قسمت 2: پل زدن بر بلاک چین: ایجاد یک پل بلاک چین ایمن

وقت خواندن: 5 دقیقه

بررسی کنید که کدام قسمت از پل به امنیت نیاز دارد و چگونه آن را پیاده سازی کنید.

2022 بود سال هک پلبا 5 هک اصلی: Qubit، Wormhole، Ronin، Harmony و Nomad. هر پروتکل با خسارات سنگین میلیونی روبرو بود. پل ها تراکنش بین زنجیره ای را آسان می کنند، اما اگر نتوانیم آنها را ایمن نگه داریم چه فایده ای دارد؟

در این وبلاگ، ما جنبه‌های مختلف آن وبلاگ و مواردی را که باید هنگام ساخت یا ممیزی یکی از آن‌ها آگاه باشید را برای جلوگیری از چنین هک‌های بزرگ بر روی پل‌ها و ایجاد یک اکوسیستم Web3 بهتر و ایمن‌تر آورده‌ایم.

کالبد شکافی پل از نظر امنیتی

یک پل جنبه های مختلفی دارد. به طور معمول، یک پل شامل برنامه های وب، RPC، قراردادهای هوشمند، توکن ها، اعتبارسنجی ها، Multisigs و جامعه است. ما با هر یک از این جنبه‌ها و موارد مرتبط با امنیت در برخی از آنها سر و کار خواهیم داشت.

وب سایت برنامه

این قسمت جایی است که کاربران با یک پلتفرم برای خدمات تعامل دارند. این می تواند یک وب سایت یا یک برنامه تلفن همراه باشد. این توسط خالق پروتکل ایجاد می شود یا می تواند توسط شخص ثالثی برای پروتکل ساخته شود، این در مرحله بعد با RPC (بعداً در آن) برای تعامل با پل اصلی تعامل می کند.

منطقه خطر اصلی در برنامه وب خود وب سایت است. وب‌سایتی که به‌عنوان پلتفرمی برای تعامل کاربران با بلاک‌چین عمل می‌کند، باید تراکنش‌ها را فقط و فقط به پل مورد نظر منتقل کند و نه برخی از قراردادهای ناشناخته، که بعداً می‌تواند کیف پول کاربر را تخلیه کند. بنابراین باید بررسی مناسبی انجام شود که هر تعامل بین پلتفرم و بلاک چین باید بر روی قراردادهای شناخته شده باشد.

عامل خطر دیگر در برنامه های وب، کاربر نهایی است. برای آموزش کاربر باید کارهای بیشتری انجام شود. کاربران اغلب قربانی سایت‌های فیشینگ می‌شوند یا دستگاه‌هایشان آلوده می‌شوند که منجر به تخلیه سرمایه می‌شود. برای نجات کاربر از چنین پروتکل‌هایی از دست دادن، به آنها در مورد اشتباهات رایج کاربران آموزش دهید.

قراردادهای هوشمند پل

قراردادهای هوشمند بخشی از پروتکل هستند که در آن ما باید بسیار محتاط باشیم و در هنگام کدگذاری آنها دائماً به دنبال آسیب‌پذیری باشیم. آنها موتور اصلی پروتکل هستند. این پل شامل بسیاری از قراردادهای هوشمند خواهد بود و بسیاری از عملکردها احتمالاً به قراردادهای مختلفی برای تعامل نیاز دارند که فضایی را برای آسیب‌پذیری‌ها ایجاد می‌کند.

قراردادهای هوشمند نیز برای همه قابل مشاهده است. این مزیتی است که زیرساخت بلاک چین شفافیت دارد. هر کسی می‌تواند با مرور کد قرارداد هوشمند، عملکرد پروتکل و عملکرد فنی آن را ببیند، اما این به این معنی است که کد منبع شما باز است و هکرها می‌توانند از آن بهره ببرند. بنابراین بسیار مهم است که پروتکل خود را بدون آسیب‌پذیری رها کنید و آن را از دست اول ایمن کنید.

تیم توسعه‌ای که کد قرارداد هوشمند را می‌نویسد باید تیمی شایسته باشد که یک گام امنیتی برمی‌دارد و در هر مرحله بپرسد که آیا این بلوک کد به هر حال می‌تواند منجر به آسیب‌پذیری شود. آیا بهترین شیوه های توسعه دنبال می شود؟ و همیشه باید در صورت بروز نقص امنیتی آماده باشد.

توسعه قراردادهای هوشمند ایمن یک کار چالش برانگیز است. برای تسلط بر این صنعت سالها تمرین لازم است. بنابراین، همیشه توصیه و مهم است که برای «حسابرسی قرارداد هوشمند» از شرکت‌های معروفی مانند QuillAudits اقدام کنید. QuillAudits با تیمی از کارشناسان مجرب همه جنبه های پروتکل را از نقطه نظر امنیتی پوشش می دهد و هیچ چیز را به شانس نمی گذارد. این یکی از مهم ترین پارامترهایی است که موفقیت هر پروتکل را دیکته می کند. با ممیزی شدن، پروتکل با انتشار گزارش حسابرسی یک شرکت شناخته شده، اعتماد کاربران را جلب می کند.

نشانه

این با ارزش ترین بخش پروتکل است. پروتکل ما حول این محور می چرخد. ما سعی می کنیم توکن ها را از یک زنجیره به زنجیره دیگر منتقل کنیم، اما مدیریت توکن ها پیچیده تر است. ببینید، سیستم می‌تواند آسیب‌پذیری‌های زیادی داشته باشد، به‌ویژه وقتی در مورد رایت/منتینگ صحبت می‌کنیم.

یک چیز جالب این است که در برخی موارد، استخر توکن شما در یک زنجیره به خطر می افتد. حدس بزنید چه اتفاقی برای دارایی زنجیره دیگر خواهد افتاد؟ دارایی در زنجیره دیگر بدون پشتوانه است و نمی توان آن را به حساب آورد، که ممکن است آنها را بی ارزش کند.

اعتبار سنجی / اجماع

اجماع نشان دهنده شالوده شبکه بلاک چین است. در حالی که اتریوم و سایر زنجیره‌های شناخته شده امن و آزمایش‌شده شناخته شده‌اند، اگر پلی برای زنجیره‌ای نه چندان آزمایش‌شده دیگر ایجاد کنید، ممکن است مشکلی پیش بیاید.

مسئله فقط توکن های به خطر افتاده نیست. این می تواند منجر به به خطر افتادن توکن های شما در زنجیره پل دیگر شود. زنجیره دوم برای ایجاد یک پل امن باید قابل اعتماد باشد. همچنین سطح حمله را بالا می برد و به هکرها فضایی برای یافتن آسیب پذیری ها می دهد.

چند علامتی

برخی از مضرترین حملات به پل ها در سال 2022 عمدتاً به خاطر همین قسمت بوده است. بنابراین این یک موضوع داغ برای امنیت پل است. پل احتمالاً توسط یک یا چند مولتی سیگ کنترل می‌شود، که کیف پول‌هایی هستند که قبل از اجرای تراکنش نیاز به امضای چند نفر دارند.

Multisigs با محدود نکردن اختیارات به یک امضاکننده، بلکه با دادن حقوقی شبیه به رأی به امضاکنندگان مختلف، یک لایه امنیتی اضافی اضافه می‌کند. این مولتی‌سیگ‌ها همچنین می‌توانند قراردادهای پل را به‌روزرسانی یا متوقف کنند.

اما اینها غیرقابل خطا نیستند. جنبه های امنیتی زیادی در آن وجود دارد. یکی از آنها اکسپلویت های قراردادی است، Multisigs به عنوان قراردادهای هوشمند پیاده سازی می شوند و بنابراین به طور بالقوه در برابر اکسپلویت ها آسیب پذیر هستند. بسیاری از قراردادهای مولتی سیگ برای مدت طولانی آزمایش شده اند و خوب عمل کرده اند، اما قراردادها هنوز یک سطح حمله اضافی هستند.

خطای انسانی یکی از عوامل اصلی در مورد امنیت پروتکل است و امضاکنندگان نیز افراد یا حساب‌ها هستند. بنابراین، آنها می توانند به خطر بیفتند، و در نتیجه پروتکل به خطر بیفتد، هر فردی که امضاکننده یک کیف پول multisig است، باید مطمئن باشد که دشمن نیست، اما همچنین باید به او اعتماد کرد تا به اقدامات امنیتی پایبند باشد زیرا ایمنی آنها بسیار مهم است. برای ایمنی پروتکل

نتیجه

پل ها از یک مکانیسم و ​​پیاده سازی پیچیده پیروی می کنند. این پیچیدگی می تواند درهای بسیاری را برای آسیب پذیری ها باز کند و به هکرها اجازه دهد تا پروتکل را بشکنند. برای ایمن کردن پروتکل از آن، اقدامات زیادی را می توان انجام داد، فقط برخی از آنها در بالا مورد بحث قرار گرفت، اما هیچ چیز بهتر از خدمات حسابرسی نیست.

خدمات حسابرسی بهترین دیدگاه و تحلیل پروتکل را از نقطه نظر امنیتی ارائه می دهد. انجام این کار می تواند به پروتکل ها کمک کند تا محبوبیت و اعتماد کاربران را افزایش دهند و خود را از حملات ایمن کنند. بنابراین، انجام ممیزی قبل از پخش زنده همیشه برای جلوگیری از ضرر توصیه می شود. QuillAudits مدت زیادی است که در این بازی بوده است و واقعاً نام خوبی برای خود ساخته است، وب سایت را بررسی کنید و در وبلاگ های آموزنده تر حرکت کنید.

18 نمایش ها

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
• منبع: https://blog.quillhash.com/2023/04/07/part-2-bridging-the-blockchain-creating-a-secure-blockchain-bridge/