Хэш этой статьи (SHA 1):73c704b01c20bcc2137e83c1446832be2b4f779f
Номер: Знания о безопасности Chainsource № 013.
Технология блокчейн стала важной инфраструктурой во многих областях, таких как современные финансы, цепочки поставок и хранение данных, благодаря своим децентрализованным и прозрачным характеристикам. Однако с развитием технологий системы блокчейна также сталкиваются со все более сложными проблемами безопасности. Команда безопасности ChainSource проведет анализ на разных уровнях: L0 (базовая инфраструктура), L1 (основная цепочка), L2 (решение расширения) и L3 (уровень приложений). Мы всесторонне проанализируем безопасность этих четырех основных уровней блокчейна и обсудим проблемы и стратегии реагирования, с которыми они сталкиваются, с конкретными случаями.
Уровень 0: базовая безопасность инфраструктуры.
Уровень L0 — это инфраструктура блокчейна, включая аппаратное обеспечение, сеть и механизм консенсуса. Безопасность этого уровня напрямую влияет на стабильность и безопасность всей системы блокчейна.
Проблемы безопасности:
Безопасность оборудования. Аппаратные устройства могут подвергаться физическим атакам или сбоям, что приводит к утечке данных или сбоям системы.
Сетевая безопасность. Сети блокчейна могут подвергаться DDoS-атакам, влияющим на нормальную работу сети.
Безопасность механизма консенсуса. Механизмы консенсуса (такие как PoW, PoS и т. д.) могут быть атакованы, что приводит к атакам двойного расходования или проблемам с разветвлением.
Меры предосторожности:
Аппаратное шифрование. Используйте аппаратные модули безопасности (HSM) и доверенные среды выполнения (TEE) для защиты ключей и конфиденциальных данных.
Защита сети: разверните брандмауэры и механизмы защиты от DDoS для обеспечения стабильности сети.
Оптимизация механизма консенсуса: улучшите алгоритм консенсуса и увеличьте сложность атак, например, увеличив вычислительную сложность Proof of Work (PoW) или внедрив механизм многоуровневой проверки Proof of Stake (PoS).
Кейс: Ethereum Classic — это раздвоенная цепочка Ethereum, которая наследует исходную цепочку Ethereum. В 2019 и 2020 годах сеть ETC подверглась нескольким атакам 51% соответственно. Злоумышленники контролировали более 50% вычислительной мощности сети и провели несколько атак по реорганизации, что привело к феномену двойных расходов и серьезным потерям в миллионах долларов США. повлияло на надежность и безопасность сети. После этого сообщество ETC усилило мониторинг сети, представило инструменты для обнаружения и защиты от атак 51% и увеличило стоимость атак.
Уровень 1: Безопасность основной цепи
Уровень L1 относится к основной части блокчейна и включает в себя протокол и структуру данных блокчейна. Безопасность этого уровня связана с целостностью сети блокчейна и защищенностью данных.
Проблемы безопасности:
Уязвимости протоколов. Протоколы блокчейна могут иметь недостатки конструкции или лазейки в реализации, которые могут быть использованы злонамеренно.
Уязвимости смарт-контракта. В коде смарт-контракта могут быть лазейки, ведущие к краже средств или злоупотреблению контрактом.
Безопасность узлов: узлы могут быть атакованы, что влияет на нормальную работу всей сети блокчейна.
Меры предосторожности:
Аудит протоколов: регулярно проводите аудит безопасности протоколов блокчейна для обнаружения и устранения потенциальных уязвимостей.
Аудит смарт-контрактов: используйте инструменты и сторонние службы аудита для проведения комплексной проверки кода смарт-контракта и обеспечения его безопасности.
Защита узлов: разверните системы обнаружения вторжений (IDS) и межсетевые экраны для защиты узлов от атак.
Случай: В 2016 году DAO (децентрализованная автономная организация) Ethereum подверглась атаке. Этот инцидент был связан с безопасностью сети Ethereum. Злоумышленник воспользовался уязвимостью (уязвимость рекурсивного вызова) в смарт-контракте DAO для проведения атаки двойного потребления. Ethereum на сумму около 50 миллионов долларов. Этот инцидент привел к решению сообщества Ethereum провести хард-форк для отката украденных средств, что привело к появлению Ethereum (ETH) и Ethereum Classic (ETC), а также к введению более строгих механизмов аудита контрактов и проверки безопасности для повышения безопасности сети.
Уровень 2: Расширенная безопасность решения
Безопасность блокчейна L2 (уровень 2) в основном включает в себя масштабируемые решения поверх сетей блокчейнов, которые предназначены для улучшения масштабируемости и производительности сети при сохранении высокого уровня безопасности. Решения L2 включают боковые цепи, каналы состояния, сети Lightning и т. д. Безопасность этого уровня включает межцепочную связь и подтверждение транзакций. Проблемы безопасности:
Безопасность межсетевой связи. Протоколы межсетевой связи могут иметь лазейки, которые могут быть злонамеренно использованы для атак.
Безопасность подтверждения транзакций. Механизм подтверждения транзакций уровня L2 может иметь недостатки, приводящие к двойным тратам или неподтверждению транзакций.
Безопасность схемы расширения. Реализация схемы расширения может иметь конструктивные недостатки или лазейки в реализации, которые влияют на безопасность системы.
Меры предосторожности:
Аудит межсетевого протокола. Проведите комплексный аудит протокола межсетевой связи, чтобы обеспечить его безопасность.
Оптимизация механизма подтверждения транзакций: Улучшите механизм подтверждения транзакций, чтобы обеспечить уникальность и защищенность транзакций.
Проверка безопасности схемы расширения. Используйте формальные инструменты проверки и тестирования безопасности для всесторонней проверки схемы расширения и обеспечения ее безопасности.
Кейс: Lightning Network — это решение масштабирования L2 для быстрых микроплатежей в биткойнах. В 2019 году исследователи обнаружили уязвимость, позволяющую злоумышленникам похитить средства пользователей посредством вредоносных транзакций. Злоумышленник может отправить недействительные транзакции до закрытия канала, что приведет к краже средств пользователя. Хотя эта уязвимость не использовалась в больших масштабах, она представляет потенциальную угрозу безопасности в сети Lightning. Команда разработчиков быстро выпустила исправления, посоветовала пользователям перейти на последнюю версию и усилила проверки безопасности.
Уровень 3: Безопасность прикладного уровня
Уровень L3 относится к приложениям на основе блокчейна, включая безопасность смарт-контрактов, безопасность dApps, механизмы управления внутри цепочки и т. д., такие как децентрализованные приложения (DApps) и платформы смарт-контрактов. Этот уровень безопасности включает в себя безопасность пользовательских данных и логики приложения.
Проблемы безопасности:
Безопасность пользовательских данных. Пользовательские данные могут быть раскрыты или подделаны, что приведет к утечке конфиденциальности или потере данных.
Уязвимости логики приложения. Логика приложения может иметь уязвимости, которые могут быть использованы злоумышленниками для атак.
Безопасность аутентификации. Механизм аутентификации пользователя может иметь недостатки и использоваться злоумышленниками для атак.
Меры предосторожности:
Шифрование данных: шифруйте и храните пользовательские данные для защиты конфиденциальности пользователей.
Аудит логики приложения. Используйте инструменты аудита безопасности и сторонние службы аудита для проведения комплексной проверки логики приложения и обеспечения его безопасности.
Многофакторная аутентификация. Используйте механизм многофакторной аутентификации для повышения безопасности аутентификации пользователей.
Случай: В августе 2021 года протокол межсетевого взаимодействия Poly Network внезапно подвергся атаке хакеров. O 3 Swap, использующий этот протокол, понес серьезные потери. Активы в трех крупнейших сетях Ethereum, Binance Smart Chain и Polygon были практически полностью разграблены. За 1 час было украдено криптоактивов на сумму 250 миллионов долларов США, 270 миллионов долларов США и 85 миллионов долларов США соответственно, с общими потерями до 610 миллионов долларов США. Эта атака в основном вызвана заменой открытого ключа валидатора цепочки реле. То есть злоумышленник заменяет межсетевой промежуточный верификатор и контролируется самим злоумышленником. Этот инцидент побудил более децентрализованные биржи усилить проверки безопасности смарт-контрактов и внедрить многофакторную аутентификацию.
Заключение
Безопасность блокчейна — это многоуровневая проблема, требующая комплексного анализа и реагирования на всех уровнях от L0 до L3. Общая безопасность системы блокчейна может быть значительно улучшена за счет усиления аппаратной и сетевой безопасности, улучшения механизмов консенсуса, проведения регулярных проверок протоколов и смарт-контрактов, оптимизации механизмов межцепочной связи и подтверждения транзакций, а также обеспечения безопасности пользовательских данных и логики приложений. на прикладном уровне.
Наша команда по безопасности источников цепочки будет продолжать проводить исследования в области безопасности и технические улучшения, чтобы обеспечить здоровое развитие технологии блокчейна и возможность более безопасного проведения транзакций пользователями. Мы твердо убеждены, что только путем постоянного улучшения безопасности на всех уровнях мы сможем по-настоящему реализовать децентрализацию блокчейна. . Видение централизации, прозрачности и безопасности.
Chainyuan Technology — компания, специализирующаяся на безопасности блокчейнов. Наша основная работа включает в себя исследования безопасности блокчейнов, анализ данных в цепочке, а также спасение от уязвимостей активов и контрактов, и мы успешно вернули множество украденных цифровых активов для частных лиц и учреждений. В то же время мы стремимся предоставлять отчеты по анализу безопасности проектов, отслеживание в цепочке, а также услуги технического консультирования/поддержки отраслевым организациям. Спасибо за чтение, мы продолжим уделять внимание и делиться контентом о безопасности блокчейна.
