Hash (SHA 1):4f5b9f376aa53c6cccca03a2ddd065a59550d73c
Número: Segurança Chainyuan No.003
Em 3 de julho de 2024, foi revelado que a plataforma de recompensas de bugs OpenBounty publicou relatórios de vulnerabilidade não autorizados na cadeia pública. Este comportamento é extremamente inaceitável para todos os pesquisadores de infraestrutura e segurança envolvidos na lista. , como o valor total da recompensa de todas as vulnerabilidades ultrapassou 11 bilhões de dólares americanos, também desencadeou uma certa discussão entre todo o grupo público, tornando a plataforma de recompensas por bugs bem conhecida aos olhos do público. A equipe de segurança da Chainsource conduziu uma segurança. análise e publicidade parcial deste vazamento, na esperança de ajudar os leitores a interpretar os detalhes e obter uma melhor compreensão da existência de plataformas de recompensas por bugs.
Informação relacionada
Informações do relatório de vulnerabilidade divulgadas de forma privada pela OpenBounty na cadeia pública SEHNTU (propostas relevantes sobre Ethereum foram excluídas):
https://www.mintscan.io/shentu/proposals
https://explorer.shentu.technology/more/proposal
Recompensa de insetos/escavação de buracos
A plataforma de recompensa por vulnerabilidades no mundo on-chain é muito semelhante à plataforma de “escavação” na segurança de rede tradicional. O principal objetivo de ambas é atrair pesquisadores de segurança e hackers de chapéu branco para encontrar e relatar vulnerabilidades no sistema por meio de mecanismos de recompensa. , melhorando assim a segurança geral.
Seu modelo operacional é o seguinte na linha do tempo:
(1) Desafio de lançamento do projeto: Seja um projeto blockchain ou um aplicativo de rede tradicional, um programa de recompensas por bugs será lançado na plataforma.
(2) Relatórios de vulnerabilidade: pesquisadores de segurança e hackers detectam códigos ou sistemas de projetos e enviam relatórios detalhados após descobrirem vulnerabilidades.
(3) Verificação e reparo: A equipe do projeto verifica as vulnerabilidades no relatório e as repara.
(4) Distribuição de recompensas: Após a conclusão do reparo, o descobridor receberá recompensas correspondentes com base na gravidade e no escopo da vulnerabilidade.
A segurança de rede tradicional concentra-se principalmente em vulnerabilidades tradicionais de TI, como aplicativos Web, servidores e equipamentos de rede, como XXS[ 1 ], injeção SQL[ 2 ], CSRF[ 3 ], etc.;
A segurança do Blockchain presta mais atenção a contratos inteligentes, protocolos e carteiras criptografadas, como ataques Sybil [4], ataques entre cadeias [5], chamadas externas anormais, etc.
Principais relatórios de vulnerabilidade
O relatório de vulnerabilidade nº 33 divulgado pela OpenBounty em violação dos regulamentos é a auditoria e teste de penetração da cadeia SHENTU da CertiK. A partir da proposta, podemos ver que este teste de segurança resolve principalmente as vulnerabilidades de segurança e restrições de autorização dentro do SHENTU.
Mas depois de ler o código-fonte do SHENTU, encontrei um trecho de código que substitui o prefixo. O prefixo do CertiK é substituído pelo prefixo do SHENTU. Embora seja compreensível no desenvolvimento, a substituição do nome de domínio é apenas para conveniência de ajuste. , mas dá às pessoas uma sensação de CertiK. É como ser um árbitro e um atleta.
Nos outros 32 relatórios de vulnerabilidade que o SEHNTU não excluiu, você pode ver a descrição do problema, as partes votantes, as descrições das recompensas e até mesmo o código de cada sistema após a atualização da vulnerabilidade. Essas divulgações não autorizadas de informações podem facilmente causar esses problemas secundários. ao sistema, porque cada sistema terá alguns problemas históricos ou hábitos de codificação únicos durante o processo de desenvolvimento. Para os hackers, há realmente muito espaço para utilização dessas informações.
Interpretação de substantivo
[1] XXS: Os invasores injetam scripts maliciosos nas páginas da web, fazendo com que os scripts sejam executados quando os usuários navegam na página da web. Eles incluem principalmente XSS refletido, XSS armazenado e DOM XSS.
[2] Injeção de SQL: um método de ataque que insere código SQL malicioso em campos de entrada (como formulários, parâmetros de URL) e depois o passa ao banco de dados para execução. Esses ataques podem levar ao vazamento, modificação ou exclusão de dados do banco de dados e até mesmo obter o controle do servidor de banco de dados.
[3] CSRF: Um método de ataque que usa a sessão autenticada do usuário para enviar solicitações não autorizadas a sites confiáveis. Os invasores induzem os usuários a visitar páginas da web especialmente criadas ou a clicar em links para realizar operações sem o conhecimento do usuário, como transferir dinheiro, modificar informações pessoais, etc.
[4]Ataque Sybil: Em uma rede distribuída, um invasor cria múltiplas identidades falsas (nós) na tentativa de manipular o processo de tomada de decisão na rede. Os invasores influenciam o algoritmo de consenso criando um grande número de nós falsos, controlando assim a confirmação da transação ou bloqueando transações legítimas.
[5] Ataque entre cadeias: os invasores podem ignorar as verificações de segurança em contratos e roubar ou adulterar dados de transações entre cadeias, manipulando solicitações de transações entre cadeias, como ataques de ponte entre cadeias da Poly Network.
Conclusão
Em geral, como indicam OpenZepplin e HackenProof, o gerenciamento de recompensas de bugs deve obter a permissão do editor. Esta é uma questão de ética legal e profissional, e também é a base para as conquistas de muitos desenvolvedores independentes.
Chainyuan Technology é uma empresa focada em segurança blockchain. Nosso trabalho principal inclui pesquisa de segurança de blockchain, análise de dados em cadeia e resgate de vulnerabilidades de ativos e contratos, e recuperamos com sucesso muitos ativos digitais roubados para indivíduos e instituições. Ao mesmo tempo, estamos comprometidos em fornecer relatórios de análise de segurança de projetos, rastreabilidade em cadeia e serviços de consultoria/suporte técnico para organizações do setor.
Obrigado pela leitura, continuaremos a focar e compartilhar conteúdo de segurança blockchain.