阅读时间: 5 分钟
探索桥梁的哪一部分需要安全性以及如何实施。
2022是 桥梁黑客年,有 5 个主要黑客:Qubit、Wormhole、Ronin、Harmony 和 Nomad。 每个协议都面临着数百万美元的重大损失。 桥梁简化了链间交易,但如果我们不能保证它们的安全,那又有什么用呢?
在此博客中,我们将向您介绍该博客的不同方面,以及在构建或审核博客时应注意的事项,以避免对桥梁进行此类重大黑客攻击,并创建一个更好、更安全的 Web3 生态系统。
从安全角度剖析桥梁
桥梁有不同的方面。 通常,一个桥梁包括 Web App、RPC、智能合约、令牌、验证器、多重签名和社区。 我们将处理这些方面中的每一个方面,以及在其中一些方面寻找哪些与安全相关的东西。
Web应用程序
这部分是用户与服务平台交互的地方。 这可以是网站或移动应用程序。 这是由协议的创建者开发的,也可以由第三方为协议制作,这在稍后阶段与 RPC 交互(稍后)以与核心桥交互。
Web App 中的主要风险区域是网站本身。 该网站作为用户与区块链交互的平台,应该只将交易传输到预期的桥接器,而不是一些未知的合约,这会在以后耗尽用户的钱包。 因此,应该进行适当的检查,确保平台和区块链之间的每次交互都应该基于已知的合约。
Web 应用程序中的另一个风险因素是最终用户。 需要做更多的工作来教育用户。 用户经常成为钓鱼网站的受害者或设备被感染,导致资金流失。 为了使您的用户免受此类丢失协议的影响,请考虑对他们进行有关用户常犯的错误的教育。
桥梁智能合约
智能合约是协议的一部分,我们必须非常谨慎,并在编写代码时不断寻找漏洞。 它们是协议的核心引擎。 桥梁将包含许多此类智能合约,许多功能可能需要各种合约进行交互,从而为漏洞创造空间。
智能合约也对所有人可见; 这是区块链基础设施具有透明度的优势。 任何人都可以通过智能合约代码查看协议的作用及其技术功能,但这也意味着您的源代码是开放的,黑客可以利用这一点。 因此,让您的协议没有漏洞并使其一手安全是非常重要的。
为智能合约编写代码的开发团队应该是一个有能力的团队,采取面向安全的步骤,并且在每一步都询问这个代码块是否会导致漏洞。 是否遵循了最佳开发实践? 并应随时准备好以防出现安全漏洞。
开发安全的智能合约是一项具有挑战性的任务。 掌握这门手艺需要多年的实践。 因此,从 QuillAudits 等知名公司寻求“智能合约审计”始终是明智且重要的。 QuillAudits 拥有一支经验丰富的专家团队,从安全的角度涵盖协议的各个方面,不留任何侥幸心理。 这是决定任何协议成功与否的最关键参数之一。 通过接受审计,该协议通过发布公认公司的审计报告获得用户的信任。
令牌
这是协议中最有价值的部分。 我们的协议围绕此展开; 我们正在尝试将代币从一条链转移到另一条链,但处理代币更为复杂。 你看,系统可能有很多漏洞,尤其是当我们谈论燃烧/铸币时。
一件有趣的事情是,在某些情况下,您在一条链上的代币池遭到破坏。 猜猜另一条链的资产会怎样? 另一条链上的资产是无担保的,无法入账,这可能会使它们变得一文不值。
验证者/共识
共识代表了区块链网络的基础。 虽然众所周知以太坊和其他已知链是安全的且经过测试的,但如果您为另一个未经如此测试的链创建桥接,则可能会出现问题。
问题不仅在于代币受损。 它可能会导致您的代币在其他桥接链上受到损害。 第二条链应该是可信的,以创建一个安全的桥梁。 它还增加了攻击面,并为黑客提供了寻找漏洞的空间。
多重签名
2022 年一些危害最大的桥梁攻击主要是因为这部分。 所以这是桥梁安全的热门话题。 这座桥可能由一个或多个多重签名控制,多重签名是在交易执行前需要多人签名的钱包。
多重签名通过不将权限限制在单个签名者而是通过向不同的签名者赋予类似投票的权利来增加额外的安全层。 这些多重签名还可以使桥接合同升级或暂停。
但这些都不是万无一失的。 它有许多与安全相关的方面。 其中之一是合约漏洞利用,多重签名作为智能合约实现,因此可能容易受到漏洞利用。 许多多重签名合约已经过长期测试并且表现良好,但合约仍然是额外的攻击面。
人为错误是协议安全的主要因素之一,签名者也是人或账户; 因此,它们可能会受到损害,从而导致协议受到损害,任何作为多重签名钱包签名者的个人都必须被信任,当然不会成为对手,但也必须被信任遵守安全实践,因为他们的安全至关重要为了协议的安全。
结论
桥梁遵循复杂的机制和实施。 这种复杂性可以为漏洞打开许多大门,并允许黑客破坏协议。 为了保护协议不受此影响,可以采取许多措施,上面只讨论了一些这样的措施,但没有什么比审计服务更好的了。
从安全的角度来看,审计服务提供了协议的最佳视图和分析。 这样做可以帮助协议提高用户的知名度和信任度,并保护自己免受攻击。 因此,始终建议在上线前进行审计以避免损失。 羽毛笔审计 已经在游戏中存在了很长时间,并且已经为自己赢得了一个非常好的名字,请检查该网站并浏览更多信息丰富的博客。
18 观点
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://blog.quillhash.com/2023/04/07/part-2-bridging-the-blockchain-creating-a-secure-blockchain-bridge/
- :是
- 2022
- a
- 关于
- 以上
- 账户
- 行为
- 额外
- 坚持
- 优点
- 时刻
- 分析
- 和
- 另一个
- 任何人
- 应用
- 应用
- 保健
- 国家 / 地区
- 围绕
- AS
- 方面
- 方面
- 财富
- At
- 攻击
- 攻击
- 审计
- 审计
- 审计
- 权威
- BE
- 因为
- before
- 作为
- 最佳
- 更好
- 之间
- 阻止
- blockchain
- 区块链网络
- 博客
- 博客
- 违反
- 午休
- 桥
- 桥接的
- 桥梁
- 桥接
- 带来
- 建筑物
- by
- CAN
- 不能
- 案件
- 例
- 谨慎
- 链
- 链
- 挑战
- 机会
- 查
- 码
- 编码
- 相当常见
- 社体的一部分
- 胜任
- 复杂
- 复杂
- 妥协
- 考虑
- 经常
- 合同
- 合同的
- 受控
- 核心
- 套餐
- 盖
- 手艺
- 创建信息图
- 创造
- 创造者
- 关键
- 处理
- 发达
- 研发支持
- 设备
- 不同
- 讨论
- 做
- 门
- 每
- 生态系统
- 教育
- 教育
- enable
- 发动机
- 错误
- 特别
- 复仇
- 所有的
- 每个人
- 有经验
- 专家
- 功勋
- 额外
- 非常
- 面临
- 因素
- 秋季
- 企业
- 遵循
- 其次
- 针对
- 基金会
- 止
- 功能
- 功能
- 基金
- 收益
- 游戏
- 越来越
- 给
- 给予
- Go
- 去
- 非常好
- 黑客
- 黑客
- 处理
- 发生
- 有害
- 和谐
- 有
- 重
- 帮助
- 热卖
- 创新中心
- How To
- HTTPS
- 实施
- 履行
- 实施
- 重要
- in
- 增加
- 个人
- 个人
- 信息
- 基础设施
- 相互作用
- 相互作用
- 交互
- 有趣
- 问题
- IT
- 本身
- 保持
- 已知
- 层
- 铅
- 离开
- 喜欢
- 容易
- 生活
- 长
- 长时间
- 看
- 离
- 损失
- 制成
- 主要
- 主要
- 使
- 许多
- 主
- 最大宽度
- 手段
- 措施
- 机制
- 百万
- 错误
- 联络号码
- 移动应用
- 更多
- 最先进的
- 移动
- 多
- Multisig
- 姓名
- 需要
- 网络
- NOMAD
- 通常
- of
- on
- 一
- 打开
- 其他名称
- 参数
- 部分
- 党
- 员工
- 钓鱼
- 钓鱼网站
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 观点
- 池
- 声望
- 可能
- 在练习上
- 做法
- 正确
- 协议
- 协议安全
- 协议
- 提供
- 出版
- 量子比特
- 散列
- 提高
- 准备
- 认可
- 报告
- 代表
- 要求
- 导致
- 权利
- 风险
- 风险因素
- 罗宁
- Room
- 安全
- 实现安全
- 保存
- 其次
- 安全
- 保安
- 特色服务
- 应该
- 签署
- 单
- 网站
- 智能
- 聪明的合同
- 智能合同
- So
- 一些
- 来源
- 源代码
- 阶段
- 步
- 仍
- 成功
- 这样
- 磁化面
- 系统
- 采取
- 需要
- 谈论
- 任务
- 团队
- 这
- 其
- 他们
- 他们自己
- 博曼
- 事
- 事
- 第三
- 通过
- 次
- 至
- 象征
- 令牌
- 主题
- 交易
- 交易
- 转让
- 用户评论透明
- 信任
- 信任
- 升级
- 使用
- 用户
- 用户
- 验证者
- 有价值
- 各个
- 受害者
- 查看
- 可见
- 漏洞
- 漏洞
- 脆弱
- 钱包
- 钱包
- 卷筒纸
- Web3
- Web3 生态系统
- 您的网站
- 井
- 知名
- 什么是
- 什么是
- 这
- 而
- 将
- 虫洞
- 年
- 完全
- 您一站式解决方案
- 和风网