Comprehensive analysis of the security of blockchain L0, L1, L2 and L3 layers

Odaily星球日报 · 2024-07-23T06:33:03.000Z
Article Hash (SHA 1):73c704b01c20bcc2137e83c1446832be2b4f779f Number: Lianyuan Security Knowledge No.013 Blockchain technology has become an important infrastructure in many fields such as modern finance, supply chain, and data storage due to its decentralized and transparent characteristics. However, with the development of technology, blockchain systems are also facing increasingly complex security challenges. The ChainSource Security Team will analyze from different levels: L0 (underlying infrastructure), L1 (main chain), L2 (extension solution), and L3 (application layer). We will comprehensively analyze the security of these four main levels of blockchain, and explore the challenges and coping strategies they face, with specific cases attached.
Este artículo Hash (SHA 1):73c704b01c20bcc2137e83c1446832be2b4f779f
Número: Conocimiento de seguridad de Chainsource No.013
La tecnología Blockchain se ha convertido en una infraestructura importante en muchos campos, como las finanzas modernas, la cadena de suministro y el almacenamiento de datos, debido a sus características descentralizadas y transparentes. Sin embargo, con el desarrollo de la tecnología, los sistemas blockchain también enfrentan desafíos de seguridad cada vez más complejos. El equipo de seguridad de ChainSource realizará análisis en diferentes niveles: L0 (infraestructura subyacente), L1 (cadena principal), L2 (solución de expansión) y L3 (capa de aplicación). Analizaremos exhaustivamente la seguridad de estos cuatro niveles principales de blockchain y discutiremos los desafíos y estrategias de respuesta que enfrentan, con casos específicos.
Capa 0: seguridad de la infraestructura subyacente
La capa L0 es la infraestructura de la cadena de bloques, que incluye hardware, red y mecanismo de consenso. La seguridad de esta capa afecta directamente a la estabilidad y seguridad de todo el sistema blockchain.
Desafíos de seguridad:
Seguridad del hardware: los dispositivos de hardware pueden estar sujetos a ataques físicos o mal funcionamiento, lo que provoca fugas de datos o fallas del sistema.
Seguridad de la red: Las redes Blockchain pueden sufrir ataques DDoS, afectando el normal funcionamiento de la red.
Seguridad del mecanismo de consenso: los mecanismos de consenso (como PoW, PoS, etc.) pueden ser atacados, lo que genera ataques de doble gasto o problemas de bifurcación.
Medidas de seguridad:
Cifrado de hardware: utilice módulos de seguridad de hardware (HSM) y entornos de ejecución confiables (TEE) para proteger claves y datos confidenciales.
Protección de la red: implemente firewalls y mecanismos de protección DDoS para garantizar la estabilidad de la red.
Optimización del mecanismo de consenso: mejore el algoritmo de consenso y aumente la dificultad de los ataques, como aumentar la complejidad computacional de la Prueba de trabajo (PoW) o adoptar un mecanismo de verificación multinivel de Prueba de participación (PoS).​
Caso: Ethereum Classic es una cadena bifurcada de Ethereum que hereda la cadena original de Ethereum. En 2019 y 2020, la red ETC sufrió múltiples ataques del 51% respectivamente. Los atacantes controlaron más del 50% de la potencia informática de la red y llevaron a cabo múltiples ataques de reorganización, lo que provocó un fenómeno de doble gasto y pérdidas de millones de dólares estadounidenses. afectó la credibilidad y seguridad de la red. Posteriormente, la comunidad ETC fortaleció el monitoreo de la red, introdujo herramientas para detectar y defenderse contra el 51% de los ataques y aumentó el costo de los ataques.
Capa 1: seguridad de la cadena principal
La capa L1 se refiere a la parte de la cadena principal de la cadena de bloques e involucra el protocolo y la estructura de datos de la cadena de bloques. La seguridad de esta capa está relacionada con la integridad de la red blockchain y la no manipulabilidad de los datos.
Desafíos de seguridad:
Vulnerabilidades del protocolo: los protocolos Blockchain pueden tener fallas de diseño o lagunas en la implementación que pueden explotarse maliciosamente.
Vulnerabilidades de los contratos inteligentes: puede haber lagunas en el código del contrato inteligente, lo que lleva al robo de fondos o al abuso del contrato.
Seguridad de los nodos: Los nodos pueden ser atacados, afectando el funcionamiento normal de toda la red blockchain.​
Medidas de seguridad:
Auditoría de protocolo: realice periódicamente auditorías de seguridad de los protocolos blockchain para descubrir y reparar posibles vulnerabilidades.
Auditoría de contratos inteligentes: utilice herramientas y servicios de auditoría de terceros para realizar una revisión integral del código de contratos inteligentes para garantizar su seguridad.
Protección de nodos: implemente sistemas de detección de intrusiones (IDS) y firewalls para proteger los nodos de ataques.
Caso: en 2016, la DAO (Organización Autónoma Descentralizada) de Ethereum sufrió un ataque. Este incidente involucró la seguridad de la red Ethereum. El atacante aprovechó la vulnerabilidad (vulnerabilidad de llamada recursiva) en el contrato inteligente de DAO para realizar un ataque de doble consumo. aproximadamente 50 millones de dólares en Ethereum. Este incidente llevó a la comunidad Ethereum a tomar la decisión de realizar una bifurcación dura para revertir los fondos robados, lo que resultó en Ethereum (ETH) y Ethereum Classic (ETC), y a la introducción de mecanismos de revisión de seguridad y auditoría de contratos más estrictos para mejorar la seguridad de la red.
Capa 2: Seguridad de la solución extendida
La seguridad de Blockchain L2 (Capa 2) implica principalmente escalar soluciones sobre redes blockchain que están diseñadas para mejorar la escalabilidad y el rendimiento de la red manteniendo una alta seguridad. Las soluciones L2 incluyen cadenas laterales, canales estatales, redes relámpago, etc. La seguridad de esta capa implica la comunicación entre cadenas y la confirmación de transacciones. Desafíos de seguridad:
Seguridad de la comunicación entre cadenas: los protocolos de comunicación entre cadenas pueden tener lagunas que pueden explotarse maliciosamente para realizar ataques.
Seguridad de confirmación de transacciones: el mecanismo de confirmación de transacciones de la capa L2 puede tener fallas, lo que lleva a un doble gasto o a la falta de confirmación de las transacciones.
Seguridad del esquema de extensión: la implementación del esquema de extensión puede tener fallas de diseño o lagunas en la implementación, que afectan la seguridad del sistema.
Medidas de seguridad:
Auditoría del protocolo entre cadenas: realice una auditoría integral del protocolo de comunicación entre cadenas para garantizar su seguridad.
Optimización del mecanismo de confirmación de transacciones: Mejore el mecanismo de confirmación de transacciones para garantizar la unicidad y la no manipulación de las transacciones.
Verificación de seguridad del esquema de extensión: utilice herramientas de prueba de seguridad y verificación formal para verificar exhaustivamente el esquema de extensión y garantizar su seguridad. ​
Caso: Lightning Network es una solución de escalamiento L2 para micropagos rápidos en Bitcoin. En 2019, los investigadores descubrieron una vulnerabilidad que permitía a los atacantes robar los fondos de los usuarios mediante transacciones maliciosas. Un atacante puede enviar transacciones no válidas antes de que se cierre el canal, lo que provoca el robo de los fondos de los usuarios. Aunque la vulnerabilidad no ha sido explotada a gran escala, expone posibles riesgos de seguridad en Lightning Network. El equipo de desarrollo lanzó rápidamente parches, recomendó a los usuarios que actualizaran a la última versión y reforzó las auditorías de seguridad.
Capa 3: seguridad de la capa de aplicación
La capa L3 se refiere a aplicaciones basadas en blockchain, incluida la seguridad de contratos inteligentes, la seguridad de dApps, mecanismos de gobernanza en cadena, etc., como aplicaciones descentralizadas (DApps) y plataformas de contratos inteligentes. Esta capa de seguridad implica la seguridad de los datos del usuario y la lógica de la aplicación.
Desafíos de seguridad:
Seguridad de los datos del usuario: los datos del usuario pueden filtrarse o alterarse, lo que resulta en una filtración de privacidad o pérdida de datos.
Vulnerabilidades de la lógica de la aplicación: la lógica de la aplicación puede tener vulnerabilidades que pueden ser aprovechadas por actores malintencionados para realizar ataques. ​
Seguridad de autenticación: el mecanismo de autenticación de usuarios puede tener fallas y ser aprovechado por actores maliciosos para realizar ataques.
Medidas de seguridad:
Cifrado de datos: cifre y almacene los datos del usuario para proteger su privacidad.
Auditoría de la lógica de la aplicación: utilice herramientas de auditoría de seguridad y servicios de auditoría de terceros para realizar una revisión integral de la lógica de la aplicación para garantizar su seguridad.
Autenticación multifactor: utilice un mecanismo de autenticación multifactor para mejorar la seguridad de la autenticación del usuario.
Caso: En agosto de 2021, el protocolo de interoperabilidad entre cadenas Poly Network fue atacado repentinamente por piratas informáticos. O 3 Swap que utilizó este protocolo sufrió graves pérdidas. Los activos de las tres redes principales de Ethereum, Binance Smart Chain y Polygon fueron saqueados casi por completo. En 1 hora, se robaron 250 millones de dólares estadounidenses, 270 millones de dólares estadounidenses y 85 millones de dólares estadounidenses en criptoactivos respectivamente, con una pérdida total de hasta 610 millones de dólares estadounidenses. Este ataque se debe principalmente a la sustitución de la clave pública del validador de la cadena de retransmisión. Es decir, el atacante reemplaza el verificador intermedio entre cadenas y es controlado por el propio atacante. Este incidente provocó intercambios más descentralizados para fortalecer las auditorías de seguridad de los contratos inteligentes y la implementación de la autenticación multifactor. ​
Conclusión
La seguridad de Blockchain es un problema de múltiples niveles que requiere un análisis y una respuesta integrales en todos los niveles, desde L0 hasta L3. La seguridad general del sistema blockchain se puede mejorar enormemente fortaleciendo la seguridad del hardware y la red, mejorando los mecanismos de consenso, realizando auditorías periódicas de protocolos y contratos inteligentes, optimizando la comunicación entre cadenas y los mecanismos de confirmación de transacciones, y garantizando la seguridad de los datos del usuario y la lógica de la aplicación. en la capa de aplicación.
Nuestro equipo de seguridad de la fuente de la cadena continuará realizando investigaciones de seguridad y mejoras técnicas para garantizar el desarrollo saludable de la tecnología blockchain y que los usuarios puedan realizar transacciones de manera más segura. Creemos firmemente que solo mejorando continuamente la seguridad en todos los niveles podremos realmente lograr la descentralización de blockchain. Una visión de centralización, transparencia y seguridad.
Chainyuan Technology es una empresa que se centra en la seguridad blockchain. Nuestro trabajo principal incluye investigación de seguridad de blockchain, análisis de datos en cadena y rescate de vulnerabilidades de activos y contratos, y hemos recuperado con éxito muchos activos digitales robados para individuos e instituciones. Al mismo tiempo, estamos comprometidos a proporcionar informes de análisis de seguridad de proyectos, trazabilidad en cadena y servicios de soporte/consultoría técnica a organizaciones industriales. Gracias por leer, continuaremos enfocándonos y compartiendo contenido de seguridad de blockchain.
Explora más de este creador

Lo más reciente

Explora más de este creador

Lo más reciente

Artículos populares
