แฮชของบทความนี้ (SHA 1): 4f5b9f376aa53c6cccca03a2ddd065a59550d73c

หมายเลข: Chainsource Security No.003

เมื่อวันที่ 3 กรกฎาคม 2024 แพลตฟอร์มรางวัลช่องโหว่ OpenBounty ได้รับการเปิดเผยว่าได้เผยแพร่รายงานช่องโหว่ที่ไม่ได้รับอนุญาตบนเครือข่ายสาธารณะ พฤติกรรมนี้เป็นที่ยอมรับไม่ได้อย่างยิ่งกับนักวิจัยด้านโครงสร้างพื้นฐานและความปลอดภัยทุกคนที่เกี่ยวข้องในรายการ เนื่องจากมูลค่ารางวัลรวมของช่องโหว่ทั้งหมดเกินกว่า 11 พันล้านดอลลาร์สหรัฐ จึงทำให้เกิดการอภิปรายกันในหมู่กลุ่มสาธารณะทั้งหมด ส่งผลให้แพลตฟอร์ม Bug Bounty เป็นที่รู้จักในสายตาของสาธารณชน ทีมรักษาความปลอดภัยของ Chainsource ได้ดำเนินการรักษาความปลอดภัย การวิเคราะห์และการประชาสัมพันธ์บางส่วนเกี่ยวกับการรั่วไหลนี้ โดยหวังว่าจะช่วยให้ผู้อ่านตีความรายละเอียดและได้รับความเข้าใจที่ดีขึ้นเกี่ยวกับการมีอยู่ของแพลตฟอร์มรางวัลบั๊ก

ข้อมูลที่เกี่ยวข้อง

ข้อมูลรายงานช่องโหว่ที่เปิดเผยเป็นการส่วนตัวโดย OpenBounty บนเครือข่ายสาธารณะ SEHNTU (ข้อเสนอที่เกี่ยวข้องบน Ethereum ถูกลบแล้ว):

https://www.mintscan.io/shentu/proposals

https://explorer.shentu.technology/more/proposal

ค่าหัวแมลง/ขุดหลุม

แพลตฟอร์มค่าหัวช่องโหว่ในโลกออนไลน์นั้นคล้ายคลึงกับแพลตฟอร์ม "การขุดหลุม" ในการรักษาความปลอดภัยเครือข่ายแบบดั้งเดิม วัตถุประสงค์หลักของทั้งสองอย่างคือการดึงดูดนักวิจัยด้านความปลอดภัยและแฮกเกอร์หมวกขาวให้ค้นหาและรายงานช่องโหว่ในระบบผ่านกลไกการให้รางวัล จึงปรับปรุงความปลอดภัยโดยรวม

รูปแบบการดำเนินงานมีดังต่อไปนี้บนไทม์ไลน์:

(1) ความท้าทายในการเปิดตัวโครงการ: ไม่ว่าจะเป็นโครงการบล็อคเชนหรือแอปพลิเคชันเครือข่ายแบบดั้งเดิม โปรแกรม Bug Bounty จะถูกเผยแพร่บนแพลตฟอร์ม

(2) รายงานช่องโหว่: นักวิจัยด้านความปลอดภัยและแฮกเกอร์ตรวจจับรหัสโครงการหรือระบบและส่งรายงานโดยละเอียดหลังจากค้นพบช่องโหว่

(3) การตรวจสอบและซ่อมแซม: ทีมงานโครงการตรวจสอบช่องโหว่ในรายงานและซ่อมแซม

(4) การกระจายรางวัล: หลังจากการซ่อมแซมเสร็จสิ้น ผู้ค้นพบจะได้รับรางวัลที่เกี่ยวข้องตามความรุนแรงและขอบเขตของช่องโหว่

การรักษาความปลอดภัยเครือข่ายแบบดั้งเดิมมุ่งเน้นไปที่ช่องโหว่ด้านไอทีแบบดั้งเดิมเป็นหลัก เช่น เว็บแอปพลิเคชัน เซิร์ฟเวอร์ และอุปกรณ์เครือข่าย เช่น XXS[1], SQL insert[2], CSRF[3] ฯลฯ;

ความปลอดภัยของบล็อคเชนให้ความสำคัญกับสัญญาอัจฉริยะ โปรโตคอล และกระเป๋าเงินที่เข้ารหัสมากขึ้น เช่น การโจมตีของ Sybil [4] การโจมตีข้ามสายโซ่ [5] การโทรภายนอกที่ผิดปกติ เป็นต้น

รายงานช่องโหว่ที่สำคัญ

รายงานช่องโหว่หมายเลข 33 ที่เผยแพร่โดย OpenBounty ซึ่งเป็นการละเมิดกฎระเบียบคือการทดสอบการตรวจสอบและการเจาะระบบของ CertiK ในกลุ่ม SHENTU จากข้อเสนอนี้ เราจะเห็นว่าการทดสอบความปลอดภัยนี้ส่วนใหญ่แก้ไขช่องโหว่ด้านความปลอดภัยและข้อจำกัดในการอนุญาตภายใน SHENTU

แต่หลังจากอ่านซอร์สโค้ดของ SHENTU ฉันพบโค้ดชิ้นหนึ่งที่แทนที่คำนำหน้า CertiK จะถูกแทนที่ด้วยคำนำหน้าของ SHENTU แม้ว่าจะเข้าใจได้ในแง่ของการพัฒนา แต่การแทนที่ชื่อโดเมนนั้นมีไว้เพื่อความสะดวกเท่านั้น ของการปรับตัวแต่กลับทำให้คนรู้สึกถึง CertiK ความรู้สึกของการเป็นทั้งผู้ตัดสินและผู้เล่น

ในรายงานช่องโหว่อีก 32 ฉบับที่ SEHNTU ยังไม่ได้ลบ คุณสามารถดูคำอธิบายปัญหา ฝ่ายลงคะแนน คำอธิบายรางวัล และแม้กระทั่งรหัสของแต่ละระบบหลังจากอัปเดตช่องโหว่แล้ว เนื่องจากแต่ละระบบจะมีปัญหาในอดีตหรือพฤติกรรมการเขียนโค้ดที่ไม่ซ้ำกันในระหว่างกระบวนการพัฒนา สำหรับแฮกเกอร์ ย่อมมีพื้นที่มากมายสำหรับการใช้ข้อมูลนี้

การตีความคำนาม

[1]XXS: ผู้โจมตีแทรกสคริปต์ที่เป็นอันตรายลงในหน้าเว็บ ทำให้สคริปต์ถูกเรียกใช้งานเมื่อผู้ใช้เรียกดูหน้าเว็บ โดยส่วนใหญ่จะรวมถึง XSS ที่สะท้อนกลับ, XSS ที่เก็บไว้ และ XSS ประเภท DOM

[2]การแทรก SQL: วิธีการโจมตีที่แทรกโค้ด SQL ที่เป็นอันตรายลงในช่องป้อนข้อมูล (เช่น แบบฟอร์ม พารามิเตอร์ URL) จากนั้นส่งต่อไปยังฐานข้อมูลเพื่อดำเนินการ การโจมตีดังกล่าวสามารถนำไปสู่การรั่วไหลของข้อมูลฐานข้อมูล การแก้ไขหรือการลบ และแม้กระทั่งการเข้าควบคุมเซิร์ฟเวอร์ฐานข้อมูล

[3]CSRF: วิธีการโจมตีที่ใช้เซสชันการตรวจสอบสิทธิ์ของผู้ใช้เพื่อส่งคำขอที่ไม่ได้รับอนุญาตไปยังไซต์ที่เชื่อถือได้ ผู้โจมตีล่อลวงผู้ใช้ให้เยี่ยมชมหน้าเว็บที่สร้างขึ้นเป็นพิเศษหรือคลิกลิงก์เพื่อดำเนินการโดยที่ผู้ใช้ไม่รู้ เช่น การโอนเงิน การแก้ไขข้อมูลส่วนบุคคล เป็นต้น

[4]การโจมตีซีบิล: ในเครือข่ายแบบกระจาย ผู้โจมตีจะสร้างข้อมูลประจำตัวปลอม (โหนด) หลายรายการเพื่อพยายามจัดการกระบวนการตัดสินใจในเครือข่าย ผู้โจมตีมีอิทธิพลต่ออัลกอริธึมที่เป็นเอกฉันท์โดยการสร้างโหนดปลอมจำนวนมาก เพื่อควบคุมการยืนยันธุรกรรมหรือบล็อกธุรกรรมที่ถูกต้องตามกฎหมาย

[5] การโจมตีแบบ Cross-chain: ผู้โจมตีสามารถเลี่ยงการตรวจสอบความปลอดภัยในสัญญา และขโมยหรือยุ่งเกี่ยวกับข้อมูลธุรกรรมแบบ Cross-chain โดยจัดการคำขอธุรกรรมแบบ Cross-Chain เช่น การโจมตีแบบ Cross-chain Bridge ของ Poly Network

บทสรุป

โดยทั่วไป ตามที่ OpenZepplin และ HackenProof ระบุไว้ การจัดการค่าหัวบั๊กจะต้องได้รับอนุญาตจากผู้จัดพิมพ์ นี่เป็นประเด็นทางกฎหมายและจรรยาบรรณทางวิชาชีพที่เป็นพื้นฐานของความสำเร็จของนักพัฒนาอิสระหลายราย

Chainyuan Technology เป็นบริษัทที่มุ่งเน้นด้านความปลอดภัยบล็อกเชน งานหลักของเราประกอบด้วยการวิจัยด้านความปลอดภัยบล็อคเชน การวิเคราะห์ข้อมูลออนไลน์ และการช่วยเหลือช่องโหว่ด้านสินทรัพย์และสัญญา และประสบความสำเร็จในการกู้คืนสินทรัพย์ดิจิทัลที่ถูกขโมยจำนวนมากสำหรับบุคคลและสถาบัน ในเวลาเดียวกัน เรามุ่งมั่นที่จะจัดทำรายงานการวิเคราะห์ความปลอดภัยของโครงการ การตรวจสอบย้อนกลับแบบออนไลน์ และบริการให้คำปรึกษา/สนับสนุนทางเทคนิคแก่องค์กรอุตสาหกรรม

ขอบคุณสำหรับการอ่าน เราจะมุ่งเน้นและแบ่งปันเนื้อหาความปลอดภัยของบล็อกเชนต่อไป