OpenBountyのウサギの穴の時間解析

この記事のハッシュ(SHA 1):4f5b9f376aa53c6cccca03a2ddd065a59550d73c

番号:リンクソースセキュリティNo.003

OpenBounty兔子洞时间解析

2024 年 7 月 3 日、OpenBounty 漏洞報酬プラットフォームが未承認の漏洞報告を公開し、それが公開されたことは、リストに含まれるすべてのインフラストラクチャとセキュリティ研究者にとって非常に非責任な行為であり、同時に、すべての漏洞の総報酬額が 110 億米ドルを超えたため、一定の議論を呼び起こし、漏洞報酬プラットフォームが一般の人々の間で広く知られるようになりました。ChainSafe チームはこの情報漏洩事件についてセキュリティ分析と一部の公開を行い、読者が詳細を理解し、このような漏洞報酬プラットフォームの存在をよりよく理解できることを願っています。

関連情報

OpenBounty は SEHNTU ブロックチェーン上で非公式に開示された脆弱性レポート情報 (Ethereum に関する提案については削除されました):

報酬/ハッキング報告

オンチェーン世界の豪華報酬プラットフォームと伝統的なネットワークセキュリティの「掘り出し」プラットフォームは非常に似ており、両者の主な目的は報酬制度によってセキュリティ研究者やホワイトハットハッカーを引きつけ、システムの欠陥を見つけて報告し、全体のセキュリティを向上させることです。

彼らの運営モデルは、時間軸的には以下のようなプロセスです:

(1)プロジェクトの挑戦を発起する:ブロックチェーンプロジェクトでも従来のネットワークアプリケーションでも、プラットフォーム上で脆弱性報酬プログラムを公開します。

(2)バグレポート:セキュリティ研究者やハッカーがプロジェクトのコードやシステムを検査し、欠陥を見つけた場合には、詳細なレポートを提出します。

(3)検証および修正:プロジェクトチームは、バグを検証し修正します。

(4)報酬の発行:修正が完了した後、バグの深刻度と影響範囲に基づいて、発見者に対して適切な報酬を与えます。

従来のネットワークセキュリティは、主にWebアプリケーション、サーバー、ネットワーク機器などの従来のITの脆弱性に注目しており、例えばXXS[1]、SQLインジェクション[2]、CSRF[3]などがあります。

ブロックチェーンのセキュリティには、スマートコントラクト、プロトコル、暗号化ウォレットなどが関与しており、例えば、シビル攻撃[4]、クロスチェーンインタラクション攻撃[5]、異常な外部呼び出しなどがあります。

重要な脆弱性レポート

OpenBounty兔子洞时间解析

OpenBounty兔子洞时间解析

OpenBountyで違反が発生した脆弱性レポート33番では、CertiKがSHENTUチェーンの監査およびペネトレーションテストを実施しました。提案からは、今回のセキュリティテストの主な焦点は、SHENTU内部のセキュリティの脆弱性と認可の制限問題を解決することがわかります。

しかし、SHENTUのソースコードを読んだ後、プレフィックスを置き換えるコードの一部を見つけました。CertiKのプレフィックスをSHENTUのプレフィックスに置き換えています。開発上は理解できるものですが、ドメインの置き換えを容易にするために行っているだけです。ただし、CertiKが審判であり選手であるような印象を与えるかもしれません。

OpenBounty兔子洞时间解析

他の32のSEHNTUの報告には、問題の説明、投票者、報酬の説明、さらには脆弱性の更新後の各システムのコードについても記載されています。これらの許可なく開示された情報は、これらのシステムの二次的な破壊をもたらす可能性があります。なぜなら、各システムは開発プロセス中に少なからず過去の遺留問題や固有のコーディング慣行があるからです。ハッカーにとって、これらの情報の利用範囲は確かに大きいです。

名詞の解釈

[ 1 ]XXS: 攻撃者は、悪意のあるスクリプトをウェブページに注入し、ユーザーがそのウェブページを閲覧する際にスクリプトを実行することによって、主に反射型 XSS、ストレージ型 XSS、DOM 型 XSS を含みます。

[ 2 ]SQL インジェクション:悪意のあるSQLコードを入力フィールド(フォーム、URLパラメータなど)に挿入し、それをデータベースに渡して実行する攻撃手法。このような攻撃により、データベースの情報漏洩、変更、削除、さらにはデータベースサーバーの制御権の取得が可能です。

[ 3 ]CSRF:認証済みセッションを利用して信頼されたサイトに未承認のリクエストを送信する攻撃手法。攻撃者はユーザーが特製のウェブページを訪れたりリンクをクリックすることで、ユーザーが気づかないうちに送金や個人情報の変更などの操作を実行する。

[4] Sybil攻撃:分散型ネットワークにおいて、攻撃者が偽のノードを大量に作成し、決定プロセスを操作しようとする攻撃。攻撃者は大量の偽ノードを作成してコンセンサスアルゴリズムに影響を与え、トランザクションの確認を制御したり、合法的なトランザクションを阻止したりすることができます。

[ 5 ]クロスチェーンインタラクション攻撃:攻撃者は、クロスチェーンインタラクション取引リクエストを操作することにより、契約のセキュリティチェックを迂回し、Poly Networkクロスチェーンブリッジ攻撃のように、クロスチェーンインタラクション取引データを盗み、または改ざんすることができます。

まとめ

総じて、OpenZepplinとHackenProofが示すように、豪華報酬の管理はパブリッシャーの許可を得る必要があります。これは法律と職業倫理が並行する問題であり、多くの独立開発者の成果の基盤でもあります。

ChainSource Technologyは、ブロックチェーンのセキュリティに焦点を当てた会社です。 当社の中核業務には、ブロックチェーンセキュリティ研究、オンチェーンデータ分析、資産および契約の脆弱性レスキューが含まれ、個人や機関のために盗まれた多くのデジタル資産の回収に成功しています。 同時に、業界団体向けにプロジェクトセキュリティ分析レポート、オンチェーントレーサビリティ、技術コンサルティング/サポートサービスを提供することをお約束します。

皆さんのお読みいただきありがとうございます。引き続きブロックチェーンセキュリティに焦点を当てたコンテンツを提供してまいります。

原文表示
  • 報酬
  • 1
  • 共有
コメント
0/400
コメントなし
いつでもどこでも暗号資産取引
スキャンしてGate.ioアプリをダウンロード
コミュニティ
日本語
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • ไทย
  • Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)