2. rész: Blockchain áthidalása: Biztonságos blokklánc-híd létrehozása

2. rész: Blockchain áthidalása: Biztonságos blokklánc-híd létrehozása

Időbélyeg: 7. április 2023. 7:12

Olvasási idő: 5 jegyzőkönyv

Fedezze fel, hogy a híd mely részének van szüksége biztonságra, és hogyan lehet ezt megvalósítani.

Az 2022 volt a hídtörések éve, 5 nagyobb hackel: Qubit, Wormhole, Ronin, Harmony és Nomad. Mindegyik protokoll súlyos, milliós veszteségeket okozott. A hidak megkönnyítik a láncok közötti tranzakciót, de mi a haszna, ha nem tudjuk őket biztonságban tartani?

Ebben a blogban bemutatjuk a blog különböző aspektusait, és azt, hogy mire kell ügyelnie annak építése vagy auditálása során, hogy elkerülje az ilyen nagy feltöréseket a hidakon, és egy jobb és biztonságosabb Web3 ökoszisztémát hozzon létre.

A híd boncolgatása biztonsági szempontból

A hídnak különböző aspektusai vannak. Általában egy híd a webalkalmazásból, az RPC-ből, az intelligens szerződésekből, a tokenekből, az érvényesítőkből, a multisigekből és a közösségből áll. Foglalkozni fogunk ezekkel a szempontokkal, és azzal, hogy ezek közül milyen biztonsággal kapcsolatos dolgokra kell figyelni.

2. rész: Blockchain áthidalása: Biztonságos blokklánc-híd létrehozása PlatoBlockchain adatintelligencia. Függőleges keresés. Ai.
2. rész: Blockchain áthidalása: Biztonságos blokklánc-híd létrehozása

Webes alkalmazás

Ez az a rész, ahol a felhasználók interakcióba lépnek a szolgáltatások platformjával. Ez lehet egy webhely vagy egy mobilalkalmazás. Ezt a protokoll létrehozója fejlesztette ki, vagy egy harmadik fél is elkészítheti a protokollhoz, ez egy későbbi szakaszban kölcsönhatásba lép az RPC-vel (később), hogy kölcsönhatásba lépjen a maghíddal.

A Web App fő kockázati területe maga a webhely. A Weboldalnak, amely platformként szolgál a felhasználók számára a blokklánccal való interakcióhoz, csak a tranzakciókat kell továbbítania, és csak a tervezett hídnak kell lennie, nem pedig néhány ismeretlen szerződést, amelyek később kimeríthetik a felhasználó pénztárcáját. Tehát megfelelő ellenőrzést kell végezni, hogy a platform és a blokklánc közötti minden interakció ismert szerződéseken alapuljon.

A webalkalmazások másik kockázati tényezője a végfelhasználó. Még többet kell tenni a felhasználó oktatásáért. A felhasználók gyakran válnak adathalász oldalak áldozataivá, vagy megfertőzik eszközeiket, ami a források kimerülését eredményezi. Ha meg szeretné menteni a felhasználót az ilyen elvesztési protokolloktól, fontolja meg, hogy felvilágosítsa őket a felhasználók által elkövetett gyakori hibákról.

Intelligens szerződések áthidalása

Az intelligens szerződések a protokoll részét képezik, ahol rendkívül óvatosnak kell lennünk, és folyamatosan keresnünk kell a sebezhetőséget, miközben kódoljuk őket. Ők a protokoll központi motorja. A híd sok ilyen intelligens szerződésből áll majd, és sok funkcióhoz valószínűleg különböző szerződésekre lesz szükség, hogy együttműködjenek, teret teremtve a sebezhetőségeknek.

Az intelligens szerződések is mindenki számára láthatóak; ez egy előny, hogy a blokklánc infrastruktúra átlátható. Az intelligens szerződési kódon keresztül bárki megtekintheti, mit csinál a protokoll és hogyan működik technikailag, de ez azt is jelenti, hogy a forráskód nyitva van, és a hackerek kihasználhatják ezt. Ezért rendkívül fontos, hogy a protokollt sebezhetőség nélkül hagyja, és első kézből tegye biztonságossá.

Az intelligens szerződés kódját megíró fejlesztőcsapatnak olyan hozzáértő csapatnak kell lennie, amely biztonságorientált lépést tesz, és minden lépésnél megkérdezi, hogy ez a kódblokk egyébként sebezhetőséghez vezethet-e. Követik-e a legjobb fejlesztési gyakorlatokat? és mindig készen kell állnia a biztonság megsértése esetén.

A biztonságos intelligens szerződések kidolgozása kihívást jelentő feladat. Évek gyakorlása szükséges a mesterség elsajátításához. Ezért mindig tanácsos és fontos elmenni egy „intelligens szerződés-audit”-ra olyan jól ismert cégeknél, mint a QuillAudits. A tapasztalt szakértőkből álló csapattal a QuillAudits a protokoll minden aspektusát lefedi biztonsági szempontból, és semmit sem bíz a véletlenre. Ez az egyik legfontosabb paraméter, amely bármely protokoll sikerét meghatározza. Az auditálás révén a protokoll elnyeri a felhasználók bizalmát egy elismert cég könyvvizsgálati jelentésének közzétételével.

tokenek

Ez a protokoll legértékesebb része. Protokollunk e körül forog; tokeneket próbálunk átvinni egyik láncból a másikba, de bonyolultabb a tokenek kezelése. Látod, a rendszernek sok sebezhetősége lehet, főleg ha égetésről/verésről beszélünk.

Egy érdekes dolog az, hogy bizonyos esetekben az egyik láncon lévő tokenkészlet veszélybe kerül. Találd ki, mi lesz a másik lánc eszközével? A másik láncon lévő eszköz nem fedezett, és nem számolható el, ami értéktelenné teheti azokat.

Validátorok/konszenzus

A konszenzus a blokklánc hálózat alapja. Noha az Ethereum és más ismert láncok biztonságosak és teszteltek, probléma adódhat, ha hidat hoz létre egy másik, nem annyira tesztelt lánc számára.

A probléma nem csak a veszélyeztetett tokenekben van. Ez a másik áthidalt láncon lévő tokenek kompromittálásához vezethet. A második láncnak megbízhatónak kell lennie egy biztonságos híd létrehozásához. Ezenkívül megemeli a támadási felületet, és teret ad a hackereknek a sebezhetőségek keresésében.

Multisigs

2022-ben a hidak elleni legkárosabb támadások közül néhány főként ez a rész miatt történt. Tehát ez egy forró téma a hídbiztonság szempontjából. A hidat valószínűleg egy vagy több multisig vezérli, amelyek olyan pénztárcák, amelyekhez több személy aláírása szükséges, mielőtt a tranzakció végrehajtásra kerül.

A multisigek további biztonsági réteget adnak azáltal, hogy nem korlátozzák a jogosultságot egyetlen aláíróra, hanem szavazati jogokat adnak különböző aláíróknak. Ezek a multisigek lehetővé teszik a hídszerződések frissítését vagy szüneteltetését is.

De ezek nem bolondbiztosak. Ennek számos biztonsági vonatkozása van. Ezek közül az egyik a szerződéses exploit, a multisig-eket intelligens szerződésként valósítják meg, és így potenciálisan sebezhetőek az exploitokkal szemben. Sok multisig-szerződést már régóta teszteltek, és jól működnek, de a szerződések továbbra is további támadási felületet jelentenek.

Az emberi hiba az egyik fő tényező a protokollbiztonság terén, és az aláírók is emberek vagy fiókok; így kompromittálódhatnak, ami a protokoll kompromittálódását eredményezi. Bármely egyénben, aki aláíró egy multisig pénztárcán, meg kell bízni abban, hogy nem ellenfél, hanem abban is meg kell bízni, hogy betartja a biztonsági gyakorlatokat, mivel a biztonságuk kulcsfontosságú. a protokoll biztonsága érdekében.

Következtetés

A hidak összetett mechanizmust és megvalósítást követnek. Ez az összetettség számos ajtót nyithat meg a sebezhetőségek előtt, és lehetővé teszi a hackerek számára, hogy feltörjék a protokollt. A protokoll ettől való biztosítására számos intézkedést lehet tenni, csak néhány ilyenről volt szó fent, de semmi sem éri el az auditálási szolgáltatásokat.

Az auditálási szolgáltatások biztosítják a protokoll legjobb megtekintését és elemzését biztonsági szempontból. Ezzel a protokollok növelhetik a felhasználók népszerűségét és bizalmát, és megvédhetik magukat a támadásoktól. Ezért a veszteségek elkerülése érdekében mindig ajánlatos ellenőrzést végezni az éles indítás előtt. QuillAudits már régóta benne van a játékban, és nagyon jó hírnevet szerzett magának. Nézze meg a webhelyet, és lapozzon a tartalmasabb blogokon.

18 Nézetek

Időbélyeg:

Még több Quillhash