Phần 2: Cầu nối chuỗi khối: Tạo cầu nối chuỗi khối an toàn

Phần 2: Cầu nối chuỗi khối: Tạo cầu nối chuỗi khối an toàn

Dấu thời gian: Ngày 7 tháng 2023 năm 7 12:XNUMX sáng

Thơi gian đọc: 5 phút

Khám phá phần nào của cây cầu cần bảo mật và cách triển khai phần đó.

2022 là năm hack cầu, với 5 vụ hack chính: Qubit, Wormhole, Ronin, Harmony và Nomad. Mỗi giao thức phải đối mặt với tổn thất nặng nề hàng triệu đô la. Các cây cầu giúp giảm bớt giao dịch liên chuỗi, nhưng có ích gì nếu chúng ta không thể giữ chúng an toàn?

Trong blog này, chúng tôi mang đến cho bạn các khía cạnh khác nhau của blog đó và những điều cần lưu ý khi xây dựng hoặc kiểm tra một blog để tránh các vụ tấn công nghiêm trọng như vậy trên cầu nối và tạo ra một hệ sinh thái Web3 tốt hơn và an toàn hơn.

Mổ xẻ cây cầu từ quan điểm bảo mật

Có nhiều khía cạnh khác nhau của một cây cầu. Thông thường, một cây cầu bao gồm Ứng dụng web, RPC, Hợp đồng thông minh, Mã thông báo, Trình xác thực, Multisigs và cộng đồng. Chúng tôi sẽ giải quyết từng khía cạnh này và những điều liên quan đến bảo mật cần tìm kiếm trong một số khía cạnh này.

Phần 2: Kết nối chuỗi khối: Tạo cầu nối chuỗi khối an toàn Trí thông minh dữ liệu chuỗi khối Plato. Tìm kiếm dọc. Ái.
Phần 2: Cầu nối chuỗi khối: Tạo cầu nối chuỗi khối an toàn

ứng dụng web

Phần này là nơi người dùng tương tác với một nền tảng cho các dịch vụ. Đây có thể là một trang web hoặc một ứng dụng di động. Cái này được phát triển bởi người tạo giao thức hoặc có thể được tạo bởi bên thứ ba cho giao thức, cái này ở giai đoạn sau sẽ tương tác với RPC (sau đó là) để tương tác với cầu lõi.

Khu vực rủi ro chính trong Ứng dụng web là chính trang web. Trang web, hoạt động như một nền tảng để người dùng tương tác với chuỗi khối, chỉ nên truyền các giao dịch và chỉ đến cầu nối dự định chứ không phải một số hợp đồng không xác định, sau này có thể rút ví của người dùng. Vì vậy, cần có sự kiểm tra thích hợp để đảm bảo rằng mọi tương tác giữa nền tảng và chuỗi khối phải dựa trên các hợp đồng đã biết.

Yếu tố rủi ro khác trong Ứng dụng web là Người dùng cuối. Cần phải làm nhiều hơn nữa để giáo dục người dùng. Người dùng thường trở thành nạn nhân của các trang web lừa đảo hoặc thiết bị của họ bị nhiễm virus, dẫn đến cạn kiệt quỹ. Để cứu người dùng của bạn khỏi các giao thức mất mát như vậy, hãy cân nhắc giáo dục họ về những lỗi phổ biến mà người dùng mắc phải.

Cầu hợp đồng thông minh

Hợp đồng thông minh là một phần của giao thức mà chúng ta phải cực kỳ thận trọng và liên tục tìm kiếm các lỗ hổng trong khi mã hóa chúng. Chúng là động cơ cốt lõi của giao thức. Cây cầu sẽ bao gồm nhiều hợp đồng thông minh như vậy và nhiều chức năng có thể sẽ yêu cầu nhiều hợp đồng khác nhau tương tác, tạo ra chỗ cho các lỗ hổng.

Hợp đồng thông minh cũng hiển thị cho mọi người; đây là một lợi thế mà cơ sở hạ tầng blockchain có tính minh bạch. Bất kỳ ai cũng có thể xem giao thức làm gì và cách thức hoạt động của nó về mặt kỹ thuật bằng cách xem qua mã hợp đồng thông minh, nhưng điều này cũng có nghĩa là mã nguồn của bạn đang mở và tin tặc có thể lợi dụng điều đó. Do đó, điều cực kỳ quan trọng là không để giao thức của bạn có lỗ hổng và đảm bảo an toàn ngay từ đầu.

Nhóm phát triển viết mã cho hợp đồng thông minh phải là một nhóm có thẩm quyền thực hiện các bước hướng đến bảo mật và ở mỗi bước, hãy hỏi xem liệu khối mã này có thể dẫn đến lỗ hổng hay không. Các phương pháp phát triển tốt nhất có được tuân theo không? và phải luôn sẵn sàng trong trường hợp vi phạm an ninh.

Phát triển các hợp đồng thông minh an toàn là một nhiệm vụ đầy thách thức. Phải mất nhiều năm thực hành để thành thạo nghề. Do đó, việc thực hiện “kiểm toán hợp đồng thông minh” từ các công ty nổi tiếng như QuillAudits luôn là điều nên làm và quan trọng. Với đội ngũ chuyên gia giàu kinh nghiệm, QuillAudits bao quát mọi khía cạnh của giao thức từ quan điểm bảo mật và không để xảy ra rủi ro. Đây là một trong những tham số quan trọng nhất quyết định sự thành công của bất kỳ giao thức nào. Bằng cách được kiểm toán, giao thức sẽ giành được sự tin tưởng của người dùng bằng cách xuất bản báo cáo kiểm toán của một công ty được công nhận.

Tokens

Đây là phần có giá trị nhất của giao thức. Giao thức của chúng tôi xoay quanh vấn đề này; chúng tôi đang cố gắng chuyển mã thông báo từ chuỗi này sang chuỗi khác, nhưng việc xử lý mã thông báo sẽ phức tạp hơn. Bạn thấy đấy, hệ thống có thể có nhiều lỗ hổng, đặc biệt là khi chúng ta nói về việc đốt/đúc.

Một điều thú vị là, trong một số trường hợp, nhóm mã thông báo của bạn trên một chuỗi bị xâm phạm. Đoán xem điều gì sẽ xảy ra với tài sản của chuỗi kia? Tài sản trên chuỗi khác không được hỗ trợ và không thể tính được, điều này có thể khiến chúng trở nên vô giá trị.

Trình xác thực/Đồng thuận

Sự đồng thuận đại diện cho nền tảng của một mạng blockchain. Mặc dù Ethereum và các chuỗi đã biết khác được biết là an toàn và đã được thử nghiệm, nhưng có thể xảy ra sự cố nếu bạn tạo cầu nối cho một chuỗi khác chưa được thử nghiệm như vậy.

Vấn đề không chỉ là các mã thông báo bị xâm phạm. Nó có thể dẫn đến việc mã thông báo của bạn bị xâm phạm trên chuỗi cầu nối khác. Chuỗi thứ hai phải đáng tin cậy để tạo ra một cây cầu an toàn. Nó cũng làm tăng bề mặt tấn công và tạo điều kiện cho tin tặc săn lùng các lỗ hổng.

đa chữ ký

Một số cuộc tấn công có hại nhất vào cầu vào năm 2022 chủ yếu là do phần này. Vì vậy, đây là một chủ đề nóng cho an ninh cầu. Cây cầu có khả năng được kiểm soát bởi một hoặc nhiều multisig, là ví yêu cầu nhiều cá nhân ký trước khi giao dịch được thực hiện.

Multisig bổ sung thêm một lớp bảo mật bằng cách không giới hạn quyền đối với một người ký mà bằng cách trao các quyền giống như biểu quyết cho những người ký khác nhau. Các chữ ký đa chữ ký này cũng có thể cho phép nâng cấp hoặc tạm dừng các hợp đồng bắc cầu.

Nhưng đây không phải là hoàn hảo. Có nhiều khía cạnh liên quan đến bảo mật với nó. Một trong số đó là khai thác hợp đồng, multisig được triển khai dưới dạng hợp đồng thông minh và do đó có khả năng dễ bị khai thác. Nhiều hợp đồng nhiều chữ ký đã được thử nghiệm trong một thời gian dài và đang hoạt động tốt, nhưng các hợp đồng này vẫn là một bề mặt tấn công bổ sung.

Lỗi của con người là một trong những yếu tố chính khi nói đến bảo mật giao thức và người ký cũng là người hoặc tài khoản; do đó, chúng có thể bị xâm phạm, dẫn đến giao thức bị xâm phạm. Tất nhiên, bất kỳ cá nhân nào là người ký tên trên ví nhiều chữ ký đều phải được tin cậy để không phải là đối thủ, nhưng cũng phải được tin cậy để tuân thủ các biện pháp bảo mật vì sự an toàn của họ là rất quan trọng cho sự an toàn của giao thức.

Kết luận

Bridges tuân theo một cơ chế phức tạp và thực hiện. Sự phức tạp này có thể mở ra nhiều cánh cửa cho các lỗ hổng và cho phép tin tặc phá vỡ giao thức. Để bảo mật giao thức khỏi điều đó, có thể thực hiện nhiều biện pháp, chỉ một số biện pháp như vậy đã được thảo luận ở trên, nhưng không có gì đánh bại được các dịch vụ Kiểm toán.

Các dịch vụ kiểm toán cung cấp cái nhìn và phân tích tốt nhất về giao thức từ quan điểm bảo mật. Làm như vậy có thể giúp các giao thức tăng mức độ phổ biến và tin tưởng của người dùng cũng như bảo vệ bản thân khỏi các cuộc tấn công. Do đó, việc kiểm toán trước khi đi vào hoạt động luôn được khuyến nghị để tránh thua lỗ. QuillAudit đã tham gia trò chơi trong một thời gian dài và đã tạo được tên tuổi thực sự tốt cho chính nó. Hãy kiểm tra trang web và chuyển qua các blog có nhiều thông tin hơn.

18 Lượt xem

Dấu thời gian:

Thêm từ quillhash