บทความนี้กล่าวถึงกลไกการรักษาความปลอดภัยของ 5 ข้อความข้ามโครงการ

ผู้เขียน: Ailsa

ความเจริญรุ่งเรืองของระบบนิเวศแบบหลายห่วงโซ่ได้ให้กำเนิดความต้องการของผู้ใช้สำหรับข้ามห่วงโซ่ ปฏิสัมพันธ์ข้ามสายระหว่างสายโซ่เพิ่มขึ้นทุกวัน แต่ในขณะเดียวกันก็ได้ยินเหตุการณ์ด้านความปลอดภัยข้ามสายโซ่บ่อยครั้ง และการรักษาความปลอดภัยข้ามสายโซ่ก็กลายเป็นจุดสนใจของตลาด ตาม "รายงานสถานการณ์ความปลอดภัย Blockchain Global Web3 ปี 2022 และบทสรุปนโยบายการกำกับดูแลอุตสาหกรรมการเข้ารหัส" ที่ออกร่วมกันโดย Chengdu Lianan และบริษัทอื่นๆ การสูญเสียทั้งหมดที่เกิดจากการโจมตีต่างๆ ในด้าน Web3 ในปี 2022 จะสูงถึง 3.6 พันล้านดอลลาร์สหรัฐ ซึ่งข้าม- ความปลอดภัยของแอปพลิเคชันลูกโซ่ ความสูญเสียที่เกิดจากเหตุการณ์คิดเป็น 52.5% ซึ่งอยู่ในอันดับแรกของประเภทโครงการทั้งหมด

คำอธิบายภาพ

รูปที่ 1 10 อันดับโปรเจกต์ข้ามเครือข่ายตามจำนวนการสูญเสีย

โดยปกติแล้ว โครงการข้ามสายโซ่จะนำสินทรัพย์จำนวนมากมารวมกัน และ TVL (Total Value Locked) ของพวกเขานั้นมากเกินกว่าโปรโตคอลบล็อกเชนทั่วไป ซึ่งทำให้โครงการข้ามสายกลายเป็นตัวเลือกแรกสำหรับแฮ็กเกอร์ได้อย่างง่ายดาย การรักษาความปลอดภัยข้ามสายโซ่มีความสำคัญยิ่ง

การรักษาความปลอดภัยไม่เพียงแต่มาจากการรักษาความปลอดภัยที่มาจากโซลูชันข้ามสายโซ่เท่านั้น แต่ยังฝังรากอยู่ในนโยบายการรักษาความปลอดภัยที่ออกแบบโดยผู้มีอำนาจตัดสินใจโครงการเพื่อป้องกันและป้องกันวิกฤตการรักษาความปลอดภัย

ความต้องการของตลาดในปัจจุบันสำหรับ cross-chain เป็นส่วนใหญ่สำหรับสินทรัพย์ดิจิทัล แต่ cross-chain ไม่ได้จำกัดอยู่เพียงการถ่ายโอนและการแลกเปลี่ยนสินทรัพย์ Chain ได้รับการพัฒนาเพื่อส่งข้อความ cross-chain และ function cross-chain จาก cross-chain ประเภทเดียว ของข้อมูลไปยัง cross-chain ของข้อมูลทั่วไป

ชื่อระดับแรก

1. ความปลอดภัยมาจากโซลูชั่นข้ามสายโซ่

เทคโนโลยี Cross-chain ส่วนใหญ่แก้ปัญหาที่ไม่สามารถแลกเปลี่ยนสินทรัพย์หรือข้อมูลระหว่างบล็อกเชนต่างๆ กระบวนการ cross-chain ประกอบด้วยธุรกรรม blockchain ที่แตกต่างกันหลายรายการซึ่งทำงานบนระบบ blockchain ที่แตกต่างกัน เนื่องจากความแตกต่างในกลไกและกฎที่สอดคล้องกันระหว่าง chain ต่างๆ ในกระบวนการ cross-chain จึงจำเป็นต้องตรวจสอบเนื้อหาเพื่อให้แน่ใจว่า ความปลอดภัยของกระบวนการข้ามสายโซ่

ชื่อเรื่องรอง

1.Axelar

คำอธิบายภาพ

รูปที่ 2 Axelar Technology Stack Diagram

เครือข่าย Axelar เองเป็นบล็อกเชน L1 ตามฉันทามติของ PoS Axelar ประกอบด้วยตัวตรวจสอบความถูกต้องของเครือข่ายแบบกระจายศูนย์, สัญญาเกตเวย์ความปลอดภัย, การแปลแบบรวม, สถาปัตยกรรมการกำหนดเส้นทางและชุดอินเทอร์เฟซการเขียนโปรแกรม (API) สำหรับโปรโตคอลและแอปพลิเคชัน

Axelar รันโหนดของเชนต่างๆ ผ่านตัวตรวจสอบความถูกต้องเพื่อรับและซิงโครไนซ์ข้อมูลสถานะในแต่ละระบบบล็อกเชน Validator ได้รับเลือกจากผู้ถือ Token และมีสิทธิ์ออกเสียงตามสัดส่วน น้ำหนักการลงคะแนนจะคำนวณโดยการถ่วงน้ำหนักของสิทธิ์และผลประโยชน์ที่ได้รับมอบหมาย ขณะนี้มีผู้ตรวจสอบความถูกต้องที่ใช้งานอยู่ 70 คนบนเครือข่าย Axelar และต้องได้รับคะแนนเสียงส่วนใหญ่มากกว่า 66.67% จึงจะเซ็นข้อความได้

ชื่อเรื่องรอง

2.Celer IM

Celer IM เป็นเครื่องมือและโครงสร้างพื้นฐานที่มุ่งเน้นสำหรับนักพัฒนาของ Celer Network และ cBridge ถือได้ว่าเป็นแอสเซทบริดจ์ที่สร้างขึ้นบน Celer IM

Celer ได้ตั้งค่าการรักษาความปลอดภัยสองเท่าสำหรับผู้ใช้ทั้งหมด

อย่างแรกคือความปลอดภัยของ cBridge รับประกันโดย State Guardian Network (เรียกสั้นๆ ว่า SGN) SGN เป็นบล็อกเชน PoS ที่อิงจาก Tendermint ผลิตภัณฑ์อื่นๆ ของ Celer Network รวมถึง cBridge และ Celer IM ใช้การรักษาความปลอดภัย PoS ของ SGN อย่างสูง การยืนยันที่รวดเร็วและคุณสมบัติต้นทุนต่ำในการทำธุรกรรมข้ามสาย

SGN มีผู้ตรวจสอบ 21 คน และข้อความต้องได้รับการอนุมัติจากผู้ตรวจสอบ 2/3 คน ผู้ตรวจสอบที่ต้องการเป็น SGN จำเป็นต้องเดิมพันโทเค็น CELER นอกจากนี้ Axelar ยังได้ตั้งค่ากลไกการจำนำและการตัดเฉือน หากการตรวจสอบล้มเหลวหรือได้รับความเสียหายโดยเจตนาจะมีความเสี่ยงที่จะถูกยึด ยิ่งมี CELR ให้คำมั่นสัญญามากเท่าใดเครือข่ายก็จะปลอดภัยมากขึ้นเท่านั้น

ปัจจุบัน Celer State Guardian Network 2.0 ได้รับการอัปเกรดเรียบร้อยแล้ว เมื่อเทียบกับ SGN 1.0 แล้ว SGN 2.0 มุ่งเน้นไปที่การเพิ่มประสิทธิภาพความสามารถในการจับมูลค่าจากการทำธุรกรรม: สำหรับ cBridge มูลค่าที่บันทึกโดย SGN จะขึ้นอยู่กับขนาดของแต่ละธุรกรรมที่ดำเนินการในโหมดกองทุนรวม cBridge สำหรับ Celer IM การจับมูลค่าคือ ขึ้นอยู่กับขนาดของข้อความข้ามสายโซ่

ชื่อเรื่องรอง

3.Layerzero

คำอธิบายภาพ

รูปที่ 3 กระบวนการสื่อสาร Layerzero (ที่มา: กระดาษขาว Layerzero)

ชื่อเรื่องรอง

4.Multichain anyCall

Multichain เดิมชื่อ Anyswap เป็นโครงสร้างพื้นฐานที่มุ่งเน้นไปที่การติดตามข้ามสายโซ่ และมุ่งมั่นที่จะเป็นเราเตอร์ที่ดีที่สุดสำหรับ Web 3 anyCall เป็นโปรโตคอลการโต้ตอบข้ามเชนแบบข้อความที่ครอบคลุมรุ่นใหม่ที่แยกส่วนโดย Multichain ตามผลิตภัณฑ์ Bridge และ Router

โซลูชันเทคโนโลยีข้ามเชนของ Multichain ใช้โซลูชัน Secure Multi-party Computation (SMPC) ด้วยเทคโนโลยีการแบ่งกลุ่มคีย์ที่ไม่เหมือนใคร การแบ่งกลุ่มคีย์จะกระจายไปตามโหนดต่างๆ และแต่ละโหนดจะเป็นเจ้าของส่วนหนึ่งของคีย์ส่วนตัวและคีย์ส่วนตัวที่สมบูรณ์ ไม่ปรากฏตลอดวงจรชีวิตของเครือข่าย MPC ผ่านการประมวลผลหลายฝ่ายที่ปลอดภัยของ SMPC + เทคโนโลยีลายเซ็นขีดจำกัด TSS รับประกันกระบวนการทั้งหมดของการสร้างคีย์ การจัดเก็บ และการตรวจสอบ และในการรับประกันความปลอดภัยนี้ขึ้นอยู่กับการทำงานร่วมกันระหว่างโหนด .

คำอธิบายภาพ

รูปที่ 4 สถาปัตยกรรมทางเทคนิคของ anyCall (เอกสารไวท์เปเปอร์ของ anyCall)

เครื่องวางใจแบบกระจายอำนาจ fastMPC พื้นฐานช่วยให้มั่นใจถึงลักษณะการกระจายอำนาจของโปรโตคอลการโต้ตอบข้ามสายโซ่ที่ครอบคลุมของ anyCall ปัจจุบันเครือข่าย Multichain ประกอบด้วย 21 โหนด ดำเนินการโดยสถาบันต่างๆ และต้องใช้โหนดส่วนใหญ่เพื่อร่วมกันตรวจสอบข้อความ ความปลอดภัยของ Multichain ขึ้นอยู่กับชื่อเสียงของโหนด สมาชิกโหนด SMPC ไม่จำเป็นต้องจำนำและค่อนข้างตายตัว ความปลอดภัยของ AnyCall ขึ้นอยู่กับสมมติฐานของความไว้วางใจในโหนด SMPC

ชื่อเรื่องรอง

5.Wormhole

คำอธิบายภาพ

รูปที่ 5 ความปลอดภัยที่มาจากโซลูชั่นข้ามสายโซ่

ชื่อระดับแรก

2. นโยบายการตอบสนองเหตุการณ์ด้านความปลอดภัย

โซลูชันข้ามสายของโครงการข้ามสายไม่ได้หมายความว่าสามารถหลีกเลี่ยงความเสี่ยงทั้งหมดได้ และจำเป็นต้องเพิ่มนโยบายความปลอดภัยอื่น ๆ เพื่อป้องกันและตอบสนองต่อความเสี่ยงด้านความปลอดภัยอย่างจริงจัง การออกแบบนโยบายความปลอดภัยสามารถให้การรับประกันความปลอดภัยที่แข็งแกร่งยิ่งขึ้นแก่ผู้ใช้ และนโยบายความปลอดภัยควรดำเนินการก่อน ระหว่าง และหลังเกิดเหตุการณ์ด้านความปลอดภัย

ก่อนเหตุการณ์ด้านความปลอดภัย: อาจมีความเสี่ยงด้านความปลอดภัยในโครงการในขั้นตอนนี้ แต่ยังไม่ถูกค้นพบหรือใช้ประโยชน์ โครงการดำเนินการรักษาความปลอดภัยของโครงการตามนโยบายรักษาความปลอดภัยที่กำหนดไว้ล่วงหน้า

เหตุการณ์ด้านความปลอดภัยกำลังเกิดขึ้น: เหตุการณ์ด้านความปลอดภัยกำลังเกิดขึ้นในขั้นตอนนี้แต่ฝ่ายโครงการอาจไม่ทราบ สิ่งสำคัญคือต้องใช้มาตรการเพื่อให้โครงการค้นพบเหตุการณ์ด้านความปลอดภัยในเวลาที่เหมาะสม

ชื่อเรื่องรอง

1.Axelar

นโยบายการตอบสนองเหตุการณ์ด้านความปลอดภัยของ Axelar เน้นไปที่เหตุการณ์ด้านความปลอดภัยก่อนที่จะเกิดขึ้นเป็นหลัก มาตรการหลัก ได้แก่ การดำเนินการตรวจสอบความปลอดภัย การเปิดใช้งาน bug bounties การหมุนเวียนคีย์บ่อยครั้ง และการจำกัดอัตรา

(1) การตรวจสอบความปลอดภัย ในปัจจุบัน ความครอบคลุมการตรวจสอบความปลอดภัยของ Axelar ครอบคลุมโปรโตคอลหลัก สัญญาอัจฉริยะ ไลบรารีการเข้ารหัส โค้ดส่วนหน้าและส่วนหลัง เป็นต้น ตั้งแต่เดือนสิงหาคม 2564 ถึงสิงหาคม 2565 Axelar ได้ทำการตรวจสอบมากกว่า 27 รายการ และหน่วยงานตรวจสอบรวมถึง Ackee Blockchain , Chaintroopers , Certik เป็นต้น ดูรายละเอียดhttps://github.com/axelarnetwork/audits。

(2) ค่าหัวแมลง เริ่มตั้งแต่วันที่ 10 มีนาคม 2022 ความร่วมมือระหว่าง Axelar และ Immunefi ได้จัดตั้งโปรแกรมรางวัลมูลค่าสูงสุด 2.25 ล้านดอลลาร์สหรัฐ ดูhttps://immunefi.com/bounty/axelarnetwork/. Axelar ยังชี้แจงวิธีการส่งช่องโหว่ในเอกสารทางการ แต่โดยส่งไปยังsecurity@axelar.networkช่องโหว่ Axelar ระบุไว้อย่างชัดเจนว่ารางวัลสูงสุดคือ $100 สำหรับรายละเอียด โปรดดูที่https://docs.axelar.dev/bug-bounty。

(3) การหมุนปุ่มบ่อยๆ ผู้โจมตีอาจพยายามรวบรวมคีย์ที่เป็นอันตรายโดยการประนีประนอมกับตัวตรวจสอบความถูกต้อง การหมุนเวียนคีย์สามารถปกป้องเครือข่าย Axelar จากผู้โจมตีอย่างต่อเนื่อง

ชื่อเรื่องรอง

2.Celer Network

นโยบายการตอบสนองเหตุการณ์ด้านความปลอดภัยของ Celer Network มุ่งเน้นไปที่เหตุการณ์ก่อนและระหว่างเหตุการณ์ด้านความปลอดภัย

มาตรการหลักของ Celer ก่อนเกิดเหตุการณ์ด้านความปลอดภัย ได้แก่ การดำเนินการตรวจสอบความปลอดภัย การเปิดใช้ Bug Bounty สร้างระบบควบคุมความเสี่ยง การจำกัดทราฟฟิกเลเยอร์ของแอปพลิเคชัน การตรวจสอบตลอด 24 ชั่วโมง และการตรวจสอบส่วนหน้าและ DNS ที่ใช้งานอยู่

(1) การตรวจสอบความปลอดภัย สำหรับ Cbridge นั้น Celer ดำเนินการตรวจสอบเพียง 3 ครั้งเท่านั้น และหน่วยงานตรวจสอบร่วม ได้แก่ CertiK, PeckShield และ SlowMist ดูรายละเอียดhttps://cbridge-docs.celer.network/reference/audit-reports สำหรับเซเลอร์IM ปัจจุบัน Celer มีการตรวจสอบ 2 ครั้งกับ PeckShield และ SlowMist ดูรายละเอียดhttps://im-docs.celer.network/audit-reports。

(2) ค่าหัวแมลง ตั้งแต่วันที่ 18 พฤศจิกายน 2021 Celer ได้ร่วมมือกับ Immunefi เพื่อจัดตั้งโปรแกรมรางวัลสูงถึง 2 ล้านดอลลาร์ ดูรายละเอียดhttps://immunefi.com/bounty/celer/。

(3) สร้างระบบควบคุมความเสี่ยง สภาพคล่องโดยรวม ข้อมูลสินทรัพย์ และการเปลี่ยนแปลงของสะพานสามารถตรวจสอบได้ผ่านระบบควบคุมลม

(4) ฟังก์ชันจำกัดกระแส อุปสรรคด้านความปลอดภัยที่กำหนดโดย Celer ที่ชั้นแอปพลิเคชันทำให้ไม่สามารถเกินเกณฑ์ที่กำหนดต่อหน่วยเวลา และหากเกิน การส่งมอบเวลาจะถูกเลื่อนออกไป

(5) กลไกการติดตามตลอด 24 ชั่วโมง ปัญหาที่น่าสงสัยสามารถพบได้ในครั้งแรก

(6) การตรวจสอบส่วนหน้าเชิงรุกและการตรวจสอบความสมบูรณ์ของ DNS นี่เป็นคุณสมบัติที่ Celer เพิ่มเพื่อตอบสนองต่อการโจมตีที่เกิดขึ้นในเดือนสิงหาคม 2565 เพื่อป้องกันไม่ให้เหตุการณ์ในลักษณะเดียวกันนี้เกิดขึ้นอีก

ชื่อเรื่องรองhttps://mp.weixin.qq.com/s/SInU_o 3 Ct-7 A 6 pFbKLqzHQ。

3.Layerzero

นโยบายการตอบสนองเหตุการณ์ด้านความปลอดภัยของ Layerzero ส่วนใหญ่เน้นที่เหตุการณ์ด้านความปลอดภัยก่อนที่จะเกิดขึ้น และมาตรการหลัก ได้แก่ การดำเนินการตรวจสอบความปลอดภัยและการเปิดรางวัลบั๊ก

(1) การตรวจสอบความปลอดภัย LayerZero Labs ระบุว่าได้ดำเนินการตรวจสอบมากกว่า 35 ครั้ง แต่ LayerZero ค่อนข้างคลุมเครือในแง่ของการติดตั้งโค้ดและเนื้อหาการตรวจสอบความปลอดภัยไม่สามารถสอบถามแบบสาธารณะบน Github ได้ สำหรับรายละเอียด โปรดดูที่https://github.com/LayerZero-Labs/Audits。

(2) ค่าหัวแมลง ในเอกสาร Layerero อย่างเป็นทางการ มีการระบุว่าจะมีการจัดตั้งโปรแกรมรางวัลบั๊กแบบเรียลไทม์พร้อมรางวัลสูงสุด 15 ล้านดอลลาร์สหรัฐ และที่อยู่สำหรับส่งรายงานจะได้รับ ดูรายละเอียดhttps://layerzero.gitbook.io/docs/bug-bounty/bug-bounty-program。

ชื่อเรื่องรอง

4.Multichain

ในเดือนสิงหาคม 2022 อัลกอริทึม Multichain และเจ้าหน้าที่รักษาความปลอดภัย X Chang ได้กล่าวถึงกลยุทธ์ความปลอดภัยของ Multichain อย่างชัดเจนในบล็อกทางการของเขา โดยแบ่งเวลาของการแฮ็กออกเป็นสามขั้นตอน ได้แก่ ก่อนการเกิดขึ้น เมื่อเกิดขึ้น และหลังจากเกิดขึ้น และแต่ละขั้นตอนมีความสอดคล้องกัน ขั้นตอนและกลยุทธ์การเผชิญปัญหา

มาตรการรักษาความปลอดภัยก่อนเกิดเหตุการณ์ด้านความปลอดภัย ได้แก่ การตรวจสอบบริษัทด้านความปลอดภัยและการตรวจสอบภายในของนักพัฒนาซอฟต์แวร์ การเปิดรางวัลบั๊ก การตรวจสอบความเห็นสาธารณะเกี่ยวกับเหตุการณ์ด้านความปลอดภัย ขีดจำกัดจำนวนเงินข้ามสายโซ่ และการไหลของเงินทุนในห่วงโซ่และขีดจำกัดจำนวนเงินทั้งหมด

(1) การตรวจสอบทั้งบริษัทและการตรวจสอบนักพัฒนาภายใน จนถึงตอนนี้ Multichain ได้ดำเนินการตรวจสอบภายนอกจำนวนมาก พันธมิตรการตรวจสอบภายนอก ได้แก่ BlockSec, Certik, Dedaub, PeckShield, SlowMist, TrailofBits, Verichain และสถาบันที่มีชื่อเสียงอื่นๆ อีกมากมาย AnyCall, Router V 7, VeMulti, Multichain V 6, Threshold-DSA, V 5 ERC 20, Cross Chain-Bridge และผลิตภัณฑ์อื่นๆ ที่เปิดตัวโดย Multichain ล้วนผ่านการตรวจสอบจากภายนอกอย่างเข้มงวด ดูรายละเอียดhttps://github.com/anyswap/Anyswap-Audit/ ในขณะเดียวกัน ทีมงาน Multichain ได้จัดให้มีการประชุมตรวจสอบภายในเป็นระยะๆ อย่างน้อยเดือนละครั้ง

(2) ค่าหัวแมลง Multichain รันโปรแกรมจับข้อบกพร่อง 2 โปรแกรม โปรแกรมแรกคือตั้งแต่วันที่ 16 มีนาคม 2022 Multichain ได้สร้างความร่วมมืออย่างเป็นทางการกับ Immunefi โดยตั้งค่าโปรแกรมรางวัลมูลค่าสูงสุด 2 ล้านดอลลาร์สหรัฐและจากการวิเคราะห์เฉพาะของความรุนแรงของ ข้อบกพร่องที่ส่งมา รางวัลไม่มีขีดจำกัดบนทองคำ ดูรายละเอียดhttps://immunefi.com/bounty/multichain/. นอกจากนี้ Multichain ยังมีโปรแกรม Bug Bounty ซึ่งเป็นทางเลือก Multichainรางวัลสูงถึง 1 ล้านดอลลาร์จะมอบให้สำหรับการค้นพบช่องโหว่ที่มีคุณสมบัติตามที่กำหนด ดูรายละเอียดhttps://docs.multichain.org/getting-started/security/bug-bounty-alternative。

(3) การติดตามความคิดเห็นของประชาชนเกี่ยวกับเหตุการณ์ความมั่นคง ด้วยการตั้งค่าคำหลักเพื่อตรวจสอบความคิดเห็นสาธารณะบนแพลตฟอร์มสื่อหลัก เราหวังว่าจะได้รับเหตุการณ์ด้านความปลอดภัยล่าสุดในอุตสาหกรรมโดยเร็วที่สุด ดึงข้อสรุปจากตัวอย่างเดียว พิจารณาว่ามีปัญหาที่คล้ายกันในผลิตภัณฑ์ Multichain หรือไม่ และตอบสนองต่อเหตุการณ์ใน อย่างทันท่วงที

(4) วงเงินข้ามสายโซ่และกระแสเงินทุนลูกโซ่และวงเงินรวม สำหรับการทำธุรกรรมข้ามเครือข่ายของเงินจำนวนมาก แพลตฟอร์มจะใช้กฎของการล่าช้าในการมาถึงของเงิน สำหรับห่วงโซ่ที่พัฒนาขึ้นใหม่หรือห่วงโซ่ที่มีระดับความปลอดภัยต่ำกว่าเล็กน้อย ภายในระยะเวลาหนึ่ง จำนวนรวมของการข้ามเข้าหรือออกจะถูกจำกัดภายในช่วงที่กำหนด

มาตรการรักษาความปลอดภัยในกรณีที่เกิดเหตุการณ์ด้านความปลอดภัย ได้แก่ การตรวจสอบความผิดปกติในห่วงโซ่และระดมพลังของชุมชนและ DAO เพื่อตอบรับพฤติกรรมที่ผิดปกติของผลิตภัณฑ์แพลตฟอร์ม

(1) การตรวจสอบสภาวะผิดปกติบนโซ่ ด้วยการตั้งค่าชุดกลยุทธ์การตรวจสอบบนเครือข่าย Watchdogs เราหวังว่าจะสามารถตรวจจับความผิดปกติของข้อมูลได้อย่างทันท่วงที

(2) ระดมพลังของชุมชนและ DAO และแสดงความคิดเห็นเกี่ยวกับพฤติกรรมที่ผิดปกติของผลิตภัณฑ์แพลตฟอร์ม กระจายพลังของผู้ใช้ชุมชนและ DAO เพื่อให้ข้อเสนอแนะเกี่ยวกับสถานการณ์ที่ผิดปกติของผลิตภัณฑ์ Multichain และทีมงานจะทำมาตรการตอบสนองอย่างทันท่วงทีหลังจากวิเคราะห์การตรวจสอบพฤติกรรมที่ผิดปกติ

มาตรการรักษาความปลอดภัยหลังจากเหตุการณ์ด้านความปลอดภัยรวมถึงการระงับผลิตภัณฑ์แพลตฟอร์มที่เกี่ยวข้องทั้งหมดและกองทุนความปลอดภัยที่ครอบคลุมความเสี่ยงด้านสินทรัพย์ของผู้ใช้

(1) ระงับผลิตภัณฑ์แพลตฟอร์มที่เกี่ยวข้องทั้งหมด หลังจากทราบการมีอยู่ของช่องโหว่ในครั้งแรก ให้ปิดผลิตภัณฑ์อย่างทันท่วงทีและมีประสิทธิภาพ

ชื่อเรื่องรองhttps://medium.com/multichainorg/detailed-disclosure-of-multichain-security-policy-bde 0397 accf 5 。

5.Wormhole

นโยบายการตอบสนองเหตุการณ์ด้านความปลอดภัยของ Wormhole มุ่งเน้นไปที่เหตุการณ์ก่อนและหลังเหตุการณ์ความปลอดภัยเป็นหลัก มาตรการรักษาความปลอดภัยก่อนเกิดเหตุการณ์ด้านความปลอดภัย ได้แก่ การตรวจสอบความปลอดภัย การเปิดใช้งานข้อผิดพลาด การตรวจสอบสื่อสังคมออนไลน์ การกำหนดนโยบายการตรวจสอบที่แตกต่างกัน และการเปิดตัวฟังก์ชั่น Governor

(1) การตรวจสอบความปลอดภัย Wormhole ยังให้ความสำคัญกับการตรวจสอบความปลอดภัยเป็นอย่างมาก และได้ร่วมมือกับ Certik, Coinspect, Hacken, Halborn, Kudelski, Neodyme, OtterSec, Trail of Bits และ Zellic ในการตรวจสอบความปลอดภัย ดูรายละเอียดhttps://medium.com/@wormholecrypto/wormhole-security-program-end-of-year-update-212116 ecfb 91 。

(2) ค่าหัวแมลง โปรเจ็กต์ Wormhole ยังรันโปรแกรมรางวัลบั๊ก 2 โปรแกรม โปรแกรมแรกพร้อม Immunefi เริ่มตั้งแต่วันที่ 11 กุมภาพันธ์ 2022 ด้วยโปรแกรมรางวัลสูงสุด 2.5 ล้านดอลลาร์ ดูรายละเอียดhttps://immunefi.com/bounty/wormhole/. นอกจากนี้ คุณยังสามารถเรียกดูข้อมูลที่เกี่ยวข้องและส่งรายงานบนเว็บไซต์ทางการได้ ดู https://wormhole.com/bounty/ สำหรับรายละเอียด นอกจากนี้ Wormhole ยังมีการใช้รายการกลยุทธ์ของ Wormhole ซึ่งสามารถลดเกณฑ์สำหรับแฮ็กเกอร์หมวกขาวในการค้นหาช่องโหว่ด้านความปลอดภัยใน Wormhole

(3) การตรวจสอบสื่อสังคมออนไลน์ Wormhole รักษาโปรแกรมตรวจสอบโซเชียลมีเดียเพื่อให้โครงการ Wormhole ได้รับแจ้งเกี่ยวกับช่องโหว่ในการอ้างอิงที่อาจส่งผลเสียต่อ Wormhole ผู้ใช้หรือเครือข่าย Wormhole ที่เชื่อมต่ออยู่

(4) กำหนดกลยุทธ์การตรวจสอบที่แตกต่างกัน Wormhole กำหนดนโยบายการตรวจสอบที่แตกต่างกันใน Guardian ซึ่งเพิ่มโอกาสในการตรวจจับกิจกรรมที่ฉ้อโกง Wormhole คาดหวังให้ Guardians ทุกคนพัฒนาและรักษากลยุทธ์การตรวจสอบความปลอดภัยของตนเอง

(5) แนะนำฟังก์ชั่น Governor เหตุผลหลักในการสร้างและปรับใช้คุณสมบัตินี้คือเพื่อช่วยป้องกันความเสี่ยงที่มีอยู่ของสัญญาอัจฉริยะหรือการบุกรุก L1 คุณลักษณะนี้ช่วยให้ Wormhole Guardians มีตัวเลือกในการจำกัดอัตราการไหลของมูลค่าเล็กน้อยของสินทรัพย์ที่ลงทะเบียนใดๆ ในแต่ละเชน

มาตรการรักษาความปลอดภัยของ Wormhole ในกรณีที่เกิดเหตุการณ์ด้านความปลอดภัยยังไม่ชัดเจน แต่การโจมตีของ Wormhole ในเดือนกุมภาพันธ์ 2565 เป็นช่องโหว่ที่ระบุโดยผู้สนับสนุนเครือข่าย Wormhole ซึ่งสังเกตเห็นความคลาดเคลื่อนของเงินคงค้างระหว่างการตรวจสอบตามปกติและเริ่มการสอบสวนทันที

มาตรการรักษาความปลอดภัยหลังจากเหตุการณ์ด้านความปลอดภัยรวมถึงการจัดตั้งกลไกตอบสนองเหตุการณ์และการระงับเหตุฉุกเฉิน

(1) กลไกการตอบสนองเหตุการณ์ Wormhole รักษาโปรแกรมตอบสนองเหตุการณ์เพื่อตอบสนองต่อช่องโหว่หรือภัยคุกคามที่ใช้งานอยู่ต่อ Wormhole ผู้ใช้ หรือระบบนิเวศที่เชื่อมต่อ

(2) หมดเวลาฉุกเฉิน โครงการ Wormhole ประเมินแนวคิดด้วยคุณสมบัติด้านความปลอดภัยที่อนุญาตให้สัญญาอัจฉริยะของ Wormhole ถูกระงับในช่วงวิกฤตที่มีอยู่โดยไม่ต้องอัปเกรดสัญญา

คำอธิบายภาพ

ชื่อระดับแรก

3. การสำรวจโซลูชันที่ไม่น่าเชื่อถือมากขึ้น

ในปัจจุบัน วิธีการตรวจสอบในตลาดข้ามเครือข่ายสามารถแบ่งออกได้เป็น 3 ประเภท ได้แก่ การตรวจสอบแบบเนทีฟ การตรวจสอบภายในเครื่อง และการตรวจสอบภายนอก วิธีการตรวจสอบทั้งสามประเภทนี้มีข้อจำกัดในตัวเอง และเป็นการยากที่จะรักษาสมดุลระหว่างความไม่ไว้วางใจ ความสามารถในการปรับขนาด และความอเนกประสงค์

แบบแผนการตรวจสอบภายนอกเป็นแบบแผนการประมวลผลข้ามเชนที่หลากหลายและปรับขนาดได้ ซึ่งสามารถรองรับแอปพลิเคชันข้ามเชนที่ซับซ้อนมากขึ้น Axelar, Celer Network, Layerzero, Multichain และ Wormhole ที่กล่าวถึงในบทความนี้ล้วนอยู่ในหมวดหมู่ของ External Verifiers พวกเขาสามารถทำการตรวจสอบให้เสร็จสมบูรณ์ภายใต้ห่วงโซ่, มีความสามารถในการขยายขนาดได้สูง, สามารถครอบคลุมบล็อกเชนที่มีสถาปัตยกรรมทางเทคนิคที่แตกต่างกัน, และสามารถรับรู้ทั่วไป ข้อความข้ามสาย อย่างไรก็ตาม เนื่องจากผู้ใช้ต้องเชื่อถือเครือข่ายรีเลย์ที่ประกอบด้วยกลุ่มของโหนดภายนอก การรักษาความปลอดภัยจึงอ่อนแอกว่าการพิสูจน์ตัวตนแบบโลคัลที่ไม่ไว้วางใจและแบบแผนการพิสูจน์ตัวตนแบบเนทีฟ

การออกแบบสะพานข้ามโซ่ที่ปลอดภัยที่สุดควรลดความไว้วางใจให้เหลือน้อยที่สุด อย่างไรก็ตาม รูปแบบการตรวจสอบเนทีฟที่มีอยู่ในตลาด เช่น Hop และ Connext นั้นมีความสามารถรอบด้านต่ำและไม่เหมาะสำหรับข้อความข้ามเชนทั่วไป รูปแบบการตรวจสอบเนทีฟ เช่น Cosmos IBC และ Polkadot XCMP มีความสามารถในการปรับขนาดที่อ่อนแอและเหมาะสำหรับไอโซมอร์ฟิคมากกว่า บล็อกเชน เป็นเรื่องยากที่จะเข้ากันได้กับเชนต่าง ๆ เช่น Ethereum และ Solana

เทคโนโลยี ZKP นำเสนอเส้นทางใหม่สำหรับการสื่อสารข้ามสายที่ปลอดภัย การดำเนินการข้ามสายโซ่ของ ZKP มีข้อดีของความไม่ไว้วางใจ ความเก่งกาจที่แข็งแกร่ง และต้นทุนต่ำ เมื่อเทียบกับโซลูชันข้ามเชนปัจจุบันที่บรรลุการสื่อสารข้ามเชนโดยไว้วางใจบุคคลที่สาม ZKP cross-chain ไม่ได้แนะนำสมมติฐานความน่าเชื่อถือใด ๆ ผู้ใช้จะต้องเชื่อถือฉันทามติของต้นทางและเป้าหมายของเชนเป้าหมายเท่านั้นซึ่งอยู่ในหมวดหมู่ ของแผนการตรวจสอบเนทีฟ ยิ่งไปกว่านั้น ZKP ยังลดความจำเป็นในการเรียกเก็บค่าธรรมเนียมก๊าซโดยสร้างการพิสูจน์ ZKP ที่รัดกุม เพื่อให้ห่วงโซ่เป้าหมายสามารถตรวจสอบการทำธุรกรรมของห่วงโซ่เป้าหมายได้อย่างมีประสิทธิภาพ และค่าใช้จ่ายในการตรวจสอบความถูกต้องของห่วงโซ่จะลดลง

คำอธิบายภาพ

รูปที่ 7 ZKP cross-chain โครงร่างใหม่

นอกจากนี้ จากข้อมูลที่เปิดเผยโดย Axelar, Celer, Layerzero, Multichain และ Wormhole และรวบรวมนโยบายการตอบสนองต่อเหตุการณ์ด้านความปลอดภัย คุณจะพบปัญหาต่อไปนี้

(1) โซลูชั่นที่เป็นนวัตกรรมนั้นหายากมาก Multichain จัดตั้งกองทุนรักษาความปลอดภัยเพื่อชดเชยผู้ใช้สำหรับความสูญเสียที่อาจเกิดขึ้นจากช่องโหว่ของระบบ Multichain และการบริการ โซลูชันการรักษาความปลอดภัยในลักษณะนี้มีลักษณะจากล่างขึ้นบนยังหาได้ยากในอุตสาหกรรม

(2) ไม่ใช่ทุกโครงการข้ามเครือข่ายที่ครอบคลุมนโยบายความปลอดภัยทั้งก่อน ระหว่าง และหลัง จากห้าโครงการที่เลือกในบทความนี้ มีเพียง Multichain เท่านั้นที่มีนโยบายความปลอดภัยที่ชัดเจนทั้งก่อนและหลัง

(3) กลไกการรับประกันความปลอดภัยยังไม่สมบูรณ์แบบ การเปิดช่องโหว่และการดำเนินการตรวจสอบความปลอดภัยเป็นการดำเนินการทั่วไปก่อนที่จะเกิดเหตุการณ์ด้านความปลอดภัย อย่างไรก็ตาม โครงการข้ามสายโซ่ขาดโซลูชันการตอบสนองด้านความปลอดภัยและกลไกการรักษาความปลอดภัยที่ครอบคลุมและครอบคลุม มาตรการ ความปลอดภัยที่เกี่ยวข้องมักถูกหยิบยกขึ้นมาหลังจากเหตุการณ์ด้านความปลอดภัยเกิดขึ้น และไม่มี มาตรฐานการรักษาความปลอดภัยที่สมบูรณ์และกระบวนการตอบสนองวิกฤตล่วงหน้า ตัวอย่างเช่น Wormhole และ Multichain ร่วมมือกับ Immunefi เพื่อเริ่มโปรแกรมรางวัลบั๊กหลังจากเหตุการณ์ด้านความปลอดภัยเกิดขึ้น

ลิงค์ต้นฉบับ

ข้อมูลอ้างอิง:
https://axelar.network/blog/an-introduction-to-the-axelar-network
https://axelar.network/blog/security-at-axelar-core
https://docs.axelar.dev/learn/security
https://celer.network/technology#top
https://twitter.com/CelerNetworkcn/status/1560911682339508224 
https://mp.weixin.qq.com/s/SInU_o3Ct-7A6pFbKLqzHQ
https://blog.celer.network/2023/03/21/brevis-a-zk-omnichain-data-attestation-platform/
https://layerzero.network/pdf/LayerZero_Whitepaper_Release.pdf
https://drive.google.com/file/d/1NFFFecAjStbGMyvJVDez3xmsGSHYvNYv/view
https://medium.com/multichainorg/detailed-disclosure-of-multichain-security-policy-bde0397accf5
https://medium.com/multichainorg/multichain-contract-vulnerability-post-mortem-d37bfab237c8
https://drive.google.com/file/d/1ibuHChcYcYCN6JelRAQPnM4rkaB9EgAM/view
https://github.com/wormhole-foundation/wormhole/blob/dev.v2/SECURITY.md#3 rd-party-security-audits
https://wormholecrypto.medium.com/wormhole-incident-report-02-02-22-ad9b8f21eec6
https://medium.com/@wormholecrypto/wormhole-security-program-end-of-year-update-212116ecfb91

ลิงค์ต้นฉบับ