Artikel ini Hash (SHA 1):73c704b01c20bcc2137e83c1446832be2b4f779f
Nomor: Pengetahuan Keamanan Chainsource No.013
Teknologi Blockchain telah menjadi infrastruktur penting di banyak bidang seperti keuangan modern, rantai pasokan, dan penyimpanan data karena karakteristiknya yang terdesentralisasi dan transparan. Namun seiring berkembangnya teknologi, sistem blockchain juga menghadapi tantangan keamanan yang semakin kompleks. Tim keamanan ChainSource akan melakukan analisis pada tingkat yang berbeda: L0 (infrastruktur yang mendasari), L1 (rantai utama), L2 (solusi ekspansi), dan L3 (lapisan aplikasi). Kami akan menganalisis secara komprehensif keamanan keempat level utama blockchain ini, dan mendiskusikan tantangan serta strategi respons yang mereka hadapi, dengan kasus-kasus spesifik.
Lapisan 0: keamanan infrastruktur yang mendasari
Lapisan L0 adalah infrastruktur blockchain, termasuk perangkat keras, jaringan, dan mekanisme konsensus. Keamanan lapisan ini secara langsung mempengaruhi stabilitas dan keamanan seluruh sistem blockchain.
Tantangan keamanan:
Keamanan perangkat keras: Perangkat keras dapat terkena serangan fisik atau malfungsi, yang menyebabkan kebocoran data atau kerusakan sistem.
Keamanan jaringan: Jaringan Blockchain mungkin mengalami serangan DDoS, sehingga memengaruhi operasi normal jaringan.
Keamanan mekanisme konsensus: Mekanisme konsensus (seperti PoW, PoS, dll.) mungkin diserang, sehingga menyebabkan serangan pembelanjaan ganda atau masalah forking.
Langkah-langkah keamanan:
Enkripsi perangkat keras: Gunakan modul keamanan perangkat keras (HSM) dan lingkungan eksekusi tepercaya (TEE) untuk melindungi kunci dan data sensitif.
Perlindungan jaringan: Terapkan firewall dan mekanisme perlindungan DDoS untuk memastikan stabilitas jaringan.
Optimalisasi mekanisme konsensus: Meningkatkan algoritma konsensus dan meningkatkan kesulitan serangan, seperti meningkatkan kompleksitas komputasi Proof of Work (PoW) atau mengadopsi mekanisme verifikasi multi-level dari Proof of Stake (PoS).
Kasus: Ethereum Classic adalah rantai Ethereum bercabang yang mewarisi rantai asli Ethereum. Pada tahun 2019 dan 2020, jaringan ETC masing-masing mengalami beberapa serangan 51%. Para penyerang mengendalikan lebih dari 50% daya komputasi jaringan dan melakukan beberapa serangan reorganisasi, yang mengakibatkan fenomena pembelanjaan ganda dan kerugian jutaan dolar AS mempengaruhi kredibilitas dan keamanan jaringan. Setelah itu, komunitas ETC memperkuat pemantauan jaringan, memperkenalkan alat untuk mendeteksi dan mempertahankan diri dari serangan 51%, dan meningkatkan biaya serangan.
Lapisan 1: Keamanan rantai utama
Lapisan L1 mengacu pada bagian rantai utama dari blockchain dan melibatkan protokol dan struktur data dari blockchain. Keamanan lapisan ini terkait dengan integritas jaringan blockchain dan data yang tidak dapat dirusak.
Tantangan keamanan:
Kerentanan protokol: Protokol Blockchain mungkin memiliki kelemahan desain atau celah implementasi yang dapat dieksploitasi secara jahat.
Kerentanan kontrak pintar: Mungkin ada celah dalam kode kontrak pintar, yang menyebabkan pencurian dana atau penyalahgunaan kontrak.
Keamanan node: Node mungkin diserang, sehingga mempengaruhi operasi normal seluruh jaringan blockchain.
Langkah-langkah keamanan:
Audit protokol: Secara teratur melakukan audit keamanan terhadap protokol blockchain untuk menemukan dan memperbaiki potensi kerentanan.
Audit Kontrak Cerdas: Gunakan alat dan layanan audit pihak ketiga untuk melakukan tinjauan komprehensif terhadap kode kontrak pintar untuk memastikan keamanannya.
Perlindungan node: Menerapkan sistem deteksi intrusi (IDS) dan firewall untuk melindungi node dari serangan.
Kasus: Pada tahun 2016, DAO (Organisasi Otonomi Terdesentralisasi) Ethereum mengalami serangan. Insiden ini melibatkan keamanan jaringan Ethereum. Penyerang mengeksploitasi kerentanan (kerentanan panggilan rekursif) dalam kontrak pintar DAO untuk melakukan serangan konsumsi ganda Ethereum senilai sekitar $50 juta. Insiden ini menyebabkan keputusan komunitas Ethereum untuk melakukan upaya keras untuk mengembalikan dana yang dicuri, menghasilkan Ethereum (ETH) dan Ethereum Classic (ETC), dan pengenalan mekanisme audit kontrak dan tinjauan keamanan yang lebih ketat untuk meningkatkan keamanan jaringan.
Lapisan 2: Keamanan solusi yang diperluas
Keamanan Blockchain L2 (Layer 2) terutama melibatkan solusi penskalaan di atas jaringan blockchain yang dirancang untuk meningkatkan skalabilitas dan kinerja jaringan sambil menjaga keamanan yang tinggi. Solusi L2 mencakup rantai samping, saluran negara, jaringan kilat, dll. Keamanan lapisan ini melibatkan komunikasi lintas rantai dan konfirmasi transaksi. Tantangan keamanan:
Keamanan komunikasi lintas rantai: Protokol komunikasi lintas rantai mungkin memiliki celah yang dapat dieksploitasi secara jahat untuk melakukan serangan.
Keamanan konfirmasi transaksi: Mekanisme konfirmasi transaksi lapisan L2 mungkin memiliki kelemahan, sehingga menyebabkan pembelanjaan ganda atau tidak adanya konfirmasi transaksi.
Keamanan skema perluasan: Implementasi skema perluasan mungkin memiliki kelemahan desain atau celah implementasi, yang mempengaruhi keamanan sistem.
Langkah-langkah keamanan:
Audit protokol lintas rantai: Melakukan audit komprehensif terhadap protokol komunikasi lintas rantai untuk memastikan keamanannya.
Optimalisasi mekanisme konfirmasi transaksi: Memperbaiki mekanisme konfirmasi transaksi untuk memastikan keunikan dan tidak dapat diubahnya transaksi.
Verifikasi keamanan skema penyuluhan: Gunakan verifikasi formal dan alat pengujian keamanan untuk memverifikasi skema penyuluhan secara komprehensif guna memastikan keamanannya.
Kasus: Lightning Network adalah solusi penskalaan L2 untuk pembayaran mikro cepat dalam Bitcoin. Pada tahun 2019, peneliti menemukan kerentanan yang memungkinkan penyerang mencuri dana pengguna melalui transaksi berbahaya. Penyerang dapat mengirimkan transaksi yang tidak valid sebelum saluran ditutup, sehingga menyebabkan dana pengguna dicuri. Meskipun kerentanan ini belum dieksploitasi dalam skala besar, kerentanan ini menimbulkan potensi risiko keamanan di Lightning Network. Tim pengembangan dengan cepat merilis patch, menyarankan pengguna untuk meningkatkan ke versi terbaru, dan memperkuat audit keamanan.
Lapisan 3: Keamanan lapisan aplikasi
Lapisan L3 mengacu pada aplikasi berbasis blockchain, termasuk keamanan kontrak pintar, keamanan dApps, mekanisme tata kelola on-chain, dll., seperti aplikasi terdesentralisasi (DApps) dan platform kontrak pintar. Lapisan keamanan ini melibatkan keamanan data pengguna dan logika aplikasi.
Tantangan keamanan:
Keamanan data pengguna: Data pengguna mungkin bocor atau dirusak, sehingga mengakibatkan kebocoran privasi atau kehilangan data.
Kerentanan logika aplikasi: Logika aplikasi mungkin memiliki kerentanan yang dapat dieksploitasi oleh pelaku jahat untuk menyerang.
Keamanan autentikasi: Mekanisme autentikasi pengguna mungkin memiliki kelemahan dan dieksploitasi oleh pelaku jahat untuk melakukan serangan.
Langkah-langkah keamanan:
Enkripsi data: Mengenkripsi dan menyimpan data pengguna untuk melindungi privasi pengguna.
Audit logika aplikasi: Gunakan alat audit keamanan dan layanan audit pihak ketiga untuk melakukan tinjauan komprehensif terhadap logika aplikasi guna memastikan keamanannya.
Otentikasi multi-faktor: Gunakan mekanisme otentikasi multi-faktor untuk meningkatkan keamanan otentikasi pengguna.
Kasus: Pada bulan Agustus 2021, protokol interoperabilitas lintas rantai Poly Network tiba-tiba diserang oleh peretas. O 3 Swap yang menggunakan protokol ini mengalami kerugian besar. Aset di tiga jaringan utama Ethereum, Binance Smart Chain, dan Polygon hampir seluruhnya dijarah. Dalam waktu 1 jam, masing-masing aset kripto senilai 250 juta dolar AS, 270 juta dolar AS, dan 85 juta dolar AS dicuri, dengan total kerugian hingga 610 juta dolar AS. Serangan ini terutama disebabkan oleh penggantian kunci publik validator rantai relai. Artinya, penyerang menggantikan pemverifikasi perantara lintas rantai dan dikendalikan oleh penyerang itu sendiri. Insiden ini mendorong pertukaran yang lebih terdesentralisasi untuk memperkuat audit keamanan kontrak pintar dan penerapan otentikasi multi-faktor.
Kesimpulan
Keamanan Blockchain adalah masalah multi-level yang memerlukan analisis dan respons komprehensif di semua tingkatan dari L0 hingga L3. Keamanan keseluruhan sistem blockchain dapat ditingkatkan secara signifikan dengan memperkuat keamanan perangkat keras dan jaringan, meningkatkan mekanisme konsensus, melakukan audit protokol dan kontrak pintar secara teratur, mengoptimalkan komunikasi lintas rantai dan mekanisme konfirmasi transaksi, dan memastikan keamanan data pengguna dan logika aplikasi. pada lapisan aplikasi.
Tim keamanan sumber rantai kami akan terus melakukan penelitian keamanan dan peningkatan teknis untuk memastikan perkembangan teknologi blockchain yang sehat dan pengguna dapat melakukan transaksi dengan lebih aman. Kami sangat yakin bahwa hanya dengan terus meningkatkan keamanan di semua tingkatan kami dapat benar-benar mewujudkan desentralisasi blockchain .Visi sentralisasi, transparansi dan keamanan.
Chainyuan Technology adalah perusahaan yang berfokus pada keamanan blockchain. Pekerjaan inti kami mencakup penelitian keamanan blockchain, analisis data on-chain, dan penyelamatan kerentanan aset dan kontrak, dan kami telah berhasil memulihkan banyak aset digital yang dicuri untuk individu dan institusi. Pada saat yang sama, kami berkomitmen untuk menyediakan laporan analisis keselamatan proyek, keterlacakan on-chain, dan layanan konsultasi/dukungan teknis kepada organisasi industri. Terima kasih telah membaca, kami akan terus fokus dan berbagi konten keamanan blockchain.