Bagian 2: Menjembatani Blockchain: Membuat Jembatan Blockchain yang Aman

Bagian 2: Menjembatani Blockchain: Membuat Jembatan Blockchain yang Aman

Stempel Waktu: 7 April 2023 7:12

Waktu Baca: 5 menit

Jelajahi bagian mana dari jembatan yang membutuhkan keamanan dan bagaimana menerapkannya.

2022 adalah tahun peretasan jembatan, dengan 5 peretasan utama: Qubit, Wormhole, Ronin, Harmony, dan Nomad. Setiap protokol menghadapi kerugian besar dalam jutaan. Jembatan memudahkan transaksi antar-rantai, tapi apa gunanya jika kita tidak bisa menjaganya tetap aman?

Di blog ini, kami membawakan Anda berbagai aspek dari blog itu dan apa yang harus diperhatikan saat membangun atau mengauditnya untuk menghindari peretasan besar pada jembatan dan menciptakan ekosistem Web3 yang lebih baik dan lebih aman.

Membedah jembatan dari sudut pandang keamanan

Ada berbagai aspek jembatan. Biasanya, jembatan terdiri dari Aplikasi Web, RPC, Kontrak Cerdas, Token, Validator, Multisig, dan komunitas. Kami akan berurusan dengan masing-masing aspek ini dan hal-hal terkait keamanan apa yang harus dicari di beberapa aspek ini.

Bagian 2: Menjembatani Blockchain: Menciptakan Jembatan Blockchain yang Aman Kecerdasan Data PlatoBlockchain. Pencarian Vertikal. Ai.
Bagian 2: Menjembatani Blockchain: Membuat Jembatan Blockchain yang Aman

App web

Bagian ini adalah tempat pengguna berinteraksi dengan platform untuk layanan. Ini bisa berupa situs web atau aplikasi seluler. Ini dikembangkan oleh pembuat protokol atau dapat dibuat oleh pihak ketiga untuk protokol, ini pada tahap selanjutnya berinteraksi dengan RPC (nanti) untuk berinteraksi dengan jembatan inti.

Area risiko utama di Aplikasi Web adalah situs web itu sendiri. Situs web, yang bertindak sebagai platform bagi pengguna untuk berinteraksi dengan blockchain, harus mentransmisikan transaksi hanya dan hanya ke jembatan yang dimaksud dan bukan kontrak yang tidak diketahui, yang nantinya dapat menguras dompet pengguna. Jadi harus ada pemeriksaan yang tepat bahwa setiap interaksi antara platform dan blockchain harus berdasarkan kontrak yang diketahui.

Faktor risiko lain dalam Aplikasi Web adalah Pengguna Akhir. Perlu ada lebih banyak yang harus dilakukan untuk mendidik pengguna. Pengguna sering menjadi korban situs phishing atau perangkat mereka terinfeksi, yang mengakibatkan pengurasan dana. Untuk menyelamatkan pengguna Anda dari protokol kerugian semacam itu, pertimbangkan untuk mengedukasi mereka tentang kesalahan umum yang dilakukan pengguna.

Menjembatani Kontrak Cerdas

Kontrak pintar adalah bagian dari protokol di mana kita harus sangat berhati-hati dan terus-menerus mencari kerentanan saat mengodekannya. Mereka adalah mesin inti dari protokol. Jembatan akan terdiri dari banyak kontrak pintar seperti itu, dan banyak fungsi kemungkinan akan membutuhkan berbagai kontrak untuk berinteraksi, menciptakan ruang untuk kerentanan.

Kontrak pintar juga dapat dilihat oleh semua orang; ini adalah keuntungan bahwa infrastruktur blockchain memiliki transparansi. Siapa pun dapat melihat apa yang dilakukan protokol dan bagaimana fungsinya secara teknis melalui kode kontrak pintar, tetapi ini juga berarti bahwa kode sumber Anda terbuka, dan peretas dapat memanfaatkannya. Oleh karena itu, sangat penting untuk meninggalkan protokol Anda tanpa kerentanan dan membuatnya aman secara langsung.

Tim pengembangan yang menulis kode untuk kontrak pintar harus menjadi tim kompeten yang mengambil langkah berorientasi keamanan dan, di setiap langkah, menanyakan apakah blok kode ini dapat menyebabkan kerentanan. Apakah praktik pengembangan terbaik diikuti? dan harus selalu siap jika terjadi pelanggaran keamanan.

Mengembangkan kontrak pintar yang aman adalah tugas yang menantang. Butuh latihan bertahun-tahun untuk menguasai kerajinan itu. Oleh karena itu, selalu disarankan dan penting untuk melakukan "audit kontrak Cerdas" dari perusahaan terkenal seperti QuillAudits. Dengan tim ahli berpengalaman, QuillAudits mencakup setiap aspek protokol dari sudut pandang keamanan dan tidak menyia-nyiakan kesempatan. Ini adalah salah satu parameter terpenting yang menentukan keberhasilan protokol apa pun. Dengan diaudit, protokol mendapatkan kepercayaan pengguna dengan menerbitkan laporan audit perusahaan yang diakui.

Token

Ini adalah bagian paling berharga dari protokol. Protokol kami berkisar pada ini; kami mencoba mentransfer token dari satu rantai ke rantai lainnya, tetapi lebih rumit untuk menangani token. Soalnya, sistem bisa memiliki banyak kerentanan, terutama jika kita berbicara tentang burning/minting.

Satu hal yang menarik adalah, dalam beberapa kasus, kumpulan token Anda di satu rantai disusupi. Tebak apa yang akan terjadi pada aset rantai lainnya? Aset di rantai lain tidak didukung dan tidak dapat dipertanggungjawabkan, yang mungkin membuatnya tidak berharga.

Validator/Konsensus

Konsensus mewakili dasar dari jaringan blockchain. Meskipun Ethereum dan rantai terkenal lainnya diketahui aman dan teruji, mungkin ada masalah jika Anda membuat jembatan untuk rantai lain yang belum teruji.

Masalahnya bukan hanya token yang dikompromikan. Ini dapat menyebabkan kompromi token Anda di rantai penghubung lainnya. Rantai kedua harus dapat dipercaya untuk membuat jembatan yang aman. Itu juga meningkatkan permukaan serangan dan memberi ruang bagi peretas untuk mencari kerentanan.

banyak tanda

Beberapa serangan paling berbahaya pada jembatan pada tahun 2022 terutama disebabkan oleh bagian ini. Jadi ini adalah topik hangat untuk keamanan jembatan. Jembatan kemungkinan dikendalikan oleh satu atau lebih multisig, yang merupakan dompet yang membutuhkan banyak orang untuk menandatangani sebelum transaksi dieksekusi.

Multisig menambahkan lapisan keamanan ekstra dengan tidak membatasi otoritas hanya untuk satu penandatangan, tetapi dengan memberikan hak seperti pemungutan suara kepada penandatangan yang berbeda. Multisig ini juga dapat mengaktifkan kontrak jembatan untuk ditingkatkan atau dihentikan sementara.

Tapi ini tidak mudah. Ada banyak aspek yang berhubungan dengan keamanan untuk itu. Salah satunya adalah exploit kontrak, multisig diimplementasikan sebagai smart contract sehingga berpotensi rentan terhadap exploit. Banyak kontrak multisig telah diuji untuk waktu yang lama dan berjalan dengan baik, tetapi kontrak tersebut masih merupakan permukaan serangan tambahan.

Kesalahan manusia adalah salah satu faktor utama dalam hal keamanan protokol, dan penandatangannya adalah orang atau akun juga; dengan demikian, mereka dapat dikompromikan, mengakibatkan kompromi protokol, Setiap individu yang merupakan penanda tangan pada dompet multisig harus dipercaya bukan untuk menjadi musuh tentu saja, tetapi juga harus dipercaya untuk mematuhi praktik keamanan karena keselamatan mereka sangat penting. untuk keamanan protokol.

Kesimpulan

Jembatan mengikuti mekanisme dan implementasi yang kompleks. Kompleksitas ini dapat membuka banyak pintu bagi kerentanan dan memungkinkan peretas untuk merusak protokol. Untuk mengamankan protokol dari itu, banyak tindakan yang dapat diambil, hanya beberapa yang telah dibahas di atas, tetapi tidak ada yang mengalahkan layanan Audit.

Layanan audit memberikan tampilan terbaik dan analisis protokol dari sudut pandang keamanan. Melakukan hal itu dapat membantu protokol meningkatkan popularitas dan kepercayaan pengguna serta mengamankan diri dari serangan. Jadi, mendapatkan audit sebelum ditayangkan selalu disarankan untuk menghindari kerugian. QuillAudit telah bermain untuk waktu yang lama dan telah membuat nama yang sangat bagus untuk dirinya sendiri, Periksa situs webnya dan telusuri blog yang lebih informatif.

18 views

Stempel Waktu:

Lebih dari Quillhash