. Dette er en af de mest afgørende parametre, der dikterer enhver protokols succes. Ved at blive revideret vinder protokollen brugernes tillid ved at offentliggøre et anerkendt firmas revisionsrapport.
Tokens
Dette er den mest værdifulde del af protokollen. Vores protokol kredser om dette; vi forsøger at overføre tokens fra en kæde til en anden, men det er mere komplekst at håndtere tokens. Du kan se, systemet kan have mange sårbarheder, især når vi taler om brænding/minting.
En interessant ting er, i nogle tilfælde, at din token-pulje på én kæde er kompromitteret. Gæt hvad der vil ske med den anden kædes aktiv? Aktivet i den anden kæde er ikke-backed og kan ikke tages i betragtning, hvilket kan gøre dem værdiløse.
Validatorer/Konsensus
Konsensus repræsenterer grundlaget for et blockchain-netværk. Mens Ethereum og andre kendte kæder er kendt for at være sikre og testede, kan der være et problem, hvis du opretter en bro til en anden ikke så testet kæde.
Problemet er ikke kun kompromitterede tokens. Det kan føre til kompromittering af dine tokens på den anden brokoblede kæde. Den anden kæde skal være pålidelig for at skabe en sikker bro. Det hæver også angrebsoverfladen og giver hackere plads til at jage efter sårbarheder.
Multisigs
Nogle af de mest skadelige angreb på broer i 2022 var hovedsageligt på grund af denne del. Så dette er et varmt emne for brosikkerhed. Broen styres sandsynligvis af en eller flere multisigs, som er tegnebøger, der kræver, at flere personer underskriver, før transaktionen udføres.
Multisigerne tilføjer et ekstra lag af sikkerhed ved ikke at begrænse autoriteten til en enkelt underskriver, men ved at give stemmelignende rettigheder til forskellige underskrivere. Disse multisigs kan også gøre det muligt for brokontrakterne at blive opgraderet eller sat på pause.
Men disse er ikke idiotsikre. Der er mange sikkerhedsrelaterede aspekter ved det. En af dem er kontraktudnyttelser, multisigs er implementeret som smarte kontrakter og dermed potentielt sårbare over for udnyttelser. Mange multisigs kontrakter er blevet testet i lang tid og har gjort det godt, men kontrakterne er stadig en ekstra angrebsflade.
Menneskelige fejl er en af de vigtigste faktorer, når det kommer til protokolsikkerhed, og underskriverne er også personer eller konti; De kan således kompromitteres, hvilket resulterer i protokollens kompromittering. Enhver person, der er underskriver på en multisig-pung, skal have tillid til ikke at være en modstander, men skal også have tillid til at overholde sikkerhedspraksis, da deres sikkerhed er afgørende for protokollens sikkerhed.
Konklusion
Broer følger en kompleks mekanisme og implementering. Denne kompleksitet kan åbne mange døre for sårbarheder og give hackere mulighed for at bryde protokollen. For at sikre protokollen fra det, kan der tages mange foranstaltninger, kun nogle af disse er blevet diskuteret ovenfor, men intet slår revisionstjenester.
Revisionstjenester giver den bedste visning og analyse af protokollen ud fra et sikkerhedssynspunkt. At gøre det kan hjælpe protokoller med at øge brugernes popularitet og tillid og sikre sig selv mod angreb. Derfor tilrådes det altid at få en revision, før den går live, for at undgå tab. QuillAudits har været med i spillet i lang tid og har skabt sig et rigtig godt navn. Tjek hjemmesiden ud og gå gennem mere informative blogs.
18 Views
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://blog.quillhash.com/2023/04/07/part-2-bridging-the-blockchain-creating-a-secure-blockchain-bridge/
- :er
- 2022
- a
- Om
- over
- Konti
- handlinger
- Yderligere
- klæbe
- Fordel
- altid
- analyse
- ,
- En anden
- nogen
- app
- apps
- ER
- OMRÅDE
- omkring
- AS
- udseende
- aspekter
- aktiv
- At
- angribe
- Angreb
- revision
- revideres
- revision
- myndighed
- BE
- fordi
- før
- være
- BEDSTE
- Bedre
- mellem
- Bloker
- blockchain
- Blockchain netværk
- Blog
- blogs
- brud
- Pause
- BRIDGE
- brokoblet
- broer
- brodannelse
- bringe
- Bygning
- by
- CAN
- kan ikke
- tilfælde
- tilfælde
- forsigtig
- kæde
- kæder
- udfordrende
- chance
- kontrollere
- kode
- Kodning
- Fælles
- samfund
- kompetent
- komplekse
- kompleksitet
- Kompromitteret
- Overvej
- konstant
- kontrakt
- kontrakter
- kontrolleret
- Core
- Kursus
- Dækker
- håndværk
- skabe
- Oprettelse af
- skaberen
- afgørende
- beskæftiger
- udviklet
- Udvikling
- Enheder
- forskellige
- drøftet
- gør
- døre
- hver
- økosystem
- uddanne
- uddanne
- muliggøre
- Engine (Motor)
- fejl
- især
- ethereum
- Hver
- alle
- erfarne
- eksperter
- exploits
- ekstra
- ekstremt
- konfronteret
- faktorer
- Fall
- firmaer
- følger
- efterfulgt
- Til
- Foundation
- fra
- funktionaliteter
- funktioner
- fond
- gevinster
- spil
- få
- giver
- Give
- Go
- gå
- godt
- hackere
- hacks
- håndtere
- ske
- skadelig
- Harmoni
- Have
- tunge
- hjælpe
- HOT
- Hvordan
- How To
- HTTPS
- gennemføre
- implementering
- implementeret
- vigtigt
- in
- Forøg
- individuel
- enkeltpersoner
- informative
- Infrastruktur
- interagere
- interaktion
- interagerer
- interessant
- spørgsmål
- IT
- selv
- Holde
- kendt
- lag
- føre
- Forlade
- ligesom
- Sandsynlig
- leve
- Lang
- lang tid
- Se
- off
- tab
- lavet
- Main
- større
- lave
- mange
- Master
- max-bredde
- midler
- foranstaltninger
- mekanisme
- millioner
- fejl
- Mobil
- Mobil app
- mere
- mest
- bevæge sig
- flere
- multitegn
- navn
- behov
- netværk
- NOMAD
- Normalt
- of
- on
- ONE
- åbent
- Andet
- parametre
- del
- part
- Mennesker
- Phishing
- Phishing-websteder
- perron
- plato
- Platon Data Intelligence
- PlatoData
- Punkt
- Synspunkt
- pool
- popularitet
- potentielt
- praksis
- praksis
- passende
- protokol
- protokol sikkerhed
- protokoller
- give
- Publicering
- qubit
- Quillhash
- rejser
- klar
- anerkendt
- indberette
- repræsenterer
- kræver
- resulterer
- rettigheder
- Risiko
- Risikofaktor
- RONIN
- Værelse
- sikker
- Sikkerhed
- Gem
- Anden
- sikker
- sikkerhed
- Tjenester
- bør
- underskrive
- enkelt
- Websteder
- Smart
- smart kontrakt
- Smarte kontrakter
- So
- nogle
- Kilde
- kildekode
- Stage
- Trin
- Stadig
- succes
- sådan
- overflade
- systemet
- Tag
- tager
- Tal
- Opgaver
- hold
- at
- deres
- Them
- selv
- Disse
- ting
- ting
- Tredje
- Gennem
- tid
- til
- token
- Tokens
- emne
- transaktion
- Transaktioner
- overførsel
- Gennemsigtighed
- Stol
- betroet
- opgraderet
- brug
- Bruger
- brugere
- validatorer
- Værdifuld
- forskellige
- Victim
- Specifikation
- synlig
- Sårbarheder
- sårbarhed
- Sårbar
- tegnebog
- Punge
- web
- Web3
- Web3 økosystem
- Hjemmeside
- GODT
- Kendt
- Hvad
- Hvad er
- som
- mens
- vilje
- med
- ormehul
- år
- Du
- Din
- zephyrnet
