2. osa: Blockchaini silla loomine: turvalise plokiahela silla loomine

Lugemise aeg: 5 protokoll

Uurige, milline silla osa vajab turvalisust ja kuidas seda rakendada.

2022 oli sillamurdmiste aasta, 5 peamise häkkimisega: Qubit, Wormhole, Ronin, Harmony ja Nomad. Iga protokoll kandis suuri kaotusi miljonites. Sillad hõlbustavad ahelatevahelist tehingut, kuid mis kasu on sellest, kui me ei suuda neid turvaliselt hoida?

Selles ajaveebis tutvustame teile selle ajaveebi erinevaid aspekte ja seda, mida peaksite selle loomisel või auditeerimisel teadma, et vältida selliseid suuri sildade häkkimisi ning luua parem ja turvalisem Web3 ökosüsteem.

Silla lahkamine turvalisuse seisukohast

Sillal on erinevaid aspekte. Tavaliselt hõlmab sild veebirakendust, RPC-d, nutikaid lepinguid, žetoone, valideerijaid, multisigse ja kogukonda. Me käsitleme kõiki neid aspekte ja seda, milliseid turvalisusega seotud asju tuleks mõnes neist otsida.

Veebirakendus

See osa on koht, kus kasutajad suhtlevad teenuste platvormiga. See võib olla veebisait või mobiilirakendus. Selle on välja töötanud protokolli looja või selle võib protokolli jaoks teha kolmas osapool, mis hiljem suhtleb RPC-ga (hiljem), et suhelda põhisillaga.

Veebirakenduse peamine riskivaldkond on veebisait ise. Veebisait, mis toimib platvormina kasutajatele plokiahelaga suhtlemiseks, peaks edastama tehinguid ainult ja ainult ettenähtud sillale, mitte aga tundmatuid lepinguid, mis võivad hiljem kasutaja rahakoti tühjaks teha. Seega tuleks korralikult kontrollida, et iga platvormi ja plokiahela vaheline suhtlus peaks toimuma teadaolevate lepingute alusel.

Teine veebirakenduste riskitegur on lõppkasutaja. Kasutaja harimiseks tuleb rohkem ära teha. Kasutajad langevad sageli andmepüügisaitide ohvriks või nakatuvad nende seadmed, mille tulemuseks on raha äravool. Kasutaja säästmiseks sellistest kaduprotokollidest kaaluge nende harimist kasutajate levinud vigade kohta.

Sild nutikad lepingud

Nutikad lepingud on osa protokollist, mille puhul peame olema äärmiselt ettevaatlikud ja nende kodeerimisel pidevalt turvaauke otsima. Need on protokolli põhimootor. Sild koosneb paljudest sellistest nutikatest lepingutest ja paljude funktsioonide koostamiseks on tõenäoliselt vaja erinevaid lepinguid, luues ruumi haavatavustele.

Targad lepingud on samuti kõigile nähtavad; see on eelis, et plokiahela infrastruktuuril on läbipaistvus. Igaüks saab vaadata, mida protokoll teeb ja kuidas see tehniliselt töötab, läbides nutika lepingu koodi, kuid see tähendab ka seda, et teie lähtekood on avatud ja häkkerid saavad seda ära kasutada. Seetõttu on äärmiselt oluline jätta oma protokoll haavatavusteta ja muuta see koheselt turvaliseks.

Nutilepingu koodi kirjutav arendusmeeskond peaks olema pädev meeskond, kes astub turvalisusele suunatud sammu ja igal sammul küsib, kas see koodiplokk võib ikkagi põhjustada haavatavust. Kas järgitakse parimaid arendustavasid? ja peaks olema turvarikkumise puhuks alati valmis.

Turvaliste nutikate lepingute väljatöötamine on keeruline ülesanne. Selle käsitöö valdamiseks kulub aastaid harjutamist. Seetõttu on alati soovitav ja oluline minna läbi "tarkade lepingute auditi" tuntud firmadelt nagu QuillAudits. Kogenud ekspertide meeskonnaga katab QuillAudits protokolli kõik aspektid turvalisuse seisukohast ega jäta midagi juhuse hooleks. See on üks olulisemaid parameetreid, mis määrab mis tahes protokolli edu. Auditeerimisega saavutab protokoll kasutajate usalduse, avaldades tunnustatud ettevõtte auditiaruande.

märgid

See on protokolli kõige väärtuslikum osa. Meie protokoll keerleb selle ümber; proovime žetoone ühest ahelast teise üle kanda, kuid žetoonide käsitlemine on keerulisem. Näete, süsteemil võib olla palju turvaauke, eriti kui räägime põletamisest/vermimisest.

Üks huvitav asi on see, et mõnel juhul on teie ühe ahela märgikogum ohus. Arvake ära, mis saab teise keti varaga? Teise ahela vara on tagamata ja seda ei saa arvesse võtta, mis võib muuta need väärtusetuks.

Validaatorid/konsensus

Konsensus kujutab endast plokiahela võrgustiku alust. Kuigi Ethereum ja teised teadaolevad ketid on teadaolevalt turvalised ja testitud, võib probleem tekkida, kui loote silla mõne teise mitte testitud keti jaoks.

Probleem ei ole ainult ohustatud žetoonides. See võib viia teie žetoonide kahjustamiseni teises sillatud ahelas. Teine kett peaks olema usaldusväärse silla loomiseks usaldusväärne. See tõstab ka ründepinda ja annab häkkeritele ruumi turvaaukude jahtimiseks.

Multisigs

Mõned 2022. aasta kõige kahjulikumad rünnakud sildadele olid peamiselt selle osa tõttu. Nii et see on silla turvalisuse kuum teema. Silda juhib tõenäoliselt üks või mitu multisigit, mis on rahakotid, mis nõuavad enne tehingu sooritamist mitme isiku allkirjastamist.

Multisigid lisavad täiendava turvakihi, kuna ei piira volitusi ühele allkirjastajale, vaid annavad hääletamisõigused erinevatele allkirjastajatele. Need multisigid võimaldavad ka sildlepinguid uuendada või peatada.

Kuid need ei ole lollikindel. Sellel on palju turvalisusega seotud aspekte. Üks neist on lepingulised ärakasutamine, multisigid rakendatakse nutikate lepingutena ja seega potentsiaalselt haavatavad ärakasutamise suhtes. Paljusid multisigi lepinguid on juba pikka aega testitud ja need on hästi läinud, kuid lepingud on siiski lisaründepind.

Protokolli turvalisuse osas on üks peamisi tegureid inimlik eksitus ning allkirjastajad on samuti inimesed või kontod; seega võivad need sattuda ohtu, mille tulemuseks on protokolli kahjustamine. Iga üksikisikut, kes on multisig-rahakotis allkirjastanud, tuleb usaldada, et ta ei oleks muidugi vastane, vaid peab usaldama ka turvatavade järgimist, kuna nende turvalisus on ülioluline protokolli ohutuse tagamiseks.

Järeldus

Sillad järgivad keerulist mehhanismi ja rakendamist. See keerukus võib avada palju uksi haavatavustele ja lubada häkkeritel protokolli rikkuda. Protokolli kaitsmiseks saab võtta palju meetmeid, ainult mõnda neist on eespool käsitletud, kuid miski ei ületa auditeerimisteenuseid.

Auditeerimisteenused pakuvad protokolli turvalisuse seisukohast parimat ülevaadet ja analüüsi. See võib aidata protokollidel suurendada kasutajate populaarsust ja usaldust ning kaitsta end rünnakute eest. Seega on kahjude vältimiseks alati soovitatav teha audit enne reaalajas käivitamist. QuillAudits on mängus olnud pikka aega ja teinud endale tõeliselt hea nime, vaadake veebisaiti ja liikuge läbi informatiivsemate ajaveebi.

6 views

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
• Allikas: https://blog.quillhash.com/2023/04/07/part-2-bridging-the-blockchain-creating-a-secure-blockchain-bridge/