Частина 2: Поєднання блокчейну: створення безпечного блокчейн-мосту

Час читання: 5 протокол

Дізнайтеся, яка частина мосту потребує безпеки та як її реалізувати.

2022 був рік бриджів, з 5 основними хаками: Qubit, Wormhole, Ronin, Harmony і Nomad. Кожен протокол зазнав великих втрат у мільйони. Місти спрощують міжланцюгові транзакції, але яка користь, якщо ми не можемо захистити їх?

У цьому блозі ми пропонуємо вам різні аспекти цього блогу та те, про що слід пам’ятати під час створення чи аудиту блогу, щоб уникнути таких серйозних зломів на мостах і створити кращу та безпечнішу екосистему Web3.

Розтин мосту з точки зору безпеки

Існують різні аспекти мосту. Зазвичай міст включає веб-додаток, RPC, смарт-контракти, токени, валідатори, Multisigs і спільноту. Ми будемо мати справу з кожним із цих аспектів і на те, що стосується безпеки, щоб звернути увагу на деякі з них.

Веб-додаток

У цій частині користувачі взаємодіють із платформою для надання послуг. Це може бути веб-сайт або мобільний додаток. Це розроблено творцем протоколу або може бути зроблено третьою стороною для протоколу, це на пізнішому етапі взаємодіє з RPC (пізніше на цьому) для взаємодії з основним мостом.

Основною зоною ризику у Web App є сам веб-сайт. Веб-сайт, який виступає платформою для взаємодії користувачів із блокчейном, має передавати транзакції лише й лише на призначений міст, а не якісь невідомі контракти, які згодом можуть виснажити гаманець користувача. Отже, має бути належна перевірка того, що кожна взаємодія між платформою та блокчейном повинна відбуватися на основі відомих контрактів.

Іншим фактором ризику у веб-додатках є кінцевий користувач. Треба зробити більше, щоб навчити користувачів. Користувачі часто стають жертвами фішингових сайтів або їхні пристрої заражаються, що призводить до витоку коштів. Щоб уберегти свого користувача від таких протоколів втрати, подумайте про те, щоб розповісти йому про типові помилки користувачів.

Розумні контракти Bridge

Розумні контракти є частиною протоколу, де ми повинні бути надзвичайно обережними та постійно шукати вразливі місця під час кодування. Вони є основним двигуном протоколу. Міст складатиметься з багатьох таких смарт-контрактів, і багато функціональних можливостей, ймовірно, вимагатимуть різних контрактів для взаємодії, створюючи місце для вразливостей.

Смарт-контракти також видимі для всіх; це перевага в тому, що інфраструктура блокчейну має прозорість. Будь-хто може переглянути, що робить протокол і як він функціонує технічно, переглянувши код смарт-контракту, але це також означає, що ваш вихідний код відкритий, і хакери можуть цим скористатися. Тому надзвичайно важливо залишити свій протокол без уразливостей і зробити його безпечним з перших рук.

Команда розробників, яка пише код для смарт-контракту, має бути компетентною командою, яка робить кроки, орієнтовані на безпеку, і на кожному кроці запитує, чи може цей блок коду в будь-якому випадку призвести до вразливості. Чи дотримуються найкращі практики розробки? і має бути завжди готовим у разі порушення безпеки.

Розробка безпечних розумних контрактів є складним завданням. Щоб освоїти ремесло, потрібні роки практики. Таким чином, завжди доцільно та важливо звернутися до «аудиту розумних контрактів» від відомих фірм, таких як QuillAudits. Завдяки команді досвідчених експертів QuillAudits охоплює всі аспекти протоколу з точки зору безпеки та не залишає нічого напризволяще. Це один із найважливіших параметрів, який визначає успіх будь-якого протоколу. Пройшовши аудит, протокол завойовує довіру користувачів, публікуючи аудиторський звіт визнаної фірми.

Жетони

Це найцінніша частина протоколу. Наш протокол обертається навколо цього; ми намагаємося перенести токени з одного ланцюга в інший, але це складніше обробляти токени. Розумієте, система може мати багато вразливостей, особливо коли ми говоримо про записування/карбування.

Одна цікава річ полягає в тому, що в деяких випадках ваш пул токенів в одному ланцюжку скомпрометовано. Вгадайте, що буде з активом іншої мережі? Актив в іншому ланцюжку не забезпечений і не може бути облікований, що може зробити їх марними.

Валідатори/Консенсус

Консенсус є основою мережі блокчейн. Хоча Ethereum та інші відомі ланцюги відомі як безпечні та перевірені, може виникнути проблема, якщо ви створите міст для іншого не дуже перевіреного ланцюга.

Проблема не тільки в скомпрометованих токенах. Це може призвести до компрометації ваших токенів на іншому мостовому ланцюжку. Другий ланцюг має бути надійним, щоб створити безпечний міст. Це також підвищує рівень атаки та дає хакерам можливість шукати вразливі місця.

Мультисиги

Деякі з найшкідливіших атак на мости у 2022 році були в основному через цю частину. Отже, це гаряча тема для безпеки мостів. Ймовірно, міст контролюється одним або декількома мультисигами, які є гаманцями, які вимагають підпису кількох осіб перед виконанням транзакції.

Мультипідписи додають додатковий рівень безпеки, не обмежуючи повноваження одним підписувачем, а надаючи права голосування різним підписантам. Ці мультипідписи також можуть дозволити модернізувати або призупинити мостові контракти.

Але вони не надійні. Це багато аспектів безпеки. Однією з яких є експлойти контрактів, мультипідписи реалізовані як смарт-контракти і, отже, потенційно вразливі до експлойтів. Багато мультипідписаних контрактів були перевірені протягом тривалого часу та показали хороші результати, але контракти все ще є додатковою поверхнею для атаки.

Людська помилка є одним із основних факторів безпеки протоколу, а підписувачі також є людьми або обліковими записами; таким чином, вони можуть бути скомпрометовані, що призведе до компрометації протоколу. Будь-якій особі, яка є підписувачем у гаманці з кількома підписами, слід довіряти, щоб вона не була супротивником, але також слід довіряти дотриманню правил безпеки, оскільки їхня безпека має вирішальне значення для безпеки протоколу.

Висновок

Мости мають складний механізм і реалізацію. Ця складність може відкрити багато дверей для вразливостей і дозволити хакерам зламати протокол. Щоб захистити протокол від цього, можна вжити багато заходів, лише деякі з них були розглянуті вище, але ніщо не зрівняється з послугами аудиту.

Послуги аудиту забезпечують найкращий перегляд і аналіз протоколу з точки зору безпеки. Це може допомогти протоколам збільшити популярність і довіру користувачів і захистити себе від атак. Таким чином, щоб уникнути втрат, завжди рекомендується проводити аудит перед початком роботи. QuillAudits був у грі протягом тривалого часу та зробив собі справді гарне ім’я. Перегляньте веб-сайт і перегляньте більш інформативні блоги.

18 думки

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://blog.quillhash.com/2023/04/07/part-2-bridging-the-blockchain-creating-a-secure-blockchain-bridge/