Phân tích thời gian của OpenBounty Rabbit Hole

本文 Băm（SHA 1):4f5b9f376aa53c6cccca03a2ddd065a59550d73c

Số: Bảo mật Chainyuan số 003

Vào ngày 3 tháng 7 năm 2024, nền tảng tiền thưởng lỗi OpenBounty được tiết lộ đã công bố các báo cáo về lỗ hổng trái phép trên chuỗi công khai. Hành vi này cực kỳ không thể chấp nhận được đối với mọi nhà nghiên cứu cơ sở hạ tầng và bảo mật có liên quan đến danh sách, đồng thời có hành vi cực kỳ thiếu tôn trọng. Bởi vì tổng giá trị tiền thưởng của tất cả các lỗ hổng đã vượt quá 11 tỷ đô la Mỹ, nó cũng gây ra một cuộc thảo luận nhất định trong toàn bộ nhóm công chúng, khiến nền tảng tiền thưởng lỗi trở nên nổi tiếng trong mắt công chúng. Nhóm bảo mật ChainSource đã tiến hành phân tích bảo mật. và công khai một phần thông tin rò rỉ này, hy vọng giúp người đọc hiểu chi tiết hơn và cũng hiểu rõ hơn về sự tồn tại của nền tảng tiền thưởng lỗi.

Thông tin liên quan

Thông tin báo cáo về lỗ hổng bảo mật được OpenBounty tiết lộ riêng tư trên chuỗi công khai SEHNTU (các đề xuất có liên quan về Ethereum hiện đã bị xóa):

https://www.mintscan.io/shentu/proposals

https://explorer.shentu.technology/more/proposal

Tiền thưởng lỗi/đào lỗ

Nền tảng tiền thưởng lỗ hổng trong thế giới on-chain rất giống với nền tảng "đào lỗ" trong bảo mật mạng truyền thống. Mục đích chính của cả hai là thu hút các nhà nghiên cứu bảo mật và hacker mũ trắng tìm kiếm và báo cáo các lỗ hổng trong hệ thống thông qua cơ chế khen thưởng. , từ đó cải thiện an ninh tổng thể.

Mô hình hoạt động của họ như sau trên dòng thời gian:

(1) Thử thách khởi động dự án: Cho dù đó là dự án blockchain hay ứng dụng mạng truyền thống, chương trình tiền thưởng lỗi sẽ được phát hành trên nền tảng.

(2) Báo cáo lỗ hổng: Các nhà nghiên cứu bảo mật và tin tặc phát hiện mã hoặc hệ thống dự án và gửi báo cáo chi tiết sau khi phát hiện ra lỗ hổng.

(3) Xác minh và sửa chữa: Nhóm dự án xác minh các lỗ hổng trong báo cáo và sửa chữa chúng.

(4) Phân phối phần thưởng: Sau khi sửa chữa hoàn tất, người phát hiện sẽ được trao phần thưởng tương ứng dựa trên mức độ nghiêm trọng và phạm vi của lỗ hổng.

An ninh mạng truyền thống chủ yếu tập trung vào các lỗ hổng CNTT truyền thống như ứng dụng Web, máy chủ và thiết bị mạng, chẳng hạn như XXS[ 1 ], SQL SQL[ 2 ], CSRF[ 3 ], v.v.;

Bảo mật chuỗi khối chú ý nhiều hơn đến các hợp đồng thông minh, giao thức và ví được mã hóa, chẳng hạn như tấn công Sybil [4], tấn công chuỗi chéo [5], các cuộc gọi bên ngoài bất thường, v.v.

Báo cáo lỗ hổng chính

Báo cáo lỗ hổng số 33 do OpenBounty phát hành vi phạm quy định là bài kiểm tra kiểm tra và thâm nhập của CertiK đối với chuỗi SHENTU. Từ đề xuất, chúng ta có thể thấy rằng bài kiểm tra bảo mật này chủ yếu giải quyết các lỗ hổng bảo mật và các hạn chế ủy quyền trong SHENTU.

Nhưng sau khi đọc mã nguồn của SHENTU, tôi thấy có một đoạn mã thay thế tiền tố CertiK bằng tiền tố SHENTU. , nhưng nó mang lại cho người ta cảm giác về CertiK. Cảm giác như vừa là trọng tài vừa là vận động viên.​

Trong 32 báo cáo lỗ hổng khác mà SEHNTU chưa xóa, bạn có thể xem mô tả vấn đề, các bên bỏ phiếu, mô tả phần thưởng và thậm chí cả mã của từng hệ thống sau khi lỗ hổng được cập nhật. Những thông tin tiết lộ trái phép này có thể dễ dàng gây ra những thiệt hại thứ cấp. đối với hệ thống, bởi vì mỗi hệ thống sẽ có một số vấn đề lịch sử hoặc thói quen mã hóa riêng trong quá trình phát triển. Đối với tin tặc, thực sự có rất nhiều chỗ để sử dụng thông tin này.

Giải thích danh từ

[ 1 ] XXS: Kẻ tấn công đưa các tập lệnh độc hại vào các trang web, khiến các tập lệnh được thực thi khi người dùng duyệt trang web. Chúng chủ yếu bao gồm XSS được phản ánh, XSS được lưu trữ và DOM XSS.​

[ 2 ] SQL SQL: Một phương thức tấn công chèn mã SQL độc hại vào các trường đầu vào (chẳng hạn như biểu mẫu, tham số URL), sau đó chuyển mã đó đến cơ sở dữ liệu để thực thi. Các cuộc tấn công như vậy có thể dẫn đến rò rỉ, sửa đổi hoặc xóa dữ liệu cơ sở dữ liệu và thậm chí giành quyền kiểm soát máy chủ cơ sở dữ liệu.

[ 3 ] CSRF: Một phương thức tấn công sử dụng phiên xác thực của người dùng để gửi yêu cầu trái phép đến các trang web đáng tin cậy. Những kẻ tấn công dụ dỗ người dùng truy cập các trang web được tạo đặc biệt hoặc nhấp vào liên kết để thực hiện các hoạt động mà người dùng không hề hay biết, chẳng hạn như chuyển tiền, sửa đổi thông tin cá nhân, v.v.

[4]Tấn công Sybil: Trong mạng phân tán, kẻ tấn công tạo ra nhiều danh tính (nút) giả nhằm cố gắng thao túng quá trình ra quyết định trong mạng. Những kẻ tấn công gây ảnh hưởng đến thuật toán đồng thuận bằng cách tạo ra một số lượng lớn các nút giả, từ đó kiểm soát việc xác nhận giao dịch hoặc chặn các giao dịch hợp pháp.

[ 5 ] Tấn công chuỗi chéo: Kẻ tấn công có thể bỏ qua việc kiểm tra bảo mật trong hợp đồng và đánh cắp hoặc giả mạo dữ liệu giao dịch chuỗi chéo bằng cách thao túng các yêu cầu giao dịch chuỗi chéo, chẳng hạn như các cuộc tấn công cầu nối chuỗi chéo Poly Network.

Phần kết luận

Nhìn chung, như OpenZepplin và HackenProof chỉ ra, việc quản lý tiền thưởng lỗi phải được sự cho phép của nhà xuất bản. Đây là vấn đề pháp lý và đạo đức nghề nghiệp, đồng thời cũng là cơ sở cho thành tựu của nhiều nhà phát triển độc lập.

Chainyuan Technology là một công ty tập trung vào bảo mật blockchain. Công việc cốt lõi của chúng tôi bao gồm nghiên cứu bảo mật blockchain, phân tích dữ liệu trên chuỗi cũng như giải cứu lỗ hổng tài sản và hợp đồng, đồng thời chúng tôi đã khôi phục thành công nhiều tài sản kỹ thuật số bị đánh cắp cho các cá nhân và tổ chức. Đồng thời, chúng tôi cam kết cung cấp các báo cáo phân tích an toàn dự án, truy xuất nguồn gốc trên chuỗi và các dịch vụ tư vấn/hỗ trợ kỹ thuật cho các tổ chức trong ngành.

Cảm ơn bạn đã đọc, chúng tôi sẽ tiếp tục tập trung và chia sẻ nội dung bảo mật blockchain.​