DApps: Ζητήματα ασφάλειας, παραβιάσεις και προληπτικά μέτρα Πλατφορμική ευφυΐα δεδομένων. Κάθετη αναζήτηση. Ολα συμπεριλαμβάνονται.

DApps: Ζητήματα ασφαλείας, εισβολές και προληπτικά μέτρα 

Χρονική σήμανση: 2 Αυγούστου 2022 8:31 π.μ.

Ώρα ανάγνωσης: 4 πρακτικά

Η αποκέντρωση σε κάθε τομέα της ζωής είναι ο νέος κώδικας της επερχόμενης εποχής. Τα DApps είναι εδώ για να φέρουν επανάσταση στον τρόπο λειτουργίας των εφαρμογών, συγχωνεύοντας το απόρρητο δεδομένων και τις ιδιότητες ιδιοκτησίας. 

Ας μπούμε στο βάθος του ιστολογίου.

Τι είναι τα DApps;

Τα DApps είναι αποκεντρωμένες εφαρμογές που χρησιμοποιούν blockchain για την επεξεργασία δεδομένων μέσω ενός κατανεμημένου δικτύου και την εκτέλεση συναλλαγών. Σε αντίθεση με τις κεντρικές εφαρμογές, οι DApps λειτουργούν από δίκτυα peer-to-peer. 

Μόλις ο προγραμματιστής απελευθερώσει τη βάση κώδικα για το DApp, μπορούν να δημιουργηθούν πολλές εφαρμογές πάνω από αυτό. Δεν υπάρχει καμία ενιαία αρχή, και ως εκ τούτου κανένα σημείο αποτυχίας καθώς το δίκτυο P2P τις εκτελεί. 

Το DApp βοηθά στη δημιουργία πολλών εφαρμογών, όπως διαδικτυακές εφαρμογές, παιχνίδια και ψυχαγωγία, εφαρμογές κοινωνικών μέσων κ.λπ.       

Σημαντικά Χαρακτηριστικά του DApp

Ακολουθούν μερικοί δείκτες σχετικά με τα βασικά χαρακτηριστικά του DApp

  • Είναι κώδικας ανοιχτού κώδικα και ελέγχονται από τον χρήστη. Αυτό σημαίνει ότι τυχόν αλλαγές ή νέες προσθήκες ψηφίζονται και εφαρμόζονται. 
  • Η αποκέντρωση είναι η βασική πτυχή μέσω της οποίας όλες οι λεπτομέρειες διατηρούνται στο δημοσίως διανεμημένο καθολικό.
  • Οι DApps χρησιμοποιούν διακριτικά εγγενή στην πλατφόρμα για να επιβραβεύουν τους χρήστες για τη συμμετοχή ή την εξόρυξή τους.

Ειδήσεις σχετικά με τη χρήση των DApps

Σύμφωνα με τις εκθέσεις του DAppRadar, ο αριθμός των χρηστών που ασχολούνται με αποκεντρωμένες εφαρμογές αυξάνεται κατά 396% κάθε χρόνο, με πλέον 2.4 εκατομμύρια. 

Μεταξύ των οποίων τα DApps παιχνιδιών αντιπροσωπεύουν πάνω από το 50% της δραστηριότητας των χρηστών το 1ο τρίμηνο του 2022 και τα NFT έκαναν μια τεράστια συλλογή περίπου 12 δισεκατομμυρίων δολαρίων. 

Ζητήματα ασφαλείας κωδικοποίησης DApp

Έχοντας γνωρίσει τη συνολική ιδέα του DApp, ας διερευνήσουμε τώρα μερικά από τα κοινά τεχνικά λάθη που σχετίζονται με αυτά.

Έλεγχος υπογραφής: Η χρήση της μορφής ελέγχου "case_=> true" στο @επιβεβαιωτής Η λειτουργία της κωδικοποίησης DApp απαγορεύει τη συναλλαγή μεταφοράς ενώ επιτρέπει άλλους τύπους συναλλαγών.

{-# STDLIB_VERSION 3 #-}
{-# CONTENT_TYPE EXPRESSION #-}
{-# SCRIPT_TYPE ACCOUNT #-}

match (tx) {
	case t:TransferTransaction => false
	case _ => true # NEVER DO THIS!
}

Αλλά χρησιμοποιώντας αυτόν τον τύπο κώδικα, οποιοσδήποτε χρήστης μπορεί να πραγματοποιήσει συναλλαγές εκτός από συναλλαγές μεταφοράς. Εισάγοντας το δημόσιο κλειδί στο πεδίο «senderPublicKey» χωρίς την προσθήκη υπογραφών, δίνει πρόσβαση σε οποιονδήποτε χρήστη για την εκτέλεση μιας συναλλαγής. 

{-# STDLIB_VERSION 3 #-}
{-# CONTENT_TYPE EXPRESSION #-}
{-# SCRIPT_TYPE ACCOUNT #-}

match (tx) {
	case t:TransferTransaction => false
	case _ => sigVerify(tx.bodyBytes, tx.proofs[0], tx.senderPublikey)
}

Ως εκ τούτου, είναι σημαντικό να διασφαλιστεί ότι η παρουσία ενός ελέγχου υπογραφής στην κωδικοποίηση DApp θα στερείται της αναφερόμενης ευπάθειας.

Εισαγωγή κλειδιών: Οι λειτουργίες στο DApp περιλαμβάνουν την αποθήκευση κλειδιού-τιμής. Το συνηθισμένο λάθος είναι ότι ένας προγραμματιστής θα έγραφε σε ένα κλειδί και θα το διάβαζε από ένα άλλο. Επομένως, πρέπει να δίνεται προσοχή κατά την εγγραφή των κλειδιών. 

let NONE = "NONE"

func keyVoteByAddress(votingId: Int, address: String) = "voting_" + votingId + "_vote_" + address


@Callable(i)
func vote(id: Int) => {
	let voteKey = keyVoteByAddress(id, i.caller.toBase58String())
	let vote = getString(this, voteKey).valueOrElse(NONE)

	# alternative option

	let vote = match getString(this, voteKey){
    	case s: String => s
    	case _ => NONE
	}

	if (vote == NONE) then ...
	else ...
}

Ένα άλλο λάθος είναι ότι αντί να δίνονται προεπιλεγμένες τιμές, δεν προτείνεται η προσπάθεια ανάγνωσης τιμών από τις μεταβλητές, όπως value() ή extract().

Ελεγχόμενες συναλλαγές: Οι λειτουργίες DApp περιλαμβάνουν πολλές αλληλοεξαρτώμενες λειτουργίες που εκτελούνται με τη σειρά. Σε τέτοιες περιπτώσεις, είναι ασφαλές να έχετε τη λειτουργία "waitForTxWithNConfirmations" για να λαμβάνετε επιβεβαιώσεις μία φορά μετά την προσθήκη της πρώτης συναλλαγής στο μπλοκ.

Γενικά ζητήματα που αφορούν τα DApps

Χαμηλό επίπεδο ρευστότητας DApps: Τα χαμηλά επίπεδα ρευστότητας σε αποκεντρωμένες εφαρμογές δυσκολεύουν την αγορά ή την πώληση κουπονιών στην αναμενόμενη τιμή, προκαλώντας ολίσθηση. Η ολίσθηση είναι η διαφορά μεταξύ των αναμενόμενων και των εκτελεσμένων τιμών, η οποία μπορεί να οδηγήσει σε απώλεια κεφαλαίων.

Οι χρήστες μπορούν να παρακολουθούν τη ρευστότητα των περιουσιακών στοιχείων με βάση τον όγκο συναλλαγών τους και να λαμβάνουν έξυπνες αποφάσεις πριν αγοράσουν ή πουλήσουν ένα διακριτικό. 

Παραβίαση ή αποτυχία ασφάλειας:  Τα DApps λειτουργούν μέσω έξυπνων συμβολαίων και αυτά με σφάλματα στην κωδικοποίησή τους είναι ιδανικοί στόχοι για τους χάκερ. Υπό ακραίες συνθήκες αγοράς ή λόγω εκμεταλλεύσεων κώδικα, η υποτίμηση ή η απώλεια κεφαλαίων σε DApps γίνεται αναπόφευκτη.

Ο έλεγχος του κώδικα από τρίτες εταιρείες κάνει πιο καλό στην αντιμετώπιση αυτού του ζητήματος. 

Phishing DApp: Εάν υπάρχει συμβιβασμός στην κωδικοποίηση του DApp, οι σύνδεσμοι phishing κυκλοφορούν στους επίσημους ιστότοπούς τους. Κάνοντας κλικ σε αυτά εν αγνοία τους, αποστραγγίζουν όλα τα χρήματα από τα πορτοφόλια των χρηστών. 

Επομένως, ελέγξτε ξανά τις διευθύνσεις URL πριν προσθέσετε τα χρήματα από τα πορτοφόλια σας ή εισαγάγετε τις πληροφορίες του πορτοφολιού. 

Κατάσταση παραβιάσεων και απατών DApp το 2022

Το μειονέκτημα των DApps είναι το γεγονός ότι είναι ευάλωτα σε hacks. Από τα στοιχεία που δημοσίευσε το DAppRadar, μόνο οι απάτες DApp αντιπροσώπευαν ζημιά 1.2 δισεκατομμυρίων δολαρίων. 

Τα κυριότερα σημεία των σημαντικότερων γεγονότων hack περιλαμβάνουν,

Παραβίαση της γέφυρας Ronin: Αποκτώντας πρόσβαση στους κόμβους επικύρωσης, ο χάκερ μπόρεσε να πλαστογραφήσει ψεύτικες συναλλαγές Axie Infinity's Δίκτυο γέφυρας Ronin που οδήγησε σε απώλεια 600 εκατομμυρίων δολαρίων. 

Πρωτόκολλο Wormhole: Ο χάκερ εκμεταλλεύτηκε ένα ελάττωμα ασφαλείας στον κώδικα πρωτοκόλλου Wormhole, με αποτέλεσμα την απώλεια 325 εκατομμυρίων δολαρίων. 

Δείτε πώς να παραμείνετε ασφαλείς και να υιοθετήσετε προληπτικές μεθόδους για την ασφάλεια DApp

Η υπέρβαση των ελαττωμάτων ασφαλείας λύνει το μεγαλύτερο μέρος του προβλήματος dapps. Υπάρχουν μερικοί τρόποι για να το διευθετήσετε. 

  1. Αναλάβετε ελεγκτικές υπηρεσίες: Μια ενδελεχής ανάλυση κωδικοποίησης από μια ελεγκτική εταιρεία όπως QuillAudits εξαλείφει τα σφάλματα από το επίπεδο του εδάφους. 
  2. Δοκιμή διείσδυσης: Η δοκιμή διείσδυσης κερδίζει το πάνω χέρι στην εύρεση κρυφών τρωτών σημείων/κόμβων, στον έλεγχο των API και στην ανακάλυψη νέων μονοπατιών επίθεσης. 

Γενικά προληπτικά μέτρα για την ασφάλεια DApp

  1. Διατηρήστε το απόρρητο της ιδιωτικής φράσης σποράς για να αποκτήσετε πρόσβαση στα χρήματα από το πορτοφόλι
  2. Επαλήθευση της αυθεντικότητας και της νομιμότητας του ιστότοπου DApp
  3. Να είστε προσεκτικοί με συνδέσμους ή κείμενα με γραμματικά λάθη.

114 Προβολές

Σφραγίδα ώρας:

Περισσότερα από Quillhash