Bài viết này Hash (SHA 1):73c704b01c20bcc2137e83c1446832be2b4f779f
Số: Kiến thức bảo mật Chainsource số 013
Công nghệ chuỗi khối đã trở thành cơ sở hạ tầng quan trọng trong nhiều lĩnh vực như tài chính hiện đại, chuỗi cung ứng và lưu trữ dữ liệu do đặc tính phi tập trung và minh bạch của nó. Tuy nhiên, với sự phát triển của công nghệ, các hệ thống blockchain cũng đang phải đối mặt với những thách thức bảo mật ngày càng phức tạp. Nhóm bảo mật ChainSource sẽ tiến hành phân tích ở các cấp độ khác nhau: L0 (cơ sở hạ tầng cơ bản), L1 (chuỗi chính), L2 (giải pháp mở rộng) và L3 (lớp ứng dụng). Chúng tôi sẽ phân tích toàn diện tính bảo mật của bốn cấp độ blockchain chính này và thảo luận về những thách thức cũng như chiến lược ứng phó mà chúng gặp phải, với các trường hợp cụ thể.
Lớp 0: bảo mật cơ sở hạ tầng cơ bản
Lớp L0 là cơ sở hạ tầng của blockchain, bao gồm phần cứng, mạng và cơ chế đồng thuận. Tính bảo mật của lớp này ảnh hưởng trực tiếp đến tính ổn định và bảo mật của toàn bộ hệ thống blockchain.
Những thách thức về an ninh:
Bảo mật phần cứng: Các thiết bị phần cứng có thể bị tấn công vật lý hoặc gặp trục trặc, dẫn đến rò rỉ dữ liệu hoặc sự cố hệ thống.
An ninh mạng: Mạng Blockchain có thể bị tấn công DDoS, ảnh hưởng đến hoạt động bình thường của mạng.
Bảo mật cơ chế đồng thuận: Các cơ chế đồng thuận (như PoW, PoS, v.v.) có thể bị tấn công, dẫn đến các cuộc tấn công chi tiêu gấp đôi hoặc các vấn đề về phân nhánh.
Các biện pháp an toàn:
Mã hóa phần cứng: Sử dụng mô-đun bảo mật phần cứng (HSM) và môi trường thực thi đáng tin cậy (TEE) để bảo vệ khóa và dữ liệu nhạy cảm.
Bảo vệ mạng: Triển khai tường lửa và cơ chế bảo vệ DDoS để đảm bảo mạng ổn định.
Tối ưu hóa cơ chế đồng thuận: Cải thiện thuật toán đồng thuận và tăng độ khó của các cuộc tấn công, chẳng hạn như tăng độ phức tạp tính toán của Proof of Work (PoW) hoặc áp dụng cơ chế xác minh đa cấp của Proof of Stake (PoS).
Trường hợp: Ethereum Classic là một chuỗi phân nhánh của Ethereum kế thừa chuỗi Ethereum ban đầu. Trong năm 2019 và 2020, mạng ETC đã phải hứng chịu nhiều cuộc tấn công 51% tương ứng. Những kẻ tấn công đã kiểm soát hơn 50% sức mạnh tính toán của mạng và thực hiện nhiều cuộc tấn công tái tổ chức, dẫn đến hiện tượng chi tiêu gấp đôi và thiệt hại hàng triệu đô la Mỹ. ảnh hưởng nghiêm trọng đến độ tin cậy và an ninh của mạng. Sau đó, cộng đồng ETC đã tăng cường giám sát mạng, giới thiệu các công cụ phát hiện và bảo vệ chống lại các cuộc tấn công 51%, đồng thời tăng chi phí cho các cuộc tấn công.
Lớp 1: Bảo mật chuỗi chính
Lớp L1 đề cập đến phần chuỗi chính của chuỗi khối và liên quan đến giao thức và cấu trúc dữ liệu của chuỗi khối. Tính bảo mật của lớp này liên quan đến tính toàn vẹn của mạng blockchain và khả năng không bị giả mạo của dữ liệu.
Những thách thức về an ninh:
Lỗ hổng giao thức: Giao thức chuỗi khối có thể có lỗi thiết kế hoặc lỗ hổng triển khai có thể bị khai thác độc hại.
Lỗ hổng hợp đồng thông minh: Có thể có sơ hở trong mã hợp đồng thông minh, dẫn đến trộm tiền hoặc lạm dụng hợp đồng.
Bảo mật nút: Các nút có thể bị tấn công, ảnh hưởng đến hoạt động bình thường của toàn bộ mạng blockchain.
Các biện pháp an toàn:
Kiểm tra giao thức: Thường xuyên tiến hành kiểm tra bảo mật các giao thức blockchain để phát hiện và sửa chữa các lỗ hổng tiềm ẩn.
Kiểm tra hợp đồng thông minh: Sử dụng các công cụ và dịch vụ kiểm toán của bên thứ ba để tiến hành đánh giá toàn diện mã hợp đồng thông minh nhằm đảm bảo tính bảo mật của nó.
Bảo vệ nút: Triển khai hệ thống phát hiện xâm nhập (IDS) và tường lửa để bảo vệ các nút khỏi các cuộc tấn công.
Trường hợp: Vào năm 2016, DAO (Tổ chức tự trị phi tập trung) của Ethereum đã bị tấn công. Sự cố này liên quan đến tính bảo mật của mạng Ethereum. Kẻ tấn công đã khai thác lỗ hổng (lỗ hổng cuộc gọi đệ quy) trong hợp đồng thông minh DAO để tiến hành một cuộc tấn công tiêu thụ kép. Ethereum trị giá khoảng 50 triệu đô la. Sự cố này đã dẫn đến quyết định của cộng đồng Ethereum tiến hành một hard fork để lấy lại số tiền bị đánh cắp, dẫn đến Ethereum (ETH) và Ethereum Classic (ETC), đồng thời đưa ra các cơ chế đánh giá bảo mật và kiểm toán hợp đồng chặt chẽ hơn để tăng cường an ninh mạng.
Lớp 2: Bảo mật giải pháp mở rộng
Bảo mật Blockchain L2 (Lớp 2) chủ yếu liên quan đến các giải pháp mở rộng quy mô trên các mạng blockchain được thiết kế để cải thiện khả năng mở rộng và hiệu suất của mạng trong khi vẫn duy trì tính bảo mật cao. Các giải pháp L2 bao gồm chuỗi bên, kênh trạng thái, mạng Lightning, v.v. Tính bảo mật của lớp này liên quan đến giao tiếp chuỗi chéo và xác nhận giao dịch. Những thách thức về an ninh:
Bảo mật liên lạc xuyên chuỗi: Các giao thức liên lạc xuyên chuỗi có thể có những sơ hở có thể bị khai thác nhằm mục đích tấn công.
Bảo mật xác nhận giao dịch: Cơ chế xác nhận giao dịch lớp L2 có thể có sai sót, dẫn đến chi tiêu gấp đôi hoặc không xác nhận giao dịch.
Bảo mật của sơ đồ mở rộng: Việc triển khai sơ đồ mở rộng có thể có sai sót trong thiết kế hoặc sơ hở trong triển khai, ảnh hưởng đến tính bảo mật của hệ thống.
Các biện pháp an toàn:
Kiểm tra giao thức chuỗi chéo: Tiến hành kiểm tra toàn diện giao thức truyền thông chuỗi chéo để đảm bảo tính bảo mật của nó.
Tối ưu hóa cơ chế xác nhận giao dịch: Cải thiện cơ chế xác nhận giao dịch để đảm bảo tính duy nhất và không thể giả mạo của giao dịch.
Xác minh bảo mật của sơ đồ mở rộng: Sử dụng các công cụ kiểm tra bảo mật và xác minh chính thức để xác minh toàn diện sơ đồ mở rộng nhằm đảm bảo tính bảo mật của nó.
Trường hợp: Lightning Network là một giải pháp mở rộng quy mô L2 để thanh toán vi mô nhanh chóng bằng Bitcoin. Năm 2019, các nhà nghiên cứu đã phát hiện ra một lỗ hổng cho phép kẻ tấn công đánh cắp tiền của người dùng thông qua các giao dịch độc hại. Kẻ tấn công có thể gửi các giao dịch không hợp lệ trước khi kênh bị đóng, khiến tiền của người dùng bị đánh cắp. Mặc dù lỗ hổng này chưa bị khai thác trên diện rộng nhưng nó tiềm ẩn những rủi ro bảo mật trong Lightning Network. Nhóm phát triển đã nhanh chóng tung ra các bản vá, khuyên người dùng nên nâng cấp lên phiên bản mới nhất và tăng cường kiểm tra bảo mật.
Lớp 3: Bảo mật lớp ứng dụng
Lớp L3 đề cập đến các ứng dụng dựa trên blockchain, bao gồm bảo mật hợp đồng thông minh, bảo mật của dApps, cơ chế quản trị trên chuỗi, v.v., chẳng hạn như ứng dụng phi tập trung (DApps) và nền tảng hợp đồng thông minh. Lớp bảo mật này liên quan đến việc bảo mật dữ liệu người dùng và logic ứng dụng.
Những thách thức về an ninh:
Bảo mật dữ liệu người dùng: Dữ liệu người dùng có thể bị rò rỉ hoặc giả mạo, dẫn đến rò rỉ quyền riêng tư hoặc mất dữ liệu.
Lỗ hổng logic ứng dụng: Logic ứng dụng có thể có lỗ hổng có thể bị các tác nhân độc hại khai thác để tấn công.
Bảo mật xác thực: Cơ chế xác thực người dùng có thể có sai sót và bị các tác nhân độc hại lợi dụng để tấn công.
Các biện pháp an toàn:
Mã hóa dữ liệu: Mã hóa và lưu trữ dữ liệu người dùng để bảo vệ quyền riêng tư của người dùng.
Kiểm tra logic ứng dụng: Sử dụng các công cụ kiểm tra bảo mật và dịch vụ kiểm tra của bên thứ ba để tiến hành đánh giá toàn diện về logic ứng dụng nhằm đảm bảo tính bảo mật của nó.
Xác thực đa yếu tố: Sử dụng cơ chế xác thực đa yếu tố để cải thiện tính bảo mật cho xác thực người dùng.
Trường hợp: Vào tháng 8 năm 2021, giao thức tương tác chuỗi chéo Poly Network bất ngờ bị tin tặc tấn công. O 3 Swap sử dụng giao thức này bị lỗ nặng. Tài sản trên ba mạng lớn Ethereum, Binance Smart Chain và Polygon gần như đã bị đánh cắp hoàn toàn. Trong vòng 1 giờ, 250 triệu đô la Mỹ, 270 triệu đô la Mỹ và 85 triệu đô la Mỹ tài sản tiền điện tử đã bị đánh cắp lần lượt, với tổng thiệt hại lên tới 610 triệu đô la Mỹ. Cuộc tấn công này chủ yếu xảy ra do việc thay thế khóa chung của trình xác thực chuỗi chuyển tiếp. Nghĩa là, kẻ tấn công thay thế trình xác minh trung gian chuỗi chéo, do chính kẻ tấn công kiểm soát. Sự cố này đã thúc đẩy nhiều sàn giao dịch phi tập trung hơn tăng cường kiểm tra bảo mật các hợp đồng thông minh và triển khai xác thực đa yếu tố.
Phần kết luận
Bảo mật chuỗi khối là vấn đề đa cấp đòi hỏi sự phân tích và phản hồi toàn diện ở mọi cấp độ từ L0 đến L3. Tính bảo mật tổng thể của hệ thống blockchain có thể được cải thiện đáng kể bằng cách tăng cường bảo mật phần cứng và mạng, cải thiện cơ chế đồng thuận, tiến hành kiểm tra giao thức và hợp đồng thông minh thường xuyên, tối ưu hóa cơ chế xác nhận giao dịch và giao tiếp xuyên chuỗi, đồng thời đảm bảo tính bảo mật của dữ liệu người dùng và logic ứng dụng ở lớp ứng dụng.
Nhóm bảo mật nguồn chuỗi của chúng tôi sẽ tiếp tục tiến hành nghiên cứu bảo mật và cải tiến kỹ thuật để đảm bảo sự phát triển lành mạnh của công nghệ blockchain và người dùng có thể thực hiện các giao dịch an toàn hơn. Hiện thực hóa tầm nhìn về tập trung, minh bạch và bảo mật.
Chainyuan Technology là một công ty tập trung vào bảo mật blockchain. Công việc cốt lõi của chúng tôi bao gồm nghiên cứu bảo mật blockchain, phân tích dữ liệu trên chuỗi cũng như giải cứu lỗ hổng tài sản và hợp đồng, đồng thời chúng tôi đã khôi phục thành công nhiều tài sản kỹ thuật số bị đánh cắp cho các cá nhân và tổ chức. Đồng thời, chúng tôi cam kết cung cấp các báo cáo phân tích an toàn dự án, truy xuất nguồn gốc trên chuỗi và các dịch vụ tư vấn/hỗ trợ kỹ thuật cho các tổ chức trong ngành. Cảm ơn bạn đã đọc, chúng tôi sẽ tiếp tục tập trung và chia sẻ nội dung bảo mật blockchain.