Zdecentralizowana natura Web3 oferuje ekscytujące możliwości dla użytkowników, deweloperów i innowatorów, ale jak w przypadku każdej sieci, istnieją ryzyka. Zrozumienie tych wyzwań i przyjęcie proaktywnych środków jest kluczem do zbudowania bezpiecznego i odpornego ekosystemu Web3 dla wszystkich zaangażowanych.
Obawy dotyczące bezpieczeństwa dzielą się na dwa główne typy: zagrożenia na poziomie użytkownika, takie jak phishing, oraz luki na poziomie protokołu, takie jak problemy z kontrolą dostępu w ramach inteligentnych kontraktów.
Ataki na poziomie użytkownika
Najbardziej podatnym punktem w każdym ekosystemie, w tym Web3, jest często użytkownik. Ataki phishingowe, socjotechnika i oszustwa są powszechne w całym Internecie, a użytkownicy Web3 nie są wyjątkiem. Oszuści mogą próbować nakłonić użytkowników do ujawnienia prywatnych informacji, autoryzowania złośliwych transakcji lub łączenia się z niebezpiecznymi witrynami.
Choć ataki te nie są charakterystyczne wyłącznie dla Web3 ani ekosystemu Sui, rosnąca wartość zasobów cyfrowych sprawiła, że użytkownicy Web3 stali się głównymi celami ataków ze strony cyberprzestępców.
Phishing i oszustwa
Ataki phishingowe często mają miejsce, gdy oszuści podszywają się pod legalne projekty lub oferują kuszące zrzuty, aby zwabić użytkowników do ujawnienia poufnych danych uwierzytelniających portfela lub autoryzacji szkodliwych transakcji. Te ataki często obejmują dystrybucję fałszywych profili w mediach społecznościowych i NFT, które podszywają się pod legalne projekty. Nieświadomi użytkownicy mogą dać się nabrać na te oszustwa, łącząc swoje portfele ze stronami phishingowymi lub wchodząc w interakcje ze złośliwymi inteligentnymi kontraktami.
Strażnicy Sui na ratunek
W odpowiedzi na te rosnące zagrożenia społeczność Sui (w szczególności Suiet) opracowała Sui Guardians, inicjatywę, która śledzi i łagodzi oszustwa na Sui. Sui Guardians utrzymuje stale aktualizowane repozytorium złośliwych domen i obiektów, takich jak monety i NFT.
Te listy są dostępne za pośrednictwem repozytorium GitHub Suiet, co pozwala aplikacjom na Sui na włączenie ochrony w czasie rzeczywistym przed oszustwami. Na przykład aplikacje wykorzystujące Sui Guardians mogą sprawdzać adresy URL i zasoby onchain oraz ostrzegać użytkowników, jeśli zamierzają uzyskać dostęp do znanej złośliwej witryny, co pomaga im zachować bezpieczeństwo.
Zachęcamy deweloperów, twórców i użytkowników do zgłaszania wszelkich podejrzanych działań, które przyczyniają się do stałego bezpieczeństwa sieci. Integrując się i przyczyniając się do Sui Guardians, każdy może pomóc utrzymać integralność ekosystemu i zapewnić bezpieczniejsze środowisko dla interakcji Web3.
Ataki na poziomie protokołu
Na poziomie protokołu Web3 jest narażony na wiele potencjalnych ataków wymierzonych w inteligentne kontrakty i podstawową infrastrukturę blockchain. Niektóre z najczęstszych ataków obejmują reentrancy, overflow/underflow i luki w zabezpieczeniach kontroli dostępu. Na szczęście obiektowy język projektowania i programowania Sui, Move, zapewnia solidną obronę przed wieloma zagrożeniami.
Ataki reentrancyjne
Ataki reentrancy występują, gdy jeden inteligentny kontrakt wywołuje inny kontrakt, a wywołany kontrakt wykonuje rekurencyjne wywołanie zwrotne do oryginalnego kontraktu przed zakończeniem początkowego wykonania. Innymi słowy, atak reentrancy ma miejsce, gdy jeden inteligentny kontrakt oszukuje inny, aby wywołał go z powrotem przed zakończeniem przetwarzania. Może to prowadzić do nieoczekiwanych zachowań, takich jak wyczerpywanie funduszy lub manipulowanie stanem. W klasycznych atakach, takich jak niesławny atak DAO, atakujący wykorzystują tę lukę, aby wypłacić więcej funduszy, niż są uprawnieni.
Move on Sui zapobiega atakom reentrancy, nie zezwalając na dynamiczną wysyłkę, która ma miejsce, gdy program ustala, którą funkcję wywołać w czasie wykonywania, a nie w momencie pisania kodu. Innymi słowy, inteligentne kontrakty nie mogą wykonywać powtarzających się wywołań, które zmieniają rzeczy przed ukończeniem pierwszej akcji, blokując główny sposób występowania ataków reentrancy. Ta konstrukcja zapewnia z natury bezpieczniejsze środowisko zarówno dla programistów, jak i użytkowników.
Przepełnienie/Niedobór
Przepełnienie i niedopełnienie występują, gdy liczba przekracza maksymalny lub minimalny dozwolony limit, co może powodować nieoczekiwane rezultaty. Na przykład, jeśli licznik przekroczy swój limit, może zostać zresetowany do niewłaściwej liczby, co pozwoli atakującym wykorzystać to do zmiany sposobu działania systemu.
W Sui język Move automatycznie obsługuje przepełnienie i niedopełnienie, przerywając transakcje, gdy wystąpią, zapobiegając w ten sposób podatnościom na błędy matematyczne. Dzięki temu inteligentne kontrakty są bardziej odporne na błędy i awarie, a atakujący nie mogą wykorzystywać podatności w obliczeniach numerycznych.
Luki w zabezpieczeniach kontroli dostępu
Luki w zabezpieczeniach kontroli dostępu umożliwiają nieautoryzowanym użytkownikom dostęp do ograniczonych funkcji w inteligentnym kontrakcie. Jeśli wrażliwe działania (takie jak przelewanie środków lub modyfikowanie danych) nie są odpowiednio zabezpieczone, atakujący mogą wykorzystać te luki, aby manipulować zachowaniem programu.
Natywny model własności obiektów Sui zapewnia, że dostęp do posiadanych zasobów jest ściśle kontrolowany. Na przykład tylko właściciel obiektu może inicjować transakcje w celu mutacji lub przeniesienia obiektu. Eliminuje to potrzebę złożonej logiki kontroli dostępu w samym inteligentnym kontrakcie, zmniejszając ryzyko błędnej konfiguracji lub eksploatacji.
Ponadto Kiosk Standard firmy Sui umożliwia scenariusze częściowej własności (na przykład NFT wystawiony na sprzedaż) z wyraźnymi uprawnieniami kontroli dostępu, zapobiegając nieautoryzowanemu dostępowi do współdzielonych obiektów. Ułatwia to deweloperom wdrażanie bezpiecznych i wydajnych projektów kontraktów bez narażania użytkowników na niepotrzebne ryzyko.
Inne ataki na poziomie protokołu
Podczas gdy projekt Sui minimalizuje ryzyko wielu powszechnych luk, inne zagrożenia, takie jak zależność od znacznika czasu, błędy logiczne, niepewna losowość i luki w zabezpieczeniach limitu gazu, nadal mogą istnieć. Oto krótki przegląd tego, jak Sui sobie z nimi radzi:
Zależność od znaczników czasu: Sui używa znaczników czasu BFT z obiektu Clock, co łagodzi problemy związane ze znacznikami czasu.
Błędy logiczne: Podobnie jak każdy inny blockchain, Sui nie jest odporny na błędy logiczne, ale jego obiektowa konstrukcja minimalizuje prawdopodobieństwo wystąpienia takich błędów.
Niebezpieczna losowość: Sui oferuje programistom natywny sygnał losowości, aby zapewnić bezpieczniejsze korzystanie z losowości.
Luki w zabezpieczeniach limitu gazu: Sui zapewnia przewidywalne zużycie gazu, co zmniejsza niepewność w realizacji.
Niesprawdzone wywołania zewnętrzne: Niemożliwe w Sui, ponieważ język Move wymusza ścisłą weryfikację kodu bajtowego.
Bezpieczniejsza przyszłość z Sui
Sui to ekosystem Web3 zaprojektowany z myślą o bezpieczeństwie w centrum. Poprzez reagowanie na zagrożenia na poziomie użytkownika za pomocą narzędzi takich jak Sui Guardians i zabezpieczanie protokołów za pomocą funkcji takich jak natywne prawo własności obiektów i język programowania Move, Sui zapewnia solidne podstawy dla bezpiecznych interakcji w zdecentralizowanym ekosystemie.
W miarę jak Web3 nadal ewoluuje, zarówno użytkownicy, jak i deweloperzy muszą być poinformowani i czujni na potencjalne zagrożenia. Rozumiejąc te wektory ataków i wykorzystując funkcje bezpieczeństwa oferowane przez Sui, wszyscy możemy przyczynić się do bezpieczniejszego, bardziej odpornego ekosystemu dla przyszłości Web3.
Uwaga: Niniejsza treść ma charakter wyłącznie ogólnoedukacyjny i informacyjny i nie należy jej interpretować ani polegać na niej jako na poparciu lub rekomendacji kupna, sprzedaży lub posiadania jakichkolwiek aktywów, inwestycji lub produktów finansowych. Nie stanowi ona również porady finansowej, prawnej ani podatkowej.
