CertiK Exclusive: ถอดรหัสความปลอดภัยทางนิเวศวิทยาของจักรวาล และอำนวยความสะดวกในการเดินทางระหว่างดวงดาวของ Web3.0
ในฐานะหนึ่งในระบบนิเวศบล็อกเชนที่ใหญ่ที่สุดและเป็นที่รู้จักมากที่สุดในโลก ระบบนิเวศของ Cosmos มุ่งเน้นไปที่การปรับปรุงการทำงานร่วมกันของบล็อกเชน และบรรลุการทำงานร่วมกันอย่างมีประสิทธิภาพระหว่างบล็อกเชนต่างๆ Cosmos มอบ Cosmos SDK แบบโมดูลาร์แก่นักพัฒนาเพื่อช่วยให้นักพัฒนาสร้างบล็อกเชนสำหรับแอปพลิเคชันเฉพาะได้อย่างรวดเร็ว แอปพลิเคชันจำนวนมาก รวมถึง dYdX V4 ที่ได้รับการจับตามองอย่างกว้างขวางนั้นถูกสร้างขึ้นจากสิ่งนี้ ดังนั้นปัญหาด้านความปลอดภัยในระบบนิเวศของ Cosmos จึงมักส่งผลกระทบในวงกว้าง ตัวอย่างเช่น ช่องโหว่ Dragonfruit ที่เกิดขึ้นใน Cosmos SDK ส่งผลกระทบต่อการทำงานปกติของเครือข่ายสาธารณะกระแสหลักหลายแห่ง ทำให้นักพัฒนาเครือข่ายต้องระงับการทำงานปกติของเครือข่ายเพื่อใช้มาตรการซ่อมแซมช่องโหว่ คู่มือการรักษาความปลอดภัยของระบบนิเวศจักรวาล ที่เผยแพร่โดยทีมวิจัยของ CertiK จะวิเคราะห์สถานะความปลอดภัยของส่วนประกอบหลักในระบบนิเวศของจักรวาลอย่างครอบคลุม สรุปและจัดหมวดหมู่ช่องโหว่ด้านความปลอดภัยที่ค้นพบก่อนหน้านี้ และสรุปโมเดลช่องโหว่ทั่วไปและแนวคิดในการตรวจสอบสำหรับนักพัฒนาและผู้ใช้ระบบนิเวศของ Cosmos และ ปัญหาด้านความปลอดภัยที่ต้องให้ความสำคัญเพื่อช่วยปรับปรุงระดับความปลอดภัยของระบบนิเวศ Cosmos และอุตสาหกรรมบล็อกเชนทั้งหมด
เนื่องจากลักษณะการกระจายอำนาจขององค์ประกอบพื้นฐานของระบบนิเวศ Cosmos นักพัฒนาเครือข่ายจึงจำเป็นต้องใช้หรือขยายส่วนประกอบต่างๆ ตามความต้องการด้านการทำงานที่แตกต่างกัน ส่งผลให้เกิดปัญหาด้านความปลอดภัยทางนิเวศวิทยาที่หลากหลาย รายงานนี้ไม่เพียงแต่เป็นการวิเคราะห์ช่องโหว่ด้านความปลอดภัยที่สำคัญก่อนหน้านี้ แต่ยังจัดประเภทช่องโหว่ด้านความปลอดภัยทั่วไปบางส่วนตามสาเหตุ ผลกระทบ ตำแหน่งรหัส ฯลฯ ในรูปแบบของคู่มือความปลอดภัยเพื่อให้คำแนะนำด้านความปลอดภัยสูงสุดสำหรับนักพัฒนาระบบนิเวศของ Cosmos และสำหรับผู้ตรวจสอบความปลอดภัยที่เกี่ยวข้องจะจัดเตรียมวิธีการเรียนรู้และตรวจสอบปัญหาด้านความปลอดภัยของ Cosmos
ปัจจุบัน ส่วนประกอบพื้นฐานที่ใช้บ่อยที่สุดโดยนักพัฒนาในระบบนิเวศ Cosmos คือ Cosmos SDK และโปรโตคอล IBC (โปรโตคอลการสื่อสารระหว่างบล็อกเชน) ส่วนประกอบทั้งสองนี้เป็นส่วนประกอบที่ใช้บ่อยที่สุดโดยนักพัฒนาเพื่อขยายและเพิ่มตรรกะของ โซ่นั่นเอง
สำหรับ Cosmos SDK เมื่อพิจารณาถึงระดับของอันตรายและขอบเขตของผลกระทบ เรามุ่งเน้นไปที่ช่องโหว่ด้านความปลอดภัยที่สำคัญและร้ายแรงเป็นหลัก ซึ่งมักจะทำให้เกิดความเสี่ยงต่อไปนี้:
1. โซ่หยุดทำงาน
2. การสูญเสียเงินทุน
3. ส่งผลต่อสถานะของระบบหรือการทำงานปกติ
สาเหตุของอันตรายเหล่านี้มักเกิดจากช่องโหว่ด้านความปลอดภัยประเภทต่อไปนี้:
1. การปฏิเสธการให้บริการ
2. การตั้งค่าสถานะไม่ถูกต้อง
3. การตรวจสอบขาดหายไปหรือไม่มีเหตุผล
4. ปัญหาเอกลักษณ์
5. ปัญหาอัลกอริทึมที่เป็นเอกฉันท์
6. ช่องโหว่เชิงตรรกะในการนำไปใช้งาน
7. ปัญหาเกี่ยวกับลักษณะภาษา
สำหรับ IBC หมวดหมู่ช่องโหว่ทั่วไปมีดังนี้:
1. ช่องโหว่ในการตั้งชื่อ
ช่องโหว่ในการจัดการสตริง
ช่องโหว่ในการประมวลผล Bytecode
2. ช่องโหว่ในกระบวนการส่งข้อมูล
ช่องโหว่ในการสั่งซื้อแพ็คเก็ต
ช่องโหว่การหมดเวลาของแพ็กเก็ต
ช่องโหว่การรับรองความถูกต้องแพ็คเก็ต
ช่องโหว่แพ็กเก็ตอื่น ๆ
3. ช่องโหว่ลอจิก
ช่องโหว่ในการอัพเดตสถานะ
ช่องโหว่ เช่น การลงมติเป็นเอกฉันท์
รูลอจิกอื่น ๆ
4. ความเสี่ยงในการใช้ก๊าซ
แม้ว่าปัญหาด้านความปลอดภัยบน Cosmos จะมีความหลากหลาย แต่จากมุมมองเชิงบวก กระบวนการพัฒนาที่เกี่ยวข้องกับระบบนิเวศของ Cosmos จะค่อยๆ กลายเป็นมาตรฐาน ดังนั้นวัตถุด้านความปลอดภัยและทางเข้าโจมตีที่เกี่ยวข้องจึงมีความแน่นอนมากขึ้น จึงทำให้ผู้ตรวจสอบความปลอดภัยในระบบนิเวศของ Cosmos มีแนวคิดในการตรวจสอบสำหรับห่วงโซ่ดังกล่าว ให้กรอบการทำงานที่ชัดเจนยิ่งขึ้น ด้วยวิสัยทัศน์ในการปรับปรุงความปลอดภัยของระบบนิเวศ Cosmos คู่มือความปลอดภัยระบบนิเวศ Cosmos จะวิเคราะห์สถานการณ์ด้านความปลอดภัยเหล่านี้โดยละเอียด คุณสามารถดาวน์โหลดรายงานการวิจัยเพื่ออ่านรายละเอียดได้
ทีมงาน CertiK มุ่งมั่นที่จะช่วยปรับปรุงความปลอดภัยของ Cosmos และระบบนิเวศ Web3 ทั้งหมดผ่านการวิจัยและการขุดค้นอย่างต่อเนื่อง และจะส่งออกรายงานความปลอดภัยของโครงการและการวิจัยทางเทคนิคต่างๆ เป็นประจำ ยินดีต้อนรับทุกท่านที่ให้ความสนใจต่อไป! หากคุณมีคำถามใด ๆ คุณสามารถติดต่อเราได้ตลอดเวลา
อ่านและดาวน์โหลดรายงานฉบับเต็ม:https://indd.adobe.com/view/91035407-4f21-4383-9485-a56394d9f95f
ลิงค์บัญชีอย่างเป็นทางการ:https://mp.weixin.qq.com/s/RFHGOZNKMYCJ6ntvCNokFQ
