Час читання: 5 протокол
Дізнайтеся, яка частина мосту потребує безпеки та як її реалізувати.
2022 був рік бриджів, з 5 основними хаками: Qubit, Wormhole, Ronin, Harmony і Nomad. Кожен протокол зазнав великих втрат у мільйони. Місти спрощують міжланцюгові транзакції, але яка користь, якщо ми не можемо захистити їх?
У цьому блозі ми пропонуємо вам різні аспекти цього блогу та те, про що слід пам’ятати під час створення чи аудиту блогу, щоб уникнути таких серйозних зломів на мостах і створити кращу та безпечнішу екосистему Web3.
Розтин мосту з точки зору безпеки
Існують різні аспекти мосту. Зазвичай міст включає веб-додаток, RPC, смарт-контракти, токени, валідатори, Multisigs і спільноту. Ми будемо мати справу з кожним із цих аспектів і на те, що стосується безпеки, щоб звернути увагу на деякі з них.
Веб-додаток
У цій частині користувачі взаємодіють із платформою для надання послуг. Це може бути веб-сайт або мобільний додаток. Це розроблено творцем протоколу або може бути зроблено третьою стороною для протоколу, це на пізнішому етапі взаємодіє з RPC (пізніше на цьому) для взаємодії з основним мостом.
Основною зоною ризику у Web App є сам веб-сайт. Веб-сайт, який виступає платформою для взаємодії користувачів із блокчейном, має передавати транзакції лише й лише на призначений міст, а не якісь невідомі контракти, які згодом можуть виснажити гаманець користувача. Отже, має бути належна перевірка того, що кожна взаємодія між платформою та блокчейном повинна відбуватися на основі відомих контрактів.
Іншим фактором ризику у веб-додатках є кінцевий користувач. Треба зробити більше, щоб навчити користувачів. Користувачі часто стають жертвами фішингових сайтів або їхні пристрої заражаються, що призводить до витоку коштів. Щоб уберегти свого користувача від таких протоколів втрати, подумайте про те, щоб розповісти йому про типові помилки користувачів.
Розумні контракти Bridge
Розумні контракти є частиною протоколу, де ми повинні бути надзвичайно обережними та постійно шукати вразливі місця під час кодування. Вони є основним двигуном протоколу. Міст складатиметься з багатьох таких смарт-контрактів, і багато функціональних можливостей, ймовірно, вимагатимуть різних контрактів для взаємодії, створюючи місце для вразливостей.
Смарт-контракти також видимі для всіх; це перевага в тому, що інфраструктура блокчейну має прозорість. Будь-хто може переглянути, що робить протокол і як він функціонує технічно, переглянувши код смарт-контракту, але це також означає, що ваш вихідний код відкритий, і хакери можуть цим скористатися. Тому надзвичайно важливо залишити свій протокол без уразливостей і зробити його безпечним з перших рук.
Команда розробників, яка пише код для смарт-контракту, має бути компетентною командою, яка робить кроки, орієнтовані на безпеку, і на кожному кроці запитує, чи може цей блок коду в будь-якому випадку призвести до вразливості. Чи дотримуються найкращі практики розробки? і має бути завжди готовим у разі порушення безпеки.
Розробка безпечних розумних контрактів є складним завданням. Щоб освоїти ремесло, потрібні роки практики. Таким чином, завжди доцільно та важливо звернутися до «аудиту розумних контрактів» від відомих фірм, таких як QuillAudits. Завдяки команді досвідчених експертів QuillAudits охоплює всі аспекти протоколу з точки зору безпеки та не залишає нічого напризволяще. Це один із найважливіших параметрів, який визначає успіх будь-якого протоколу. Пройшовши аудит, протокол завойовує довіру користувачів, публікуючи аудиторський звіт визнаної фірми.
Жетони
Це найцінніша частина протоколу. Наш протокол обертається навколо цього; ми намагаємося перенести токени з одного ланцюга в інший, але це складніше обробляти токени. Розумієте, система може мати багато вразливостей, особливо коли ми говоримо про записування/карбування.
Одна цікава річ полягає в тому, що в деяких випадках ваш пул токенів в одному ланцюжку скомпрометовано. Вгадайте, що буде з активом іншої мережі? Актив в іншому ланцюжку не забезпечений і не може бути облікований, що може зробити їх марними.
Валідатори/Консенсус
Консенсус є основою мережі блокчейн. Хоча Ethereum та інші відомі ланцюги відомі як безпечні та перевірені, може виникнути проблема, якщо ви створите міст для іншого не дуже перевіреного ланцюга.
Проблема не тільки в скомпрометованих токенах. Це може призвести до компрометації ваших токенів на іншому мостовому ланцюжку. Другий ланцюг має бути надійним, щоб створити безпечний міст. Це також підвищує рівень атаки та дає хакерам можливість шукати вразливі місця.
Мультисиги
Деякі з найшкідливіших атак на мости у 2022 році були в основному через цю частину. Отже, це гаряча тема для безпеки мостів. Ймовірно, міст контролюється одним або декількома мультисигами, які є гаманцями, які вимагають підпису кількох осіб перед виконанням транзакції.
Мультипідписи додають додатковий рівень безпеки, не обмежуючи повноваження одним підписувачем, а надаючи права голосування різним підписантам. Ці мультипідписи також можуть дозволити модернізувати або призупинити мостові контракти.
Але вони не надійні. Це багато аспектів безпеки. Однією з яких є експлойти контрактів, мультипідписи реалізовані як смарт-контракти і, отже, потенційно вразливі до експлойтів. Багато мультипідписаних контрактів були перевірені протягом тривалого часу та показали хороші результати, але контракти все ще є додатковою поверхнею для атаки.
Людська помилка є одним із основних факторів безпеки протоколу, а підписувачі також є людьми або обліковими записами; таким чином, вони можуть бути скомпрометовані, що призведе до компрометації протоколу. Будь-якій особі, яка є підписувачем у гаманці з кількома підписами, слід довіряти, щоб вона не була супротивником, але також слід довіряти дотриманню правил безпеки, оскільки їхня безпека має вирішальне значення для безпеки протоколу.
Висновок
Мости мають складний механізм і реалізацію. Ця складність може відкрити багато дверей для вразливостей і дозволити хакерам зламати протокол. Щоб захистити протокол від цього, можна вжити багато заходів, лише деякі з них були розглянуті вище, але ніщо не зрівняється з послугами аудиту.
Послуги аудиту забезпечують найкращий перегляд і аналіз протоколу з точки зору безпеки. Це може допомогти протоколам збільшити популярність і довіру користувачів і захистити себе від атак. Таким чином, щоб уникнути втрат, завжди рекомендується проводити аудит перед початком роботи. QuillAudits був у грі протягом тривалого часу та зробив собі справді гарне ім’я. Перегляньте веб-сайт і перегляньте більш інформативні блоги.
18 думки
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://blog.quillhash.com/2023/04/07/part-2-bridging-the-blockchain-creating-a-secure-blockchain-bridge/
- :є
- 2022
- a
- МЕНЮ
- вище
- Рахунки
- акти
- Додатковий
- дотримуватися
- Перевага
- завжди
- аналіз
- та
- Інший
- будь
- додаток
- додатка
- ЕСТЬ
- ПЛОЩА
- навколо
- AS
- зовнішній вигляд
- аспекти
- активи
- At
- атака
- нападки
- аудит
- аудит
- аудит
- влада
- BE
- оскільки
- перед тим
- буття
- КРАЩЕ
- Краще
- між
- Блокувати
- blockchain
- Блокчай мережі
- Блог
- блоги
- порушення
- Перерва
- BRIDGE
- мостові
- мости
- мостинг
- приносити
- Створюємо
- by
- CAN
- не може
- випадок
- випадків
- обережний
- ланцюг
- ланцюга
- складні
- шанс
- перевірка
- код
- Кодування
- загальний
- співтовариство
- компетентний
- комплекс
- складність
- Компрометація
- Вважати
- постійно
- контракт
- контрактів
- контроль
- Core
- Курс
- Обкладинки
- виробити
- створювати
- створення
- творець
- вирішальне значення
- справу
- розвиненою
- розробка
- прилади
- різний
- обговорювалися
- справи
- Двері
- кожен
- екосистема
- виховувати
- освіту
- включіть
- двигун
- помилка
- особливо
- Ефіріума
- Кожен
- все
- досвідчений
- experts
- подвигів
- додатково
- надзвичайно
- стикаються
- фактори
- Падати
- фірми
- стежити
- потім
- для
- фонд
- від
- функціональні можливості
- Функції
- фонд
- прибуток
- гра
- отримання
- дає
- дає
- Go
- буде
- добре
- хакери
- хакі
- обробляти
- траплятися
- шкідливий
- Harmony
- Мати
- важкий
- допомога
- ГАРЯЧА
- Як
- How To
- HTTPS
- здійснювати
- реалізація
- реалізовані
- важливо
- in
- Augmenter
- індивідуальний
- осіб
- інформативний
- Інфраструктура
- взаємодіяти
- взаємодія
- взаємодіє
- цікавий
- питання
- IT
- сам
- тримати
- відомий
- шар
- вести
- Залишати
- як
- Ймовірно
- жити
- Довго
- багато часу
- подивитися
- від
- втрати
- made
- головний
- основний
- зробити
- багато
- майстер
- макс-ширина
- засоби
- заходи
- механізм
- мільйони
- помилки
- Mobile
- Мобільний додаток
- більше
- найбільш
- рухатися
- множинний
- Мультисиг
- ім'я
- потреби
- мережу
- Номади
- нормально
- of
- on
- ONE
- відкрити
- Інше
- параметри
- частина
- партія
- Люди
- phishing
- Фішингові сайти
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- точка
- Точка зору
- басейн
- популярність
- потенційно
- практика
- практики
- правильний
- протокол
- безпека протоколу
- протоколи
- забезпечувати
- Видавничий
- Кубіт
- Квілхаш
- піднімається
- готовий
- визнані
- звітом
- представляє
- вимагати
- в результаті
- праві
- Risk
- Фактор ризику
- РОНІН
- Кімната
- сейф
- Безпека
- зберегти
- другий
- безпечний
- безпеку
- Послуги
- Повинен
- підпис
- один
- сайти
- розумний
- розумний контракт
- Спритні контракти
- So
- деякі
- Source
- вихідні
- Стажування
- Крок
- Як і раніше
- успіх
- такі
- поверхню
- система
- Приймати
- приймає
- балаканина
- Завдання
- команда
- Що
- Команда
- їх
- Їх
- самі
- Ці
- річ
- речі
- третій
- через
- час
- до
- знак
- Жетони
- тема
- угода
- Transactions
- переклад
- прозорість
- Довіряйте
- Довірений
- підвищений
- використання
- користувач
- користувачі
- валідатори
- Цінний
- різний
- Жертва
- вид
- видимий
- Уразливості
- вразливість
- Вразливий
- Wallet
- Гаманці
- Web
- Web3
- Екосистема Web3
- веб-сайт
- ДОБРЕ
- добре відомі
- Що
- Що таке
- який
- в той час як
- волі
- з
- червоточину
- років
- Ти
- вашу
- зефірнет