Μέρος 2: Γεφύρωση της αλυσίδας μπλοκ: Δημιουργώντας μια ασφαλή γέφυρα blockchain

Ώρα ανάγνωσης: 5 πρακτικά

Εξερευνήστε ποιο μέρος της γέφυρας χρειάζεται ασφάλεια και πώς να το εφαρμόσετε.

Το 2022 ήταν το έτος χακαρισμένων γεφυρών, με 5 μεγάλα hacks: Qubit, Wormhole, Ronin, Harmony και Nomad. Κάθε πρωτόκολλο αντιμετώπιζε μεγάλες απώλειες σε εκατομμύρια. Οι γέφυρες διευκολύνουν τη συναλλαγή μεταξύ των αλυσίδων, αλλά τι ωφελεί εάν δεν μπορούμε να τις κρατήσουμε ασφαλείς;

Σε αυτό το ιστολόγιο, σας παρουσιάζουμε διάφορες πτυχές αυτού του ιστολογίου και τι πρέπει να γνωρίζετε κατά τη δημιουργία ή τον έλεγχο ενός ιστολογίου για να αποφύγετε τέτοιες μεγάλες παραβιάσεις σε γέφυρες και να δημιουργήσετε ένα καλύτερο και πιο ασφαλές οικοσύστημα Web3.

Ανατομή της γέφυρας από άποψη ασφαλείας

Υπάρχουν διαφορετικές πτυχές μιας γέφυρας. Κανονικά, μια γέφυρα περιλαμβάνει Web App, RPC, Smart Contracts, Tokens, Validators, Multisigs και την κοινότητα. Θα ασχοληθούμε με καθεμία από αυτές τις πτυχές και ποια πράγματα που σχετίζονται με την ασφάλεια πρέπει να αναζητήσουμε σε ορισμένες από αυτές.

Εφαρμογή Ιστού

Αυτό το μέρος είναι όπου οι χρήστες αλληλεπιδρούν με μια πλατφόρμα για υπηρεσίες. Αυτό μπορεί να είναι ένας ιστότοπος ή μια εφαρμογή για κινητά. Αυτό αναπτύσσεται από τον δημιουργό του πρωτοκόλλου ή μπορεί να γίνει από τρίτο μέρος για το πρωτόκολλο, αυτό σε μεταγενέστερο στάδιο αλληλεπιδρά με το RPC (αργότερα) για να αλληλεπιδράσει με τη γέφυρα πυρήνα.

Η κύρια περιοχή κινδύνου στο Web App είναι ο ίδιος ο ιστότοπος. Ο ιστότοπος, ο οποίος λειτουργεί ως πλατφόρμα αλληλεπίδρασης των χρηστών με το blockchain, θα πρέπει να μεταδίδει τις συναλλαγές μόνο και μόνο στην προβλεπόμενη γέφυρα και όχι κάποια άγνωστα συμβόλαια, τα οποία αργότερα μπορούν να εξαντλήσουν το πορτοφόλι του χρήστη. Επομένως, θα πρέπει να υπάρχει σωστός έλεγχος ότι κάθε αλληλεπίδραση μεταξύ της πλατφόρμας και του blockchain θα πρέπει να γίνεται σε γνωστά συμβόλαια.

Ο άλλος παράγοντας κινδύνου στις εφαρμογές Ιστού είναι ο Τελικός χρήστης. Πρέπει να γίνουν περισσότερα για την εκπαίδευση του χρήστη. Οι χρήστες συχνά πέφτουν θύματα ιστότοπων phishing ή μολύνονται οι συσκευές τους, με αποτέλεσμα τη διαρροή κεφαλαίων. Για να σώσετε τον χρήστη σας από τέτοια πρωτόκολλα απώλειας, σκεφτείτε να τον εκπαιδεύσετε σχετικά με τα κοινά λάθη που κάνουν οι χρήστες.

Bridge Smart Contracts

Τα έξυπνα συμβόλαια αποτελούν μέρος του πρωτοκόλλου όπου πρέπει να είμαστε εξαιρετικά προσεκτικοί και να αναζητούμε συνεχώς τρωτά σημεία κατά την κωδικοποίηση τους. Αποτελούν τον πυρήνα του πρωτοκόλλου. Η γέφυρα θα αποτελείται από πολλά τέτοια έξυπνα συμβόλαια και πολλές λειτουργίες πιθανότατα θα απαιτούν διάφορα συμβόλαια για να αλληλεπιδράσουν, δημιουργώντας χώρο για τρωτά σημεία.

Τα έξυπνα συμβόλαια είναι επίσης ορατά σε όλους. Αυτό είναι ένα πλεονέκτημα ότι η υποδομή blockchain έχει διαφάνεια. Οποιοσδήποτε μπορεί να δει τι κάνει το πρωτόκολλο και πώς λειτουργεί τεχνικά περνώντας από τον κώδικα έξυπνης σύμβασης, αλλά αυτό σημαίνει επίσης ότι ο πηγαίος κώδικας είναι ανοιχτός και οι χάκερ μπορούν να το εκμεταλλευτούν. Επομένως, είναι εξαιρετικά σημαντικό να αφήσετε το πρωτόκολλό σας χωρίς τρωτά σημεία και να το κάνετε ασφαλές από πρώτο χέρι.

Η ομάδα ανάπτυξης που γράφει τον κώδικα για το έξυπνο συμβόλαιο θα πρέπει να είναι μια ικανή ομάδα που κάνει ένα βήμα προσανατολισμένο στην ασφάλεια και, σε κάθε βήμα, ρωτά εάν αυτό το μπλοκ κώδικα μπορεί ούτως ή άλλως να οδηγήσει σε ευπάθεια. Ακολουθούνται οι βέλτιστες πρακτικές ανάπτυξης; και θα πρέπει να είναι πάντα έτοιμο σε περίπτωση παραβίασης της ασφάλειας.

Η ανάπτυξη ασφαλών έξυπνων συμβολαίων είναι μια πρόκληση. Χρειάζονται χρόνια εξάσκησης για να κατακτήσεις την τέχνη. Επομένως, είναι πάντα σκόπιμο και σημαντικό να πηγαίνετε για έναν «Έξυπνο έλεγχο συμβολαίων» από γνωστές εταιρείες όπως η QuillAudits. Με μια ομάδα έμπειρων ειδικών, η QuillAudits καλύπτει κάθε πτυχή του πρωτοκόλλου από την άποψη της ασφάλειας και δεν αφήνει τίποτα στην τύχη. Αυτή είναι μια από τις πιο κρίσιμες παραμέτρους που υπαγορεύουν την επιτυχία οποιουδήποτε πρωτοκόλλου. Με τον έλεγχο, το πρωτόκολλο κερδίζει την εμπιστοσύνη των χρηστών δημοσιεύοντας την έκθεση ελέγχου μιας αναγνωρισμένης εταιρείας.

κουπόνια

Αυτό είναι το πιο πολύτιμο μέρος του πρωτοκόλλου. Το πρωτόκολλό μας περιστρέφεται γύρω από αυτό. προσπαθούμε να μεταφέρουμε διακριτικά από τη μια αλυσίδα στην άλλη, αλλά είναι πιο περίπλοκο να χειριζόμαστε μάρκες. Βλέπετε, το σύστημα μπορεί να έχει πολλά τρωτά σημεία, ειδικά όταν μιλάμε για καύση/κόψιμο.

Ένα ενδιαφέρον πράγμα είναι ότι, σε ορισμένες περιπτώσεις, το token pool σας σε μία αλυσίδα παραβιάζεται. Μαντέψτε τι θα γίνει με το περιουσιακό στοιχείο της άλλης αλυσίδας; Το περιουσιακό στοιχείο στην άλλη αλυσίδα δεν υποστηρίζεται και δεν μπορεί να λογιστικοποιηθεί, γεγονός που μπορεί να τα καταστήσει άχρηστα.

Επικυρωτές / Συναίνεση

Η συναίνεση αντιπροσωπεύει τη βάση ενός δικτύου blockchain. Ενώ το Ethereum και άλλες γνωστές αλυσίδες είναι γνωστό ότι είναι ασφαλείς και δοκιμασμένες, μπορεί να υπάρξει πρόβλημα εάν δημιουργήσετε μια γέφυρα για μια άλλη όχι τόσο δοκιμασμένη αλυσίδα.

Το ζήτημα δεν είναι μόνο τα διακυβευμένα διακριτικά. Μπορεί να οδηγήσει σε συμβιβασμό των διακριτικών σας στην άλλη γεφυρωμένη αλυσίδα. Η δεύτερη αλυσίδα θα πρέπει να είναι αξιόπιστη για να δημιουργήσει μια ασφαλή γέφυρα. Ανυψώνει επίσης την επιφάνεια της επίθεσης και δίνει στους χάκερ χώρο να αναζητήσουν τρωτά σημεία.

Multisigs

Μερικές από τις πιο επιβλαβείς επιθέσεις σε γέφυρες το 2022 οφείλονταν κυρίως σε αυτό το μέρος. Αυτό είναι λοιπόν ένα καυτό θέμα για την ασφάλεια της γέφυρας. Η γέφυρα πιθανότατα ελέγχεται από ένα ή περισσότερα multisigs, τα οποία είναι πορτοφόλια που απαιτούν από πολλά άτομα να υπογράψουν πριν από την εκτέλεση της συναλλαγής.

Τα multisigs προσθέτουν ένα επιπλέον επίπεδο ασφάλειας, χωρίς να περιορίζουν την εξουσία σε έναν μόνο υπογράφοντα, αλλά δίνοντας δικαιώματα που μοιάζουν με ψήφο σε διαφορετικούς υπογράφοντες. Αυτά τα multisigs μπορούν επίσης να επιτρέψουν την αναβάθμιση ή την παύση των συμβάσεων γέφυρας.

Αλλά αυτά δεν είναι αλάνθαστα. Υπάρχουν πολλές πτυχές που σχετίζονται με την ασφάλεια. Ένα από τα οποία είναι τα contract exploits, τα multisigs υλοποιούνται ως έξυπνα συμβόλαια και επομένως δυνητικά ευάλωτα σε exploits. Πολλά συμβόλαια multisigs έχουν δοκιμαστεί για μεγάλο χρονικό διάστημα και τα πηγαίνουν καλά, αλλά τα συμβόλαια εξακολουθούν να είναι μια πρόσθετη επιφάνεια επίθεσης.

Το ανθρώπινο λάθος είναι ένας από τους σημαντικότερους παράγοντες όσον αφορά την ασφάλεια του πρωτοκόλλου και οι υπογράφοντες είναι επίσης άτομα ή λογαριασμοί. Ως εκ τούτου, μπορούν να παραβιαστούν, με αποτέλεσμα τον συμβιβασμό του πρωτοκόλλου. Κάθε άτομο που έχει υπογράψει σε ένα πορτοφόλι multisig πρέπει να είναι αξιόπιστο ότι δεν είναι αντίπαλος φυσικά, αλλά πρέπει επίσης να εμπιστεύεται ότι θα τηρεί τις πρακτικές ασφαλείας καθώς η ασφάλειά του είναι ζωτικής σημασίας για την ασφάλεια του πρωτοκόλλου.

Συμπέρασμα

Οι γέφυρες ακολουθούν έναν περίπλοκο μηχανισμό και υλοποίηση. Αυτή η πολυπλοκότητα μπορεί να ανοίξει πολλές πόρτες για τρωτά σημεία και να επιτρέψει στους χάκερ να παραβιάσουν το πρωτόκολλο. Για να εξασφαλιστεί το πρωτόκολλο από αυτό, μπορούν να ληφθούν πολλά μέτρα, μόνο μερικά τέτοια έχουν συζητηθεί παραπάνω, αλλά τίποτα δεν ξεπερνά τις υπηρεσίες ελέγχου.

Οι υπηρεσίες ελέγχου παρέχουν την καλύτερη προβολή και ανάλυση του πρωτοκόλλου από την άποψη της ασφάλειας. Κάτι τέτοιο μπορεί να βοηθήσει τα πρωτόκολλα να αυξήσουν τη δημοτικότητα και την εμπιστοσύνη των χρηστών και να ασφαλιστούν από επιθέσεις. Επομένως, συνιστάται πάντα να κάνετε έλεγχο πριν βγείτε ζωντανά για την αποφυγή ζημιών. QuillAudits είναι στο παιχνίδι για μεγάλο χρονικό διάστημα και έχει κάνει ένα πραγματικά καλό όνομα για τον εαυτό της, ελέγξτε τον ιστότοπο και μετακινηθείτε σε πιο ενημερωτικά ιστολόγια.

18 Προβολές

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://blog.quillhash.com/2023/04/07/part-2-bridging-the-blockchain-creating-a-secure-blockchain-bridge/