Là một trong những hệ sinh thái blockchain lớn nhất và nổi tiếng nhất trên thế giới, hệ sinh thái Cosmos tập trung vào việc cải thiện khả năng tương tác blockchain và đạt được khả năng tương tác hiệu quả giữa các blockchain khác nhau. Cosmos cung cấp cho các nhà phát triển SDK Cosmos mô-đun để giúp các nhà phát triển nhanh chóng xây dựng các chuỗi khối dành riêng cho các ứng dụng cụ thể. Nhiều ứng dụng, bao gồm cả dYdX V4 được nhiều người theo dõi, được xây dựng dựa trên điều này. Vì vậy, các vấn đề bảo mật trong hệ sinh thái Cosmos thường có tác động lan rộng. Ví dụ: lỗ hổng Dragonfruit xảy ra trong Cosmos SDK đã ảnh hưởng đến hoạt động bình thường của nhiều chuỗi công cộng chính thống, khiến các nhà phát triển chuỗi phải tạm dừng hoạt động bình thường của chuỗi để thực hiện các biện pháp sửa chữa lỗ hổng. Hướng dẫn bảo mật hệ sinh thái Cosmos do nhóm nghiên cứu CertiK phát hành phân tích toàn diện trạng thái bảo mật của các thành phần chính trong hệ sinh thái Cosmos, tóm tắt và phân loại các lỗ hổng bảo mật được phát hiện trước đó, đồng thời tóm tắt các mô hình lỗ hổng phổ biến và ý tưởng kiểm tra cho các nhà phát triển và người dùng hệ sinh thái Cosmos. các vấn đề bảo mật cần được chú trọng để giúp cải thiện mức độ bảo mật của hệ sinh thái Cosmos và toàn bộ ngành công nghiệp blockchain.
Do tính chất phi tập trung của các thành phần cơ bản của hệ sinh thái Cosmos, các nhà phát triển chuỗi cần sử dụng hoặc mở rộng các thành phần khác nhau tùy theo các yêu cầu chức năng khác nhau, dẫn đến sự đa dạng của các vấn đề an ninh sinh thái. Báo cáo này không chỉ phân tích các lỗ hổng bảo mật lớn trước đây mà còn phân loại một số lỗ hổng bảo mật phổ biến theo nguyên nhân, hậu quả, vị trí mã, v.v. dưới dạng sổ tay bảo mật nhằm cung cấp hướng dẫn bảo mật tối đa cho các nhà phát triển hệ sinh thái Cosmos, và đối với các Kiểm tra viên bảo mật có liên quan cung cấp cách tìm hiểu và kiểm tra các vấn đề bảo mật của Cosmos.
Hiện tại, các thành phần cơ bản được các nhà phát triển sử dụng phổ biến nhất trong hệ sinh thái Cosmos là Cosmos SDK và giao thức IBC (Giao thức truyền thông liên chuỗi khối), hai thành phần này cũng là những thành phần được các nhà phát triển sử dụng phổ biến nhất để mở rộng và bổ sung logic của chính chuỗi đó.
Đối với Cosmos SDK, xem xét mức độ nguy hiểm và phạm vi ảnh hưởng, chúng tôi chủ yếu tập trung vào các lỗ hổng bảo mật nghiêm trọng và nghiêm trọng, thường có thể gây ra các rủi ro sau:
1. Dây chuyền ngừng chạy
2. Mất tiền
3. Ảnh hưởng đến trạng thái hệ thống hoặc hoạt động bình thường
Nguyên nhân của những nguy hiểm này thường là do các loại lỗ hổng bảo mật sau:
1. Từ chối dịch vụ
2. Cài đặt trạng thái sai
3. Thiếu xác minh hoặc không hợp lý
4. Vấn đề duy nhất
5. Vấn đề về thuật toán đồng thuận
6. Những lỗ hổng logic trong triển khai
7. Vấn đề đặc điểm ngôn ngữ
Đối với IBC, các loại lỗ hổng phổ biến như sau:
1. Đặt tên lỗ hổng
Lỗ hổng xử lý chuỗi
Lỗ hổng xử lý bytecode
2. Lỗ hổng trong quá trình truyền tải
Lỗ hổng thứ tự gói
Lỗ hổng hết thời gian gói
Lỗ hổng xác thực gói
Các lỗ hổng gói khác
3. Lỗ hổng logic
Lỗ hổng cập nhật trạng thái
Các lỗ hổng như đồng thuận bỏ phiếu
Các lỗ logic khác
4. Lỗ hổng tiêu thụ gas
Mặc dù vấn đề bảo mật trên Cosmos rất đa dạng nhưng nhìn từ góc độ tích cực, quy trình phát triển liên quan đến hệ sinh thái Cosmos dần được chuẩn hóa nên các đối tượng bảo mật và lối vào tấn công liên quan chắc chắn hơn, từ đó cung cấp cho các kiểm toán viên an ninh sinh thái Cosmos những ý tưởng kiểm toán cho chuỗi. Cung cấp một khuôn khổ rõ ràng hơn. Với tầm nhìn cải thiện tính bảo mật của hệ sinh thái Cosmos, Hướng dẫn bảo mật hệ sinh thái Cosmos sẽ phân tích chi tiết các tình huống bảo mật này. Để biết chi tiết, bạn có thể tải xuống báo cáo nghiên cứu để đọc.
Nhóm CertiK đã cam kết giúp cải thiện tính bảo mật của Cosmos và toàn bộ hệ sinh thái Web3 thông qua nghiên cứu và khai thác liên tục, đồng thời sẽ thường xuyên đưa ra nhiều báo cáo bảo mật dự án và nghiên cứu kỹ thuật khác nhau. Chào mừng mọi người tiếp tục chú ý! Nếu bạn có bất kỳ câu hỏi nào, bạn có thể liên hệ với chúng tôi bất cứ lúc nào.
Đọc và tải toàn bộ báo cáo:https://indd.adobe.com/view/91035407-4f21-4383-9485-a56394d9f95f
Link tài khoản chính thức:https://mp.weixin.qq.com/s/RFHGOZNKMYCJ6ntvCNokFQ
