Часть 2: Преодоление блокчейна: создание безопасного моста блокчейна

Часть 2: Преодоление блокчейна: создание безопасного моста блокчейна

Отметка времени: 7 апреля 2023 г., 7:12

Время Читать: 5 минут

Узнайте, какая часть моста нуждается в безопасности и как это реализовать.

2022 был год взломов мостов, с 5 основными хаками: Qubit, Wormhole, Ronin, Harmony и Nomad. Каждый протокол столкнулся с большими потерями в миллионы. Мосты облегчают межсетевые транзакции, но какой в ​​них смысл, если мы не можем обеспечить их безопасность?

В этом блоге мы расскажем вам о различных аспектах этого блога и о том, что следует учитывать при его создании или аудите, чтобы избежать таких серьезных взломов на мостах и ​​создать лучшую и более безопасную экосистему Web3.

Анализ моста с точки зрения безопасности

Существуют различные аспекты моста. Обычно мост включает веб-приложение, RPC, смарт-контракты, токены, валидаторы, мультиподписи и сообщество. Мы будем иметь дело с каждым из этих аспектов и с тем, какие вещи, связанные с безопасностью, следует искать в некоторых из них.

Часть 2. Соединение блокчейна: создание безопасного моста блокчейна PlatoBlockchain Data Intelligence. Вертикальный поиск. Ай.
Часть 2: Преодоление блокчейна: создание безопасного моста блокчейна

веб-приложение

В этой части пользователи взаимодействуют с платформой для сервисов. Это может быть сайт или мобильное приложение. Это разрабатывается создателем протокола или может быть сделано третьей стороной для протокола, это на более позднем этапе взаимодействует с RPC (позже) для взаимодействия с основным мостом.

Основной зоной риска в веб-приложении является сам веб-сайт. Веб-сайт, который действует как платформа для взаимодействия пользователей с блокчейном, должен передавать транзакции только и только на предполагаемый мост, а не на какие-то неизвестные контракты, которые впоследствии могут опустошить кошелек пользователя. Поэтому должна быть надлежащая проверка того, что каждое взаимодействие между платформой и блокчейном должно осуществляться по известным контрактам.

Другим фактором риска в веб-приложениях является конечный пользователь. Необходимо сделать больше, чтобы обучить пользователя. Пользователи часто становятся жертвами фишинговых сайтов или заражают свои устройства, что приводит к утечке средств. Чтобы уберечь своего пользователя от таких протоколов потерь, подумайте о том, чтобы рассказать ему о распространенных ошибках, которые совершают пользователи.

Мостовые смарт-контракты

Смарт-контракты являются частью протокола, где мы должны быть предельно осторожны и постоянно искать уязвимости при их кодировании. Они являются основным двигателем протокола. Мост будет состоять из множества таких смарт-контрактов, и многие функции, вероятно, потребуют взаимодействия различных контрактов, создавая место для уязвимостей.

Смарт-контракты также видны всем; это преимущество, что инфраструктура блокчейна имеет прозрачность. Любой может просмотреть, что делает протокол и как он функционирует технически, пройдя код смарт-контракта, но это также означает, что ваш исходный код открыт, и хакеры могут этим воспользоваться. Таким образом, чрезвычайно важно оставить ваш протокол без уязвимостей и сделать его безопасным из первых рук.

Команда разработчиков, которая пишет код для смарт-контракта, должна быть компетентной командой, которая предпринимает шаги, ориентированные на безопасность, и на каждом этапе спрашивает, может ли этот блок кода в любом случае привести к уязвимости. Соблюдаются ли лучшие практики разработки? и всегда должен быть готов в случае нарушения безопасности.

Разработка безопасных смарт-контрактов — сложная задача. Чтобы овладеть этим ремеслом, нужны годы практики. Таким образом, всегда желательно и важно пройти «аудит смарт-контрактов» от известных фирм, таких как QuillAudits. С командой опытных экспертов QuillAudits охватывает каждый аспект протокола с точки зрения безопасности и ничего не оставляет на волю случая. Это один из важнейших параметров, определяющих успех любого протокола. Пройдя аудит, протокол завоевывает доверие пользователей, публикуя аудиторский отчет признанной фирмы.

Лексемы

Это самая ценная часть протокола. Наш протокол вращается вокруг этого; мы пытаемся перевести токены из одной цепочки в другую, но обрабатывать токены сложнее. Видите ли, в системе может быть много уязвимостей, особенно когда мы говорим о сжигании/минтинге.

Одна интересная вещь: в некоторых случаях ваш пул токенов в одной цепочке скомпрометирован. Угадайте, что будет с активом другой сети? Актив в другой цепочке не имеет обеспечения и не может учитываться, что может сделать его бесполезным.

Валидаторы/Консенсус

Консенсус представляет собой основу сети блокчейн. Хотя известно, что Ethereum и другие известные цепочки безопасны и протестированы, может возникнуть проблема, если вы создадите мост для другой, не столь проверенной цепочки.

Проблема не только в скомпрометированных токенах. Это может привести к компрометации ваших токенов в другой цепочке мостов. Вторая цепочка должна быть надежной, чтобы создать безопасный мост. Это также увеличивает поверхность атаки и дает хакерам возможность искать уязвимости.

Мультиподпись

Некоторые из самых опасных атак на мосты в 2022 году произошли в основном из-за этой части. Так что это горячая тема для безопасности моста. Мост, вероятно, контролируется одним или несколькими мультиподписями, которые представляют собой кошельки, требующие подписи нескольких лиц перед выполнением транзакции.

Мультиподписи добавляют дополнительный уровень безопасности, не ограничивая полномочия одной подписывающей стороной, а предоставляя права голоса разным подписывающим сторонам. Эти мультиподписи также позволяют обновлять или приостанавливать мостовые контракты.

Но они не являются надежными. Есть много аспектов, связанных с безопасностью. Один из них — эксплойты контрактов. Мультиподписи реализованы как смарт-контракты и, следовательно, потенциально уязвимы для эксплойтов. Многие мультиподписные контракты тестировались в течение длительного времени и хорошо себя зарекомендовали, но контракты по-прежнему представляют собой дополнительную поверхность для атаки.

Человеческая ошибка является одним из основных факторов, когда речь идет о безопасности протокола, а подписывающие лица также являются людьми или учетными записями; таким образом, они могут быть скомпрометированы, что приведет к компрометации протокола. Любому лицу, подписывающему мультиподписной кошелек, следует доверять, чтобы оно, конечно, не было противником, но ему также следует доверять соблюдение правил безопасности, поскольку их безопасность имеет решающее значение. для безопасности протокола.

Заключение

Мосты следуют сложному механизму и реализации. Эта сложность может открыть множество дверей для уязвимостей и позволить хакерам взломать протокол. Чтобы обезопасить протокол от этого, можно предпринять множество мер, только некоторые из них были рассмотрены выше, но ничто не сравнится с услугами аудита.

Услуги аудита обеспечивают наилучшее представление и анализ протокола с точки зрения безопасности. Это может помочь протоколам повысить популярность и доверие пользователей, а также обезопасить себя от атак. Таким образом, всегда рекомендуется проводить аудит перед запуском, чтобы избежать потерь. QuillAudits был в игре в течение долгого времени и сделал себе действительно хорошее имя, проверьте веб-сайт и просмотрите более информативные блоги.

18 Просмотры

Отметка времени:

Больше от Квиллхэш