2부: 블록체인 브리징: 안전한 블록체인 브리지 만들기

읽기 시간: 5 분

교량의 어느 부분에 보안이 필요한지, 어떻게 구현해야 하는지 알아보세요.

2022는 다리 해킹의 해, 5가지 주요 해킹: Qubit, Wormhole, Ronin, Harmony 및 Nomad. 각 프로토콜은 수백만 달러의 막대한 손실에 직면했습니다. 브리지는 체인 간 트랜잭션을 용이하게 하지만 안전하게 보관할 수 없다면 무슨 소용이 있습니까?

이 블로그에서는 해당 블로그의 다양한 측면과 브리지에 대한 주요 해킹을 방지하고 보다 우수하고 안전한 Web3 생태계를 만들기 위해 블로그를 구축하거나 감사하는 동안 알아야 할 사항을 제공합니다.

보안 관점에서 다리 해부

다리에는 다양한 측면이 있습니다. 일반적으로 브리지는 웹 앱, RPC, 스마트 계약, 토큰, 유효성 검사기, 다중 서명 및 커뮤니티로 구성됩니다. 우리는 이러한 각 측면과 이들 중 일부에서 찾아야 할 보안 관련 사항을 다룰 것입니다.

웹 응용 프로그램

이 부분은 사용자가 서비스를 위한 플랫폼과 상호 작용하는 부분입니다. 이것은 웹사이트 또는 모바일 앱일 수 있습니다. 이것은 프로토콜 작성자가 개발하거나 프로토콜을 위해 제XNUMX자가 만들 수 있으며, 이것은 나중에 RPC(나중에)와 상호 작용하여 코어 브리지와 상호 작용합니다.

Web App의 주요 위험 영역은 웹사이트 자체입니다. 사용자가 블록체인과 상호작용할 수 있는 플랫폼 역할을 하는 웹사이트는 나중에 사용자의 지갑을 고갈시킬 수 있는 일부 알 수 없는 계약이 아닌 의도된 브리지로만 트랜잭션을 전송해야 합니다. 따라서 플랫폼과 블록체인 간의 각 상호 작용이 알려진 계약에 있어야 하는지 적절한 확인이 있어야 합니다.

Web Apps의 다른 위험 요소는 최종 사용자입니다. 사용자 교육을 위해 더 많은 작업이 필요합니다. 사용자는 종종 피싱 사이트의 희생양이 되거나 기기가 감염되어 자금이 고갈됩니다. 이러한 손실 프로토콜에서 사용자를 보호하려면 사용자가 저지르는 일반적인 실수에 대해 교육하는 것이 좋습니다.

브리지 스마트 계약

스마트 계약은 우리가 극도로 주의를 기울여야 하고 취약점을 코딩하는 동안 지속적으로 찾아내야 하는 프로토콜의 일부입니다. 그것들은 프로토콜의 핵심 엔진입니다. 브릿지는 그러한 많은 스마트 계약으로 구성될 것이며 많은 기능이 상호 작용하기 위해 다양한 계약을 필요로 하여 취약성의 여지를 만들 것입니다.

스마트 계약은 모든 사람이 볼 수 있습니다. 이는 블록체인 인프라가 투명성을 갖는다는 장점입니다. 누구나 스마트 계약 코드를 통해 프로토콜이 무엇을 하고 기술적으로 어떻게 작동하는지 볼 수 있지만 이는 또한 소스 코드가 공개되어 있으며 해커가 이를 이용할 수 있음을 의미합니다. 따라서 프로토콜을 취약성 없이 유지하고 직접 안전하게 만드는 것이 매우 중요합니다.

스마트 계약을 위한 코드를 작성하는 개발팀은 보안 지향적인 조치를 취하고 모든 단계에서 이 코드 블록이 어쨌든 취약점으로 이어질 수 있는지 묻는 유능한 팀이어야 합니다. 최상의 개발 관행을 따르고 있습니까? 그리고 보안 위반의 경우에 항상 준비되어 있어야 합니다.

안전한 스마트 계약을 개발하는 것은 어려운 작업입니다. 기술을 마스터하려면 수년간의 연습이 필요합니다. 따라서 QuillAudits와 같은 잘 알려진 회사의 "스마트 계약 감사"를 받는 것이 항상 권장되고 중요합니다. 숙련된 전문가 팀과 함께 QuillAudits는 보안 관점에서 프로토콜의 모든 측면을 다루고 그 어떤 것도 운에 맡기지 않습니다. 이것은 모든 프로토콜의 성공을 지시하는 가장 중요한 매개변수 중 하나입니다. 감사를 받으면 프로토콜은 인정된 회사의 감사 보고서를 게시하여 사용자의 신뢰를 얻습니다.

토큰

이것은 프로토콜의 가장 중요한 부분입니다. 우리의 프로토콜은 이를 중심으로 진행됩니다. 한 체인에서 다른 체인으로 토큰을 전송하려고 하지만 토큰을 처리하는 것이 더 복잡합니다. 알다시피 시스템에는 특히 굽기/민팅에 대해 이야기할 때 많은 취약점이 있을 수 있습니다.

한 가지 흥미로운 점은 경우에 따라 한 체인의 토큰 풀이 손상된다는 것입니다. 다른 체인의 자산은 어떻게 될까요? 다른 체인의 자산은 백업되지 않고 설명할 수 없으므로 가치가 없을 수 있습니다.

유효성 검사기/합의

합의는 블록체인 네트워크의 기초를 나타냅니다. Ethereum 및 기타 알려진 체인은 안전하고 테스트된 것으로 알려져 있지만 테스트되지 않은 다른 체인에 대한 브리지를 만들면 문제가 발생할 수 있습니다.

문제는 손상된 토큰만이 아닙니다. 다른 연결된 체인에서 토큰이 손상될 수 있습니다. 두 번째 체인은 안전한 브리지를 만들기 위해 신뢰할 수 있어야 합니다. 또한 공격 표면을 높이고 해커가 취약점을 찾을 수 있는 여지를 제공합니다.

멀티시그

2022년 교량에 대한 가장 유해한 공격 중 일부는 주로 이 부분 때문이었습니다. 그래서 이것은 브리지 보안에 대한 뜨거운 주제입니다. 브리지는 트랜잭션이 실행되기 전에 여러 개인이 서명해야 하는 지갑인 하나 이상의 다중 서명에 의해 제어될 수 있습니다.

다중 서명은 단일 서명자에 대한 권한을 제한하지 않고 다른 서명자에게 투표와 같은 권리를 부여함으로써 추가 보안 계층을 추가합니다. 이러한 다중 서명을 통해 브리지 계약을 업그레이드하거나 일시 중지할 수도 있습니다.

그러나 이것들은 완벽하지 않습니다. 여기에는 많은 보안 관련 측면이 있습니다. 그 중 하나는 계약 익스플로잇이며 다중 서명은 스마트 계약으로 구현되므로 잠재적으로 익스플로잇에 취약합니다. 많은 다중서명 계약이 오랫동안 테스트되어 좋은 성과를 거두고 있지만 계약은 여전히 ​​추가적인 공격 표면입니다.

인적 오류는 프로토콜 보안과 관련하여 주요 요인 중 하나이며 서명자도 사람 또는 계정입니다. 따라서 그들은 손상될 수 있으며 프로토콜의 손상을 초래할 수 있습니다. 다중서명 지갑의 서명자인 모든 개인은 물론 적이 아니라고 신뢰되어야 하지만 그들의 안전이 중요하기 때문에 보안 관행을 준수하도록 신뢰되어야 합니다. 프로토콜의 안전을 위해.

결론

브리지는 복잡한 메커니즘과 구현을 따릅니다. 이러한 복잡성으로 인해 취약점에 대한 많은 문이 열릴 수 있으며 해커가 프로토콜을 깨뜨릴 수 있습니다. 그것으로부터 프로토콜을 보호하기 위해 많은 조치를 취할 수 있습니다. 위에서 논의된 일부만 있지만 감사 서비스를 능가하는 것은 없습니다.

감사 서비스는 보안 관점에서 프로토콜에 대한 최상의 보기 및 분석을 제공합니다. 이렇게 하면 프로토콜이 사용자의 인기와 신뢰를 높이고 공격으로부터 자신을 보호하는 데 도움이 될 수 있습니다. 따라서 손실을 피하기 위해 라이브로 전환하기 전에 항상 감사를 받는 것이 좋습니다. 퀼 오랫동안 게임에 참여했고 그 자체로 정말 좋은 이름을 얻었습니다. 웹 사이트를 확인하고 더 많은 정보를 제공하는 블로그를 살펴보십시오.

18 조회수

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://blog.quillhash.com/2023/04/07/part-2-bridging-the-blockchain-creating-a-secure-blockchain-bridge/