OpenBounty兔子洞時間解析

本文 Hash（SHA 1）：4f5b9f376aa53c6cccca03a2ddd065a59550d73c

編號：鏈源 Security No.003 

2024 年 7 月 3 日漏洞賞金平臺 OpenBounty 被披露出將未經授權的漏洞報告公開發表在公鏈上，這種行爲對於名單中涉及到的每一個基礎設施和安全研究員來說都是極不負責和極不尊重的行爲，同時也因這次所有漏洞的總賞金價值超過了 110 億美元，也在整個公衆羣體中引發了一定的討論，使得漏洞賞金平臺在大衆眼裏所熟知，鏈源安全團隊對於這次的泄露事件進行了安全分析和部分公示，希望能夠幫助讀者解讀其中的細節，同時也更加了解漏洞賞金平臺這樣的存在。

相關信息

OpenBounty 在 SEHNTU 公鏈上私自披露的漏洞報告信息（現已刪除了關於 Ethereum 的相關提案）：    

https://www.mintscan.io/shentu/proposals

https://explorer.shentu.technology/more/proposal

漏洞賞金/挖洞

鏈上世界的漏洞賞金平臺和傳統網絡安全中的“挖洞”平臺非常相似，兩者的主要目的都是通過獎勵機制，吸引安全研究員和白帽黑客來尋找和報告系統中的漏洞，從而提高整體安全性。

他們的運作模式從時間線上來說是下面這樣的流程：

（1）項目發起挑戰：無論是區塊鏈項目還是傳統網絡應用，都會在平臺上發佈漏洞賞金計劃。

（2）漏洞報告：安全研究員和黑客們檢測項目代碼或系統，發現漏洞後提交詳細報告。

（3）驗證和修復：項目團隊驗證報告中的漏洞並進行修復。

（4）獎勵發放：修復完成後，根據漏洞的嚴重程度和影響範圍，給予發現者相應的獎勵。

傳統的網絡安全主要關注 Web 應用、服務器、網絡設備等傳統 IT 的漏洞，如 XXS[ 1 ]、SQL 注入[ 2 ]、CSRF[ 3 ]等；

區塊鏈安全更關注智能合約、協議、加密錢包，如 Sybil 攻擊[ 4 ]、跨鏈攻擊[ 5 ]、異常外部調用等。

重點漏洞報告

在 OpenBounty 違規發佈的漏洞報告 33 號中是 CertiK 對於 SHENTU 鏈的審計和滲透測試，從提案中可以看到這次安全測試要解決的主要是 SHENTU 內部的安全漏洞和授權限制問題，

但閱讀過 SHENTU 的源碼後發現了一段替換前綴的代碼，將 CertiK 的前綴替換爲了 SHENTU 的前綴，雖然在開發上是可以理解的，只是爲了方便調整而進行域名替換，但的確會給人一種 CertiK 既當裁判又當運動員的感覺。    

在其他 32 份 SEHNTU 還未刪除的漏洞報告中，都能夠看到關於問題描述、投票方、獎勵描述甚至各個系統在漏洞更新後的代碼，這些未經授權而披露出的信息，很容易造成這些系統的二次破壞，因爲每個系統在開發過程中都會多少有一些歷史遺留問題或者特有的編碼習慣，對於黑客來說，這些信息的利用空間的確很大。

名詞解讀

[ 1 ]XXS：攻擊者通過在網頁中注入惡意腳本，使腳本在用戶瀏覽該網頁時執行，主要包括反射型 XSS、存儲型 XSS、DOM 型 XSS。    

[ 2 ]SQL 注入：將惡意 SQL 代碼插入輸入字段（如表單、URL 參數）中，然後傳遞給數據庫進行執行的攻擊方法。此類攻擊可導致數據庫數據泄露、修改或刪除，甚至獲取數據庫服務器的控制權。

[ 3 ]CSRF：利用用戶已認證的會話，向受信任的站點發送未經授權請求的攻擊方式。攻擊者通過誘使用戶訪問特製的網頁或點擊鏈接，從而在用戶不知情的情況下執行操作，如轉賬、修改個人信息等。

[ 4 ]Sybil 攻擊：在分佈式網絡中，攻擊者創建多個僞造身份（節點），試圖操縱網絡中的決策過程。攻擊者通過創建大量虛假節點來影響共識算法，進而控制交易確認或阻止合法交易。

[ 5 ]跨鏈攻擊：攻擊者能夠通過操縱跨鏈交易請求，繞過合約中的安全檢查，竊取或篡改跨鏈交易數據，例如 Poly Network 跨鏈橋攻擊。

結語

總的來說，就像 OpenZepplin 和 HackenProof 所表示的那樣，漏洞賞金的管理必須得到發佈者的許可，這是一個法律與職業道德並行的問題，也是很多獨立開發者成就的基礎。

鏈源科技是一家專注於區塊鏈安全的公司。我們的核心工作包括區塊鏈安全研究、鏈上數據分析，以及資產和合約漏洞救援，已成功爲個人和機構追回多起被盜數字資產。同時，我們致力於爲行業機構提供項目安全分析報告、鏈上溯源和技術諮詢/支撐服務。

感謝各位的閱讀，我們會持續專注和分享區塊鏈安全內容。