وقت خواندن: 5 دقیقه
بررسی کنید که کدام قسمت از پل به امنیت نیاز دارد و چگونه آن را پیاده سازی کنید.
2022 بود سال هک پلبا 5 هک اصلی: Qubit، Wormhole، Ronin، Harmony و Nomad. هر پروتکل با خسارات سنگین میلیونی روبرو بود. پل ها تراکنش بین زنجیره ای را آسان می کنند، اما اگر نتوانیم آنها را ایمن نگه داریم چه فایده ای دارد؟
در این وبلاگ، ما جنبههای مختلف آن وبلاگ و مواردی را که باید هنگام ساخت یا ممیزی یکی از آنها آگاه باشید را برای جلوگیری از چنین هکهای بزرگ بر روی پلها و ایجاد یک اکوسیستم Web3 بهتر و ایمنتر آوردهایم.
کالبد شکافی پل از نظر امنیتی
یک پل جنبه های مختلفی دارد. به طور معمول، یک پل شامل برنامه های وب، RPC، قراردادهای هوشمند، توکن ها، اعتبارسنجی ها، Multisigs و جامعه است. ما با هر یک از این جنبهها و موارد مرتبط با امنیت در برخی از آنها سر و کار خواهیم داشت.
وب سایت برنامه
این قسمت جایی است که کاربران با یک پلتفرم برای خدمات تعامل دارند. این می تواند یک وب سایت یا یک برنامه تلفن همراه باشد. این توسط خالق پروتکل ایجاد می شود یا می تواند توسط شخص ثالثی برای پروتکل ساخته شود، این در مرحله بعد با RPC (بعداً در آن) برای تعامل با پل اصلی تعامل می کند.
منطقه خطر اصلی در برنامه وب خود وب سایت است. وبسایتی که بهعنوان پلتفرمی برای تعامل کاربران با بلاکچین عمل میکند، باید تراکنشها را فقط و فقط به پل مورد نظر منتقل کند و نه برخی از قراردادهای ناشناخته، که بعداً میتواند کیف پول کاربر را تخلیه کند. بنابراین باید بررسی مناسبی انجام شود که هر تعامل بین پلتفرم و بلاک چین باید بر روی قراردادهای شناخته شده باشد.
عامل خطر دیگر در برنامه های وب، کاربر نهایی است. برای آموزش کاربر باید کارهای بیشتری انجام شود. کاربران اغلب قربانی سایتهای فیشینگ میشوند یا دستگاههایشان آلوده میشوند که منجر به تخلیه سرمایه میشود. برای نجات کاربر از چنین پروتکلهایی از دست دادن، به آنها در مورد اشتباهات رایج کاربران آموزش دهید.
قراردادهای هوشمند پل
قراردادهای هوشمند بخشی از پروتکل هستند که در آن ما باید بسیار محتاط باشیم و در هنگام کدگذاری آنها دائماً به دنبال آسیبپذیری باشیم. آنها موتور اصلی پروتکل هستند. این پل شامل بسیاری از قراردادهای هوشمند خواهد بود و بسیاری از عملکردها احتمالاً به قراردادهای مختلفی برای تعامل نیاز دارند که فضایی را برای آسیبپذیریها ایجاد میکند.
قراردادهای هوشمند نیز برای همه قابل مشاهده است. این مزیتی است که زیرساخت بلاک چین شفافیت دارد. هر کسی میتواند با مرور کد قرارداد هوشمند، عملکرد پروتکل و عملکرد فنی آن را ببیند، اما این به این معنی است که کد منبع شما باز است و هکرها میتوانند از آن بهره ببرند. بنابراین بسیار مهم است که پروتکل خود را بدون آسیبپذیری رها کنید و آن را از دست اول ایمن کنید.
تیم توسعهای که کد قرارداد هوشمند را مینویسد باید تیمی شایسته باشد که یک گام امنیتی برمیدارد و در هر مرحله بپرسد که آیا این بلوک کد به هر حال میتواند منجر به آسیبپذیری شود. آیا بهترین شیوه های توسعه دنبال می شود؟ و همیشه باید در صورت بروز نقص امنیتی آماده باشد.
توسعه قراردادهای هوشمند ایمن یک کار چالش برانگیز است. برای تسلط بر این صنعت سالها تمرین لازم است. بنابراین، همیشه توصیه و مهم است که برای «حسابرسی قرارداد هوشمند» از شرکتهای معروفی مانند QuillAudits اقدام کنید. QuillAudits با تیمی از کارشناسان مجرب همه جنبه های پروتکل را از نقطه نظر امنیتی پوشش می دهد و هیچ چیز را به شانس نمی گذارد. این یکی از مهم ترین پارامترهایی است که موفقیت هر پروتکل را دیکته می کند. با ممیزی شدن، پروتکل با انتشار گزارش حسابرسی یک شرکت شناخته شده، اعتماد کاربران را جلب می کند.
نشانه
این با ارزش ترین بخش پروتکل است. پروتکل ما حول این محور می چرخد. ما سعی می کنیم توکن ها را از یک زنجیره به زنجیره دیگر منتقل کنیم، اما مدیریت توکن ها پیچیده تر است. ببینید، سیستم میتواند آسیبپذیریهای زیادی داشته باشد، بهویژه وقتی در مورد رایت/منتینگ صحبت میکنیم.
یک چیز جالب این است که در برخی موارد، استخر توکن شما در یک زنجیره به خطر می افتد. حدس بزنید چه اتفاقی برای دارایی زنجیره دیگر خواهد افتاد؟ دارایی در زنجیره دیگر بدون پشتوانه است و نمی توان آن را به حساب آورد، که ممکن است آنها را بی ارزش کند.
اعتبار سنجی / اجماع
اجماع نشان دهنده شالوده شبکه بلاک چین است. در حالی که اتریوم و سایر زنجیرههای شناخته شده امن و آزمایششده شناخته شدهاند، اگر پلی برای زنجیرهای نه چندان آزمایششده دیگر ایجاد کنید، ممکن است مشکلی پیش بیاید.
مسئله فقط توکن های به خطر افتاده نیست. این می تواند منجر به به خطر افتادن توکن های شما در زنجیره پل دیگر شود. زنجیره دوم برای ایجاد یک پل امن باید قابل اعتماد باشد. همچنین سطح حمله را بالا می برد و به هکرها فضایی برای یافتن آسیب پذیری ها می دهد.
چند علامتی
برخی از مضرترین حملات به پل ها در سال 2022 عمدتاً به خاطر همین قسمت بوده است. بنابراین این یک موضوع داغ برای امنیت پل است. پل احتمالاً توسط یک یا چند مولتی سیگ کنترل میشود، که کیف پولهایی هستند که قبل از اجرای تراکنش نیاز به امضای چند نفر دارند.
Multisigs با محدود نکردن اختیارات به یک امضاکننده، بلکه با دادن حقوقی شبیه به رأی به امضاکنندگان مختلف، یک لایه امنیتی اضافی اضافه میکند. این مولتیسیگها همچنین میتوانند قراردادهای پل را بهروزرسانی یا متوقف کنند.
اما اینها غیرقابل خطا نیستند. جنبه های امنیتی زیادی در آن وجود دارد. یکی از آنها اکسپلویت های قراردادی است، Multisigs به عنوان قراردادهای هوشمند پیاده سازی می شوند و بنابراین به طور بالقوه در برابر اکسپلویت ها آسیب پذیر هستند. بسیاری از قراردادهای مولتی سیگ برای مدت طولانی آزمایش شده اند و خوب عمل کرده اند، اما قراردادها هنوز یک سطح حمله اضافی هستند.
خطای انسانی یکی از عوامل اصلی در مورد امنیت پروتکل است و امضاکنندگان نیز افراد یا حسابها هستند. بنابراین، آنها می توانند به خطر بیفتند، و در نتیجه پروتکل به خطر بیفتد، هر فردی که امضاکننده یک کیف پول multisig است، باید مطمئن باشد که دشمن نیست، اما همچنین باید به او اعتماد کرد تا به اقدامات امنیتی پایبند باشد زیرا ایمنی آنها بسیار مهم است. برای ایمنی پروتکل
نتیجه
پل ها از یک مکانیسم و پیاده سازی پیچیده پیروی می کنند. این پیچیدگی می تواند درهای بسیاری را برای آسیب پذیری ها باز کند و به هکرها اجازه دهد تا پروتکل را بشکنند. برای ایمن کردن پروتکل از آن، اقدامات زیادی را می توان انجام داد، فقط برخی از آنها در بالا مورد بحث قرار گرفت، اما هیچ چیز بهتر از خدمات حسابرسی نیست.
خدمات حسابرسی بهترین دیدگاه و تحلیل پروتکل را از نقطه نظر امنیتی ارائه می دهد. انجام این کار می تواند به پروتکل ها کمک کند تا محبوبیت و اعتماد کاربران را افزایش دهند و خود را از حملات ایمن کنند. بنابراین، انجام ممیزی قبل از پخش زنده همیشه برای جلوگیری از ضرر توصیه می شود. QuillAudits مدت زیادی است که در این بازی بوده است و واقعاً نام خوبی برای خود ساخته است، وب سایت را بررسی کنید و در وبلاگ های آموزنده تر حرکت کنید.
18 نمایش ها
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://blog.quillhash.com/2023/04/07/part-2-bridging-the-blockchain-creating-a-secure-blockchain-bridge/
- :است
- 2022
- a
- درباره ما
- بالاتر
- حساب ها
- اعمال
- اضافی
- پایبند بودن
- مزیت - فایده - سود - منفعت
- همیشه
- تحلیل
- و
- دیگر
- هر کس
- نرم افزار
- برنامه های
- هستند
- محدوده
- دور و بر
- AS
- ظاهر
- جنبه
- دارایی
- At
- حمله
- حمله
- حسابرسی
- حسابرسی
- حسابرسی
- قدرت
- BE
- زیرا
- قبل از
- بودن
- بهترین
- بهتر
- میان
- مسدود کردن
- بلاکچین
- شبکه Blockchain
- بلاگ
- وبلاگ ها
- شکاف
- شکستن
- بریج
- پل
- پل
- پل زدن
- به ارمغان بیاورد
- بنا
- by
- CAN
- نمی توان
- مورد
- موارد
- محتاط
- زنجیر
- زنجیر
- به چالش کشیدن
- شانس
- بررسی
- رمز
- برنامه نویسی
- مشترک
- انجمن
- شایسته
- پیچیده
- پیچیدگی
- در معرض خطر
- در نظر بگیرید
- به طور مداوم
- قرارداد
- قرارداد
- کنترل
- هسته
- دوره
- را پوشش می دهد
- سادگی
- ایجاد
- ایجاد
- خالق
- بسیار سخت
- معامله
- توسعه
- پروژه
- دستگاه ها
- مختلف
- بحث کردیم
- عمل
- درب
- هر
- اکوسیستم
- تعلیم دادن
- آموزش
- قادر ساختن
- موتور
- خطا
- به خصوص
- ethereum
- هر
- هر کس
- با تجربه
- کارشناسان
- سوء استفاده
- اضافی
- خیلی
- در مواجهه
- عوامل
- سقوط
- شرکت ها
- به دنبال
- به دنبال
- برای
- پایه
- از جانب
- ویژگی های
- توابع
- صندوق
- عایدات
- بازی
- گرفتن
- می دهد
- دادن
- Go
- رفتن
- خوب
- هکرها
- هک
- دسته
- رخ دادن
- مضر
- هارمونی
- آیا
- سنگین
- کمک
- HOT
- چگونه
- چگونه
- HTTPS
- انجام
- پیاده سازی
- اجرا
- مهم
- in
- افزایش
- فرد
- افراد
- حاوی اطلاعات مفید
- شالوده
- تعامل
- اثر متقابل
- در ارتباط بودن
- جالب
- موضوع
- IT
- خود
- نگاه داشتن
- شناخته شده
- لایه
- رهبری
- ترک کردن
- پسندیدن
- احتمالا
- زنده
- طولانی
- مدت زمان طولانی
- نگاه کنيد
- خاموش
- تلفات
- ساخته
- اصلی
- عمده
- ساخت
- بسیاری
- استاد
- حداکثر عرض
- به معنی
- معیارهای
- مکانیزم
- میلیون ها نفر
- اشتباهات
- موبایل
- برنامه موبایل
- بیش
- اکثر
- حرکت
- چندگانه
- چندرسانه ای
- نام
- نیازهای
- شبکه
- NOMAD
- به طور معمول
- of
- on
- ONE
- باز کن
- دیگر
- پارامترهای
- بخش
- حزب
- مردم
- فیشینگ
- سایت های فیشینگ
- سکو
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- نقطه مشاهده
- استخر
- محبوبیت
- بالقوه
- تمرین
- شیوه های
- مناسب
- پروتکل
- امنیت پروتکل
- پروتکل
- ارائه
- انتشار
- Qubit
- کویل هاش
- افزایش
- اماده
- شناسایی شده
- گزارش
- نشان دهنده
- نیاز
- نتیجه
- حقوق
- خطر
- عامل خطر
- رونین
- اتاق
- امن
- ایمنی
- ذخیره
- دوم
- امن
- تیم امنیت لاتاری
- خدمات
- باید
- امضاء
- تنها
- سایت
- هوشمند
- قرارداد هوشمند
- قراردادهای هوشمند
- So
- برخی از
- منبع
- کد منبع
- صحنه
- گام
- هنوز
- موفقیت
- چنین
- سطح
- سیستم
- گرفتن
- طول می کشد
- صحبت
- کار
- تیم
- که
- La
- شان
- آنها
- خودشان
- اینها
- چیز
- اشیاء
- سوم
- از طریق
- زمان
- به
- رمز
- نشانه
- موضوع
- معامله
- معاملات
- انتقال
- شفافیت
- اعتماد
- مورد اعتماد
- به روز رسانی
- استفاده کنید
- کاربر
- کاربران
- اعتبار سنجی
- ارزشمند
- مختلف
- قربانی
- چشم انداز
- قابل رویت
- آسیب پذیری ها
- آسیب پذیری
- آسیب پذیر
- کیف پول
- کیف پول
- وب
- Web3
- اکوسیستم Web3
- سایت اینترنتی
- خوب
- معروف
- چی
- چه شده است
- که
- در حین
- اراده
- با
- کرم چاله
- سال
- شما
- شما
- زفیرنت