CertiK独家:解构Cosmos生态安全,助力Web3.0星际之旅
세계에서 가장 크고 잘 알려진 블록체인 생태계 중 하나인 코스모스 생태계는 블록체인 상호 운용성을 개선하고 서로 다른 블록체인 간의 효율적인 상호 운용성을 달성하는 데 중점을 둡니다. Cosmos는 개발자에게 모듈형 Cosmos SDK를 제공하여 개발자가 특정 애플리케이션 전용 블록체인을 신속하게 구축할 수 있도록 지원하며, 널리 알려진 dYdX V4를 포함한 많은 애플리케이션이 이를 기반으로 구축됩니다. 따라서 코스모스 생태계의 보안 문제는 종종 광범위한 영향을 미칩니다. 예를 들어, Cosmos SDK에서 발생한 Dragonfruit 취약점은 여러 주류 퍼블릭 체인의 정상적인 작동에 영향을 미쳐 체인 개발자가 취약점 복구 조치를 취하기 위해 체인의 정상적인 작동을 중단해야 했습니다. CertiK 연구팀이 공개한 코스모스 생태계 보안 가이드는 코스모스 생태계 핵심 구성요소의 보안 현황을 종합적으로 분석하고, 기존에 발견된 보안 취약점을 정리, 분류하고, 코스모스 생태계 개발자와 사용자를 위한 공통 취약점 모델과 감사 아이디어를 정리한 것이다. 코스모스 생태계와 전체 블록체인 산업의 보안 수준을 향상시키기 위해 집중해야 할 보안 문제입니다.
코스모스 생태계의 기본 구성 요소가 분산되어 있기 때문에 체인 개발자는 다양한 기능 요구 사항에 따라 다양한 구성 요소를 사용하거나 확장해야 하므로 다양한 생태 보안 문제가 발생합니다. 본 보고서는 기존의 주요 보안 취약점을 분석한 것뿐만 아니라 몇 가지 일반적인 보안 취약점을 원인, 결과, 코드 위치 등에 따라 분류하여 코스모스 생태계 개발자에게 최대한의 보안 지침을 제공하기 위해 보안 매뉴얼 형식으로 구성하였습니다. 관련 보안 감사관은 Cosmos 보안 문제를 학습하고 감사할 수 있는 방법을 제공합니다.
현재 코스모스 생태계에서 개발자들이 가장 많이 사용하는 기본 컴포넌트는 코스모스 SDK와 IBC 프로토콜(The Inter-Blockchain Communication Protocol)이며, 이 두 컴포넌트는 개발자들이 코스모스의 로직을 확장하고 추가하기 위해 가장 많이 사용하는 컴포넌트이기도 합니다. 체인 그 자체.
Cosmos SDK의 경우 위험 정도와 영향 범위를 고려하여 주로 다음과 같은 위험을 일으킬 수 있는 중요 및 주요 보안 취약점에 중점을 둡니다.
1. 체인이 작동을 멈춥니다.
2. 자금 손실
3. 시스템 상태 또는 정상 작동에 영향을 미칩니다.
이러한 위험의 원인은 대개 다음과 같은 유형의 보안 취약점입니다.
1. 서비스 거부
2. 잘못된 상태 설정
3. 인증이 누락되었거나 불합리한 경우
4. 고유성 문제
5. 합의 알고리즘 문제
6. 구현의 논리적 허점
7. 언어 특성 문제
IBC의 경우 일반적인 취약성 범주는 다음과 같습니다.
1. 취약점 명명
문자열 처리 취약점
바이트코드 처리 취약점
2. 전송 과정의 취약점
패킷 순서 취약점
패킷 시간 초과 취약점
패킷 인증 취약점
기타 패킷 취약점
3. 논리의 허점
상태 업데이트 취약점
투표 합의 등 취약점
그 외 논리 허점
4. 가스 소비 취약성
코스모스의 보안 문제는 다양하지만, 긍정적인 관점에서 볼 때 코스모스 생태계와 관련된 개발 프로세스는 점차 표준화되어 관련 보안 대상과 공격 입구가 더욱 확실해지며 코스모스 생태 보안 감사자에게 체인에 대한 감사 아이디어를 제공합니다. 보다 명확한 프레임워크를 제공합니다. 『코스모스 생태계 보안 가이드』는 코스모스 생태계의 보안 향상이라는 비전을 가지고 이러한 보안 시나리오를 자세히 분석하고 있으며, 자세한 내용은 연구 보고서를 다운로드하여 읽어보실 수 있습니다.
CertiK 팀은 지속적인 연구와 발굴을 통해 Cosmos 및 전체 Web3 생태계의 보안 향상에 도움을 주기 위해 노력해 왔으며 정기적으로 다양한 프로젝트 보안 보고서 및 기술 연구를 발표할 예정입니다. 질문이 있으시면 언제든지 저희에게 연락하실 수 있습니다.
전체 보고서를 읽고 다운로드하세요:https://indd.adobe.com/view/91035407-4f21-4383-9485-a56394d9f95f
