DApps: Sikkerhetsproblemer, hacks og forebyggende tiltak PlatoBlockchain Data Intelligence. Vertikalt søk. Ai.

DApps: Sikkerhetsproblemer, hacks og forebyggende tiltak 

Tidsstempel: 2. august 2022 kl.8: 31

Lesetid: 4 minutter

Desentralisering i alle samfunnslag er den nye koden for den kommende æra. DApps er her for å revolusjonere hvordan vi driver apper, og kombinerer datapersonvern og eierskapskvaliteter. 

La oss komme inn i dybden av bloggen.

Hva er DApps?

DApps er desentraliserte applikasjoner som bruker blokkjede for å behandle data gjennom et distribuert nettverk og utføre transaksjoner. I motsetning til sentraliserte apper, drives DApps av peer-to-peer-nettverk. 

Når utvikleren slipper kodebasen for DApp, kan flere apper bygges på toppen av den. Det er ingen enkelt autoritet, og derfor ikke et enkelt feilpunkt ettersom P2P-nettverket kjører dem. 

DApp hjelper til med å lage en rekke applikasjoner som nettapplikasjoner, spill og underholdning, apper for sosiale medier, etc.       

Betydelige kjennetegn ved DApp

Her er noen tips om hovedattributtene til DApp

  • De er åpen kildekode og er brukerkontrollert. Dette betyr at eventuelle endringer eller nye tillegg blir stemt over og implementert. 
  • Desentralisering er kjerneaspektet der alle detaljene holdes i den offentlig distribuerte hovedboken.
  • DApps bruker tokens som er hjemmehørende i plattformen for å belønne brukere for å delta eller utvinne dem.

Nyheter om bruk av DApps

I følge rapportene fra DAppRadar, øker antallet brukere som engasjerer seg i desentraliserte applikasjoner med 396 % hvert år, med nå 2.4 millioner. 

Blant hvilke gaming-DApps står for over 50 % av brukeraktiviteten i 1. kvartal 2022, og NFT-er samlet inn en enorm samling på rundt 12 milliarder dollar. 

Sikkerhetsproblemer med DApp-koding

Etter å ha kjent til den generelle ideen til DApp, la oss nå utforske noen av de vanlige tekniske feilene knyttet til dem.

Signatursjekk: Bruken av sjekkformatet "case_=> true" i @verifikator funksjonen til DApp-koding forbyr overføringstransaksjonen mens den tillater andre transaksjonstyper.

{-# STDLIB_VERSION 3 #-}
{-# CONTENT_TYPE EXPRESSION #-}
{-# SCRIPT_TYPE ACCOUNT #-}

match (tx) {
	case t:TransferTransaction => false
	case _ => true # NEVER DO THIS!
}

Men ved å bruke denne typen kode kan enhver bruker utføre transaksjoner bortsett fra overføringstransaksjoner. Ved å skrive inn den offentlige nøkkelen i "senderPublicKey"-feltet uten å legge til signaturer, gir den tilgang til alle brukere til å kjøre en transaksjon. 

{-# STDLIB_VERSION 3 #-}
{-# CONTENT_TYPE EXPRESSION #-}
{-# SCRIPT_TYPE ACCOUNT #-}

match (tx) {
	case t:TransferTransaction => false
	case _ => sigVerify(tx.bodyBytes, tx.proofs[0], tx.senderPublikey)
}

Derfor er det avgjørende å sikre tilstedeværelsen av en signatursjekk i DApp-kodingen for å være blottet for den nevnte sårbarheten.

Tast inn nøkler: Operasjonene i DApp involverer nøkkelverdilagring. Den vanlige feilen er at en utvikler vil skrive til en nøkkel og lese den fra en annen. Så du bør være forsiktig når du skriver nøkler. 

let NONE = "NONE"

func keyVoteByAddress(votingId: Int, address: String) = "voting_" + votingId + "_vote_" + address


@Callable(i)
func vote(id: Int) => {
	let voteKey = keyVoteByAddress(id, i.caller.toBase58String())
	let vote = getString(this, voteKey).valueOrElse(NONE)

	# alternative option

	let vote = match getString(this, voteKey){
    	case s: String => s
    	case _ => NONE
	}

	if (vote == NONE) then ...
	else ...
}

En annen feil er at i stedet for å gi standardverdier, er det ikke mulig å forsøke å lese verdier fra variablene som value() eller extract().

Kontrollerte transaksjoner: DApp-operasjoner involverer flere gjensidig avhengige operasjoner som skal kjøres i rekkefølge. I slike tilfeller er det trygt å ha funksjonen "waitForTxWithNCConfirmations" for å motta bekreftelser én gang etter at den første transaksjonen er lagt til blokken.

Generiske problemer knyttet til DApps

Lavt likviditetsnivå for DApps: Lave likviditetsnivåer på desentraliserte applikasjoner gjør det vanskelig å kjøpe eller selge tokens til forventet pris, noe som forårsaker glidning. Slippage er forskjellen mellom forventet og utført pris, som kan føre til tap i midler.

Brukere kan spore likviditeten til eiendelene basert på deres handelsvolum og ta smarte beslutninger før de kjøper eller selger et token. 

Sikkerhetsbrudd eller feil:  DApps fungerer gjennom smarte kontrakter, og de med feil i kodingen er ideelle mål for hackere. Under ekstreme markedsforhold eller på grunn av kodeutnyttelse, blir devaluering eller tap av midler i DApps uunngåelig.

Revisjon av koden av tredjepartsfirmaer gjør bedre for å overvinne dette problemet. 

Phishing DApp: Hvis det er et kompromiss i kodingen av DApp, sirkuleres phishing-lenker på deres offisielle nettsteder. Ved å klikke på dem uten å vite det, tapper de alle midlene fra brukerens lommebøker. 

Dobbeltsjekk derfor nettadresser før du legger til midler fra lommeboken eller legger inn lommebokinformasjonen. 

Status for DApp-hack og svindel i 2022

Ulempen med DApps er det faktum at de er sårbare for hacks. Fra dataene publisert av DAppRadar sto DApp-svindel alene for et tap på 1.2 milliarder dollar. 

Høydepunkter fra de store hack-arrangementene inkluderer,

Ronin bridge hack: Ved å få tilgang til validatornodene, var hackeren i stand til å forfalske falske transaksjoner Axie Infinity's Ronin bronettverk som førte til et tap på 600 millioner dollar. 

Ormehullsprotokoll: Hackeren utnyttet en sikkerhetsfeil i Wormhole-protokollkoden, noe som resulterte i et tap på 325 millioner dollar. 

Her er hvordan du holder deg sikker og forebyggende metoder for å ta i bruk DApp Security

Å overvinne sikkerhetsfeil løser hoveddelen av problemet DApps. Det er noen måter å ordne det på. 

  1. Ta opp revisjonstjenester: En grundig kodeanalyse av et revisjonsfirma som QuillAudits eliminerer insektene fra bakkenivå. 
  2. Penetrasjonstesting: Penetrasjonstesting får overtaket når det gjelder å finne skjulte/nodesårbarheter, teste APIer og oppdage nye angrepsveier. 

Generelle forebyggende tiltak for DApp Security

  1. Oppretthold hemmeligholdet til den private frøfrasen for å få tilgang til midlene fra lommeboken
  2. Bekrefte ektheten og legitimiteten til DApp-nettstedet
  3. Vær forsiktig med lenker eller tekster med grammatiske feil.

114 Visninger

Tidstempel:

Mer fra Quillhash