Lesetid: 5 minutter
Utforsk hvilken del av broen som trenger sikkerhet og hvordan du implementerer det.
2022 var den år med bridge hacks, med 5 store hacks: Qubit, Wormhole, Ronin, Harmony og Nomad. Hver protokoll sto overfor store tap i millioner. Broene letter transaksjonen mellom kjeder, men hva er nytten hvis vi ikke kan holde dem trygge?
I denne bloggen gir vi deg forskjellige aspekter ved den bloggen og hva du bør være oppmerksom på når du bygger eller reviderer en for å unngå slike store hack på broer og skape et bedre og sikrere Web3-økosystem.
Dissekere broen fra et sikkerhetssynspunkt
Det er forskjellige aspekter ved en bro. Normalt består en bro av Web App, RPC, Smart Contracts, Tokens, Validatorer, Multisigs og fellesskapet. Vi vil ta for oss hvert av disse aspektene og hvilke sikkerhetsrelaterte ting du bør se etter i noen av disse.
web App
Denne delen er der brukere samhandler med en plattform for tjenester. Dette kan være en nettside eller en mobilapp. Dette er utviklet av skaperen av protokollen eller kan lages av en tredjepart for protokollen, dette samhandler på et senere tidspunkt med RPC (senere det) for å samhandle med kjernebroen.
Hovedrisikoområdet i Web App er selve nettsiden. Nettstedet, som fungerer som en plattform for brukere til å samhandle med blokkjeden, skal bare overføre transaksjonene og kun til den tiltenkte broen og ikke noen ukjente kontrakter, som senere kan tømme brukerens lommebok. Så det bør være en skikkelig kontroll av at hver interaksjon mellom plattformen og blokkjeden skal være på kjente kontrakter.
Den andre risikofaktoren i Web Apps er sluttbrukeren. Det må gjøres mer for å utdanne brukeren. Brukerne blir ofte ofre for phishing-nettsteder eller får enhetene deres infisert, noe som resulterer i tap av midler. For å redde brukeren din fra slike tapsprotokoller, bør du vurdere å informere dem om de vanlige feilene brukere gjør.
Bridge smarte kontrakter
Smarte kontrakter er en del av protokollen der vi må være ekstremt forsiktige og hele tiden se etter sårbarheter mens vi koder dem. De er kjernemotoren i protokollen. Broen vil bestå av mange slike smarte kontrakter, og mange funksjoner vil sannsynligvis kreve ulike kontrakter for å samhandle, og skape rom for sårbarheter.
Smarte kontrakter er også synlige for alle; dette er en fordel at blokkjedeinfrastruktur har åpenhet. Hvem som helst kan se hva protokollen gjør og hvordan den fungerer teknisk ved å gå gjennom den smarte kontraktskoden, men dette betyr også at kildekoden din er åpen, og hackere kan dra nytte av det. Derfor er det ekstremt viktig å la protokollen din være uten sårbarheter og gjøre den trygg førstehånds.
Utviklingsteamet som skriver koden for den smarte kontrakten bør være et kompetent team som tar et sikkerhetsorientert skritt og ved hvert trinn spør om denne kodeblokken likevel kan føre til sårbarhet. Følges beste utviklingspraksis? og bør alltid være klar i tilfelle et sikkerhetsbrudd.
Å utvikle sikre smarte kontrakter er en utfordrende oppgave. Det krever år med øvelse å mestre håndverket. Derfor er det alltid tilrådelig og viktig å gå for en "smart kontraktrevisjon" fra kjente firmaer som QuillAudits. Med et team av erfarne eksperter dekker QuillAudits alle aspekter av protokollen fra et sikkerhetssynspunkt og overlater ingenting til tilfeldighetene. Dette er en av de mest avgjørende parameterne som dikterer suksess for enhver protokoll. Ved å bli revidert, får protokollen brukernes tillit ved å publisere et anerkjent firmas revisjonsrapport.
tokens
Dette er den mest verdifulle delen av protokollen. Vår protokoll dreier seg om dette; vi prøver å overføre tokens fra en kjede til en annen, men det er mer komplisert å håndtere tokens. Du skjønner, systemet kan ha mange sårbarheter, spesielt når vi snakker om brenning/mynting.
En interessant ting er at i noen tilfeller er tokenpoolen din på én kjede kompromittert. Gjett hva som vil skje med eiendelen til den andre kjeden? Eiendelen på den andre kjeden er ustøttet og kan ikke regnskapsføres, noe som kan gjøre dem verdiløse.
Validatorer/Konsensus
Konsensus representerer grunnlaget for et blokkjedenettverk. Mens Ethereum og andre kjente kjeder er kjent for å være sikre og testet, kan det oppstå et problem hvis du oppretter en bro for en annen ikke så testet kjede.
Problemet er ikke bare kompromitterte tokens. Det kan føre til kompromittering av dine tokens på den andre brokoblede kjeden. Den andre kjeden bør være pålitelig for å skape en sikker bro. Det hever også angrepsoverflaten og gir hackere rom til å jakte på sårbarheter.
Multisigs
Noen av de mest skadelige angrepene på broer i 2022 var hovedsakelig på grunn av denne delen. Så dette er et hett tema for brosikkerhet. Broen er sannsynligvis kontrollert av en eller flere multisigs, som er lommebøker som krever at flere personer signerer før transaksjonen blir utført.
Multisigene legger til et ekstra lag med sikkerhet ved ikke å begrense autoriteten til en enkelt underskriver, men ved å gi stemmelignende rettigheter til forskjellige underskrivere. Disse multisigene kan også gjøre det mulig å oppgradere eller sette brokontraktene på pause.
Men disse er ikke idiotsikre. Det er mange sikkerhetsrelaterte aspekter ved det. En av dem er kontraktsutnyttelse, multisigs er implementert som smarte kontrakter og dermed potensielt sårbare for utnyttelser. Mange multisigs-kontrakter har vært testet i lang tid og har fungert bra, men kontraktene er fortsatt en ekstra angrepsflate.
Menneskelige feil er en av hovedfaktorene når det kommer til protokollsikkerhet, og underskriverne er også personer eller kontoer; dermed kan de bli kompromittert, noe som resulterer i protokollens kompromittering. Enhver person som signerer på en multisig-lommebok må stole på at de ikke er motstander, men må også stole på å overholde sikkerhetspraksisen siden deres sikkerhet er avgjørende for protokollens sikkerhet.
konklusjonen
Broer følger en kompleks mekanisme og implementering. Denne kompleksiteten kan åpne mange dører for sårbarheter og tillate hackere å bryte protokollen. For å sikre protokollen fra det kan mange tiltak gjøres, bare noen slike er diskutert ovenfor, men ingenting slår revisjonstjenester.
Revisjonstjenester gir den beste oversikten og analysen av protokollen fra et sikkerhetssynspunkt. Å gjøre det kan hjelpe protokoller med å øke brukernes popularitet og tillit og sikre seg mot angrep. Derfor anbefales det alltid å få en revisjon før den går live for å unngå tap. QuillAudits har vært i spillet lenge og har fått et veldig godt navn for seg selv, sjekk nettsiden og gå gjennom mer informative blogger.
18 Visninger
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://blog.quillhash.com/2023/04/07/part-2-bridging-the-blockchain-creating-a-secure-blockchain-bridge/
- :er
- 2022
- a
- Om oss
- ovenfor
- kontoer
- handlinger
- Ytterligere
- overholde
- Fordel
- alltid
- analyse
- og
- En annen
- noen
- app
- apps
- ER
- AREA
- rundt
- AS
- aspektet
- aspekter
- eiendel
- At
- angripe
- Angrep
- revisjon
- revidert
- revisjon
- myndighet
- BE
- fordi
- før du
- være
- BEST
- Bedre
- mellom
- Blokker
- blockchain
- Blockchain-nettverk
- Blogg
- blogger
- brudd
- Break
- BRO
- Brokoblet
- broer
- bridging
- bringe
- Bygning
- by
- CAN
- kan ikke
- saken
- saker
- forsiktige
- kjede
- kjeder
- utfordrende
- sjanse
- sjekk
- kode
- Koding
- Felles
- samfunnet
- kompetent
- komplekse
- kompleksitet
- kompromittert
- Vurder
- stadig
- kontrakt
- kontrakter
- kontrolleres
- Kjerne
- Kurs
- Dekker
- lage
- skape
- Opprette
- skaperen
- avgjørende
- håndtering
- utviklet
- Utvikling
- Enheter
- forskjellig
- diskutert
- gjør
- dører
- hver enkelt
- økosystem
- utdanne
- utdanne
- muliggjøre
- Motor
- feil
- spesielt
- ethereum
- Hver
- alle
- erfaren
- eksperter
- exploits
- ekstra
- ekstremt
- møtt
- faktorer
- Fall
- bedrifter
- følge
- fulgt
- Til
- Fundament
- fra
- funksjonalitet
- funksjoner
- fond
- inntjening
- spill
- få
- gir
- Giving
- Go
- skal
- god
- hackere
- hacks
- håndtere
- skje
- skadelig
- Harmony
- Ha
- tung
- hjelpe
- HOT
- Hvordan
- Hvordan
- HTTPS
- iverksette
- gjennomføring
- implementert
- viktig
- in
- Øke
- individuelt
- individer
- informative
- Infrastruktur
- samhandle
- interaksjon
- interaktiv
- interessant
- utstedelse
- IT
- selv
- Hold
- kjent
- lag
- føre
- Permisjon
- i likhet med
- Sannsynlig
- leve
- Lang
- lang tid
- Se
- tap
- tap
- laget
- Hoved
- større
- gjøre
- mange
- Master
- max bredde
- midler
- målinger
- mekanisme
- millioner
- feil
- Mobil
- Mobilapp
- mer
- mest
- flytte
- flere
- multitegn
- navn
- behov
- nettverk
- NOMAD
- normalt
- of
- on
- ONE
- åpen
- Annen
- parametere
- del
- parti
- Ansatte
- phishing
- Phishing-nettsteder
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Point
- Synspunkt
- basseng
- popularitet
- potensielt
- praksis
- praksis
- ordentlig
- protokollen
- protokollsikkerhet
- protokoller
- gi
- Publisering
- qubit
- Quillhash
- hever
- klar
- kjente igjen
- rapporterer
- representerer
- krever
- resulterende
- rettigheter
- Risiko
- Risikofaktor
- RONIN
- rom
- trygge
- Sikkerhet
- Spar
- Sekund
- sikre
- sikkerhet
- Tjenester
- bør
- undertegne
- enkelt
- Nettsteder
- Smart
- smart kontrakt
- Smarte kontrakter
- So
- noen
- kilde
- kildekoden
- Scene
- Trinn
- Still
- suksess
- slik
- overflaten
- system
- Ta
- tar
- Snakk
- Oppgave
- lag
- Det
- De
- deres
- Dem
- seg
- Disse
- ting
- ting
- Tredje
- Gjennom
- tid
- til
- token
- tokens
- Tema
- Transaksjonen
- Transaksjoner
- overføre
- Åpenhet
- Stol
- klarert
- oppgradert
- bruke
- Bruker
- Brukere
- validatorer
- Verdifull
- ulike
- Offer
- Se
- synlig
- Sikkerhetsproblemer
- sårbarhet
- Sårbar
- lommebok
- Lommebøker
- web
- Web3
- Web3 økosystem
- Nettsted
- VI VIL
- velkjent
- Hva
- Hva er
- hvilken
- mens
- vil
- med
- ormehull
- år
- Du
- Din
- zephyrnet
