Olvasási idő: 5 jegyzőkönyv
Fedezze fel, hogy a híd mely részének van szüksége biztonságra, és hogyan lehet ezt megvalósítani.
Az 2022 volt a hídtörések éve, 5 nagyobb hackel: Qubit, Wormhole, Ronin, Harmony és Nomad. Mindegyik protokoll súlyos, milliós veszteségeket okozott. A hidak megkönnyítik a láncok közötti tranzakciót, de mi a haszna, ha nem tudjuk őket biztonságban tartani?
Ebben a blogban bemutatjuk a blog különböző aspektusait, és azt, hogy mire kell ügyelnie annak építése vagy auditálása során, hogy elkerülje az ilyen nagy feltöréseket a hidakon, és egy jobb és biztonságosabb Web3 ökoszisztémát hozzon létre.
A híd boncolgatása biztonsági szempontból
A hídnak különböző aspektusai vannak. Általában egy híd a webalkalmazásból, az RPC-ből, az intelligens szerződésekből, a tokenekből, az érvényesítőkből, a multisigekből és a közösségből áll. Foglalkozni fogunk ezekkel a szempontokkal, és azzal, hogy ezek közül milyen biztonsággal kapcsolatos dolgokra kell figyelni.
Webes alkalmazás
Ez az a rész, ahol a felhasználók interakcióba lépnek a szolgáltatások platformjával. Ez lehet egy webhely vagy egy mobilalkalmazás. Ezt a protokoll létrehozója fejlesztette ki, vagy egy harmadik fél is elkészítheti a protokollhoz, ez egy későbbi szakaszban kölcsönhatásba lép az RPC-vel (később), hogy kölcsönhatásba lépjen a maghíddal.
A Web App fő kockázati területe maga a webhely. A Weboldalnak, amely platformként szolgál a felhasználók számára a blokklánccal való interakcióhoz, csak a tranzakciókat kell továbbítania, és csak a tervezett hídnak kell lennie, nem pedig néhány ismeretlen szerződést, amelyek később kimeríthetik a felhasználó pénztárcáját. Tehát megfelelő ellenőrzést kell végezni, hogy a platform és a blokklánc közötti minden interakció ismert szerződéseken alapuljon.
A webalkalmazások másik kockázati tényezője a végfelhasználó. Még többet kell tenni a felhasználó oktatásáért. A felhasználók gyakran válnak adathalász oldalak áldozataivá, vagy megfertőzik eszközeiket, ami a források kimerülését eredményezi. Ha meg szeretné menteni a felhasználót az ilyen elvesztési protokolloktól, fontolja meg, hogy felvilágosítsa őket a felhasználók által elkövetett gyakori hibákról.
Intelligens szerződések áthidalása
Az intelligens szerződések a protokoll részét képezik, ahol rendkívül óvatosnak kell lennünk, és folyamatosan keresnünk kell a sebezhetőséget, miközben kódoljuk őket. Ők a protokoll központi motorja. A híd sok ilyen intelligens szerződésből áll majd, és sok funkcióhoz valószínűleg különböző szerződésekre lesz szükség, hogy együttműködjenek, teret teremtve a sebezhetőségeknek.
Az intelligens szerződések is mindenki számára láthatóak; ez egy előny, hogy a blokklánc infrastruktúra átlátható. Az intelligens szerződési kódon keresztül bárki megtekintheti, mit csinál a protokoll és hogyan működik technikailag, de ez azt is jelenti, hogy a forráskód nyitva van, és a hackerek kihasználhatják ezt. Ezért rendkívül fontos, hogy a protokollt sebezhetőség nélkül hagyja, és első kézből tegye biztonságossá.
Az intelligens szerződés kódját megíró fejlesztőcsapatnak olyan hozzáértő csapatnak kell lennie, amely biztonságorientált lépést tesz, és minden lépésnél megkérdezi, hogy ez a kódblokk egyébként sebezhetőséghez vezethet-e. Követik-e a legjobb fejlesztési gyakorlatokat? és mindig készen kell állnia a biztonság megsértése esetén.
A biztonságos intelligens szerződések kidolgozása kihívást jelentő feladat. Évek gyakorlása szükséges a mesterség elsajátításához. Ezért mindig tanácsos és fontos elmenni egy „intelligens szerződés-audit”-ra olyan jól ismert cégeknél, mint a QuillAudits. A tapasztalt szakértőkből álló csapattal a QuillAudits a protokoll minden aspektusát lefedi biztonsági szempontból, és semmit sem bíz a véletlenre. Ez az egyik legfontosabb paraméter, amely bármely protokoll sikerét meghatározza. Az auditálás révén a protokoll elnyeri a felhasználók bizalmát egy elismert cég könyvvizsgálati jelentésének közzétételével.
tokenek
Ez a protokoll legértékesebb része. Protokollunk e körül forog; tokeneket próbálunk átvinni egyik láncból a másikba, de bonyolultabb a tokenek kezelése. Látod, a rendszernek sok sebezhetősége lehet, főleg ha égetésről/verésről beszélünk.
Egy érdekes dolog az, hogy bizonyos esetekben az egyik láncon lévő tokenkészlet veszélybe kerül. Találd ki, mi lesz a másik lánc eszközével? A másik láncon lévő eszköz nem fedezett, és nem számolható el, ami értéktelenné teheti azokat.
Validátorok/konszenzus
A konszenzus a blokklánc hálózat alapja. Noha az Ethereum és más ismert láncok biztonságosak és teszteltek, probléma adódhat, ha hidat hoz létre egy másik, nem annyira tesztelt lánc számára.
A probléma nem csak a veszélyeztetett tokenekben van. Ez a másik áthidalt láncon lévő tokenek kompromittálásához vezethet. A második láncnak megbízhatónak kell lennie egy biztonságos híd létrehozásához. Ezenkívül megemeli a támadási felületet, és teret ad a hackereknek a sebezhetőségek keresésében.
Multisigs
2022-ben a hidak elleni legkárosabb támadások közül néhány főként ez a rész miatt történt. Tehát ez egy forró téma a hídbiztonság szempontjából. A hidat valószínűleg egy vagy több multisig vezérli, amelyek olyan pénztárcák, amelyekhez több személy aláírása szükséges, mielőtt a tranzakció végrehajtásra kerül.
A multisigek további biztonsági réteget adnak azáltal, hogy nem korlátozzák a jogosultságot egyetlen aláíróra, hanem szavazati jogokat adnak különböző aláíróknak. Ezek a multisigek lehetővé teszik a hídszerződések frissítését vagy szüneteltetését is.
De ezek nem bolondbiztosak. Ennek számos biztonsági vonatkozása van. Ezek közül az egyik a szerződéses exploit, a multisig-eket intelligens szerződésként valósítják meg, és így potenciálisan sebezhetőek az exploitokkal szemben. Sok multisig-szerződést már régóta teszteltek, és jól működnek, de a szerződések továbbra is további támadási felületet jelentenek.
Az emberi hiba az egyik fő tényező a protokollbiztonság terén, és az aláírók is emberek vagy fiókok; így kompromittálódhatnak, ami a protokoll kompromittálódását eredményezi. Bármely egyénben, aki aláíró egy multisig pénztárcán, meg kell bízni abban, hogy nem ellenfél, hanem abban is meg kell bízni, hogy betartja a biztonsági gyakorlatokat, mivel a biztonságuk kulcsfontosságú. a protokoll biztonsága érdekében.
Következtetés
A hidak összetett mechanizmust és megvalósítást követnek. Ez az összetettség számos ajtót nyithat meg a sebezhetőségek előtt, és lehetővé teszi a hackerek számára, hogy feltörjék a protokollt. A protokoll ettől való biztosítására számos intézkedést lehet tenni, csak néhány ilyenről volt szó fent, de semmi sem éri el az auditálási szolgáltatásokat.
Az auditálási szolgáltatások biztosítják a protokoll legjobb megtekintését és elemzését biztonsági szempontból. Ezzel a protokollok növelhetik a felhasználók népszerűségét és bizalmát, és megvédhetik magukat a támadásoktól. Ezért a veszteségek elkerülése érdekében mindig ajánlatos ellenőrzést végezni az éles indítás előtt. QuillAudits már régóta benne van a játékban, és nagyon jó hírnevet szerzett magának. Nézze meg a webhelyet, és lapozzon a tartalmasabb blogokon.
18 Nézetek
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://blog.quillhash.com/2023/04/07/part-2-bridging-the-blockchain-creating-a-secure-blockchain-bridge/
- :is
- 2022
- a
- Rólunk
- felett
- Fiókok
- cselekmények
- További
- tapad
- Előny
- mindig
- elemzés
- és a
- Másik
- bárki
- app
- alkalmazások
- VANNAK
- TERÜLET
- körül
- AS
- megjelenés
- szempontok
- vagyontárgy
- At
- támadás
- Támadások
- könyvvizsgálat
- ellenőrzött
- könyvvizsgálat
- hatóság
- BE
- mert
- előtt
- hogy
- BEST
- Jobb
- között
- Blokk
- blockchain
- Blockchain hálózat
- Blog
- blogok
- megsértése
- szünet
- HÍD
- áthidalt
- hidak
- áthidaló
- hoz
- Épület
- by
- TUD
- nem tud
- eset
- esetek
- óvatos
- lánc
- láncok
- kihívást
- esély
- ellenőrizze
- kód
- Kódolás
- Közös
- közösség
- illetékes
- bonyolult
- bonyolultság
- Veszélyeztetett
- Fontolja
- állandóan
- szerződés
- szerződések
- vezérelt
- Mag
- Tanfolyam
- Covers
- kézműves
- teremt
- létrehozása
- Teremtő
- kritikus
- foglalkozó
- fejlett
- Fejlesztés
- Eszközök
- különböző
- tárgyalt
- Ennek
- ajtók
- minden
- ökoszisztéma
- oktat
- nevelése
- lehetővé
- Motor
- hiba
- különösen
- Ethereum
- Minden
- mindenki
- tapasztalt
- szakértők
- hasznosítja
- külön-
- rendkívüli módon
- szembe
- tényezők
- Esik
- cégek
- következik
- követ
- A
- Alapítvány
- ból ből
- funkciós
- funkciók
- alap
- Nyereség
- játék
- szerzés
- ad
- Giving
- Go
- megy
- jó
- hackerek
- hack
- fogantyú
- történik
- káros
- Összhang
- Legyen
- nehéz
- segít
- FORRÓ
- Hogyan
- How To
- HTTPS
- végre
- végrehajtás
- végre
- fontos
- in
- Növelje
- egyéni
- egyének
- tájékoztató
- Infrastruktúra
- kölcsönhatásba
- kölcsönhatás
- kölcsönhatásba lép
- érdekes
- kérdés
- IT
- maga
- Tart
- ismert
- réteg
- vezet
- Szabadság
- mint
- Valószínű
- él
- Hosszú
- hosszú idő
- néz
- le
- veszteség
- készült
- Fő
- fontos
- csinál
- sok
- mester
- max-width
- eszközök
- intézkedések
- mechanizmus
- Több millió
- hibákat
- Mobil
- Mobil alkalmazás
- több
- a legtöbb
- mozog
- többszörös
- multisig
- név
- igények
- hálózat
- NOMAD
- rendszerint
- of
- on
- ONE
- nyitva
- Más
- paraméterek
- rész
- párt
- Emberek (People)
- Adathalászat
- Adathalász webhelyek
- emelvény
- Plató
- Platón adatintelligencia
- PlatoData
- pont
- Nézőpont
- medence
- népszerűség
- potenciálisan
- gyakorlat
- gyakorlat
- megfelelő
- protokoll
- protokoll biztonság
- protokollok
- ad
- Kiadás
- qubit
- Quillhash
- emelés
- kész
- elismert
- jelentést
- jelentése
- szükség
- kapott
- jogok
- Kockázat
- Rizikó faktor
- RONIN
- Szoba
- biztonságos
- Biztonság
- Megtakarítás
- Második
- biztonság
- biztonság
- Szolgáltatások
- kellene
- <p></p>
- egyetlen
- Webhely (ek)
- okos
- okos szerződés
- Intelligens szerződések
- So
- néhány
- forrás
- forráskód
- Színpad
- Lépés
- Még mindig
- siker
- ilyen
- felületi
- rendszer
- Vesz
- tart
- Beszél
- Feladat
- csapat
- hogy
- A
- azok
- Őket
- maguk
- Ezek
- dolog
- dolgok
- Harmadik
- Keresztül
- idő
- nak nek
- jelképes
- tokenek
- téma
- tranzakció
- Tranzakciók
- átruházás
- Átláthatóság
- Bízzon
- Megbízható
- frissített
- használ
- használó
- Felhasználók
- érvényesítő
- Értékes
- különféle
- Áldozat
- Megnézem
- látható
- sérülékenységek
- sebezhetőség
- Sebezhető
- pénztárca
- Pénztárcák
- háló
- Web3
- Web3 ökoszisztéma
- weboldal
- JÓL
- jól ismert
- Mit
- Mi
- ami
- míg
- lesz
- val vel
- szú járat
- év
- te
- A te
- zephyrnet