OpenBountyXTZ การแปลงเวลาของรอบแรก

บทความนี้ แฮช(SHA 1): 4f5b9f376aa53c6cccca03a2ddd065a59550d73c

หมายเลข: รักษาความปลอดภัยของเครือข่าย 003

เมื่อวันที่ 3 กรกฎาคม 2024 เวลา ประมาณ ผู้เผยแพร่รายงานช่องโหว่ OpenBounty บนเครือข่ายเผยแพร่รายงานช่องโหว่ที่ไม่ได้รับอนุญาตให้เผยแพร่ในโซเชียลเน็ตเวิร์ค การกระทำนี้เป็นการละเมิดความรับผิดชอบและไม่เคารพของรายชื่อทุกพื้นฐานและนักวิจัยด้านความปลอดภัย ในเวลาเดียวกัน การเปิดเผยช่องโหว่ทั้งหมดนี้ทำให้เกิดการสนทนาในกลุ่มประชาชนทั้งหมด เนื่องจากมูลค่ารางวัลรวมของช่องโหว่ทั้งหมดนี้มีมูลค่าเกิน 11 พันล้านดอลลาร์ ทีมความปลอดภัยของ ChainSource ได้วิเคราะห์และเปิดเผยข้อมูลรายละเอียดบางส่วนเกี่ยวกับเหตุการณ์การรั่วไหลนี้ เพื่อช่วยให้ผู้อ่านเข้าใจรายละเอียดและเข้าใจเพิ่มเติมเกี่ยวกับแพลตฟอร์มการชำระเงินเพื่อช่วยในการค้นหาช่องโหว่

ข้อมูลที่เกี่ยวข้อง

OpenBounty ที่เปิดเผยข้อมูลรายงานช่องโหว่ที่ไม่ได้รับอนุญาตบนโซน SEHNTU (ตอนนี้ได้ลบข้อเสนอที่เกี่ยวข้องกับ Ethereum)：

เงินรางวัลค้นหาช่องโหว่/แก้ไขช่องโหว่

แพลตฟอร์มเงินรางวัลช่องโหว่ on-chain ในโลกแห่ง แหล่งข้อมูลและเครือข่ายความปลอดภัย传统มีความคล้ายคลึงกับ "เปิดหลุด" ทั้งสองมีจุดมุ่งหลักในการดึงดูดนักวิจัยด้านความปลอดภัยและแฮ็กเกอร์หมวกขาวด้วยกลไกของรางวัลเพื่อค้นหาและรายงานช่องโหว่ในระบบเพื่อเพิ่มความปลอดภัยโดยรวม

วิธีการทำงานของพวกเขาจากเวลาเป็นไปตามกระบวนการดังต่อไปนี้：

（1）โครงการที่เปิดขึ้นสำหรับการท้าทาย：ไม่ว่าจะเป็นโครงการบล็อกเชนหรือแอปพลิเคชันบนเครือข่ายทั่วไป จะมีการเผยแพร่โปรแกรมล่ารางวัลบนแพลตฟอร์ม

（2）รายงานช่องโหว่：นักวิจัยด้านความปลอดภัยและแฮกเกอร์ตรวจสอบรหัสโปรเจคหรือระบบ หลังจากค้นพบช่องโหว่ก็จะส่งรายงานอย่างละเอียด

（3）การตรวจสอบและซ่อมแซม: ทีมโครงการตรวจสอบข้อบกพร่องในรายงานและซ่อมแซม

（4）การมอบรางวัล: หลังจากซ่อมแซมเสร็จสิ้น จะมอบรางวัลให้กับผู้ค้นพบตามความรุนแรงของช่องโหว่และขอบเขตของผลกระทบ

การรักษาความปลอดภัยของเครือข่าย传统主要เน้นไปที่ช่องโหว่ของเว็บแอปพลิเคชัน เซิร์ฟเวอร์ อุปกรณ์เครือข่าย และอุปกรณ์ IT 传统 เช่น XXS[ 1 ] SQL ฝังตัว[ 2 ] CSRF[ 3 ]

การรักษาความปลอดภัยของบล็อกเชนมีความสำคัญติดตามสัญญาอัจฉริยะ、โปรโตคอล、การเข้ารหัสกระเป๋า，เช่นการโจมตี Sybil[ 4 ]、การโจมตีปฏิสัมพันธ์ข้ามเชน[ 5 ] และการเรียกใช้ภายนอกที่ผิดปกติ

รายงานช่องโหว่สำคัญ

ในรายงานช่องโหว่ที่ระบุเลข 33 ที่เผยแพร่ผิดกฎระเบียบของ OpenBounty นั้น CertiK ได้ทำการตรวจสอบและทดสอบความมั่นคงปลอดภัยของเครือข่าย SHENTU ตามข้อเสนอที่มีอยู่แล้ว จากข้อเสนอนั้นจะเห็นได้ว่าการทดสอบความมั่นคงปลอดภัยครั้งนี้มีเป้าหมายหลักในการแก้ไขช่องโหว่ที่อยู่ภายใน SHENTU และปัญหาข้อจำกัดในการอนุญาต

แต่หลังจากอ่านโค้ดต้นฉบับของ SHENTU พบว่ามีโค้ดส่วนหนึ่งที่แทนที่คำนำหน้าของ CertiK ด้วยคำนำหน้าของ SHENTU ซึ่งอาจจะเข้าใจได้ในการพัฒนาเพื่อความสะดวกในการปรับเปลี่ยนโดเมน แต่จริงๆ แล้วมันก็ทำให้เรารู้สึกว่า CertiK ทั้งเป็นผู้ตัดสินและนักกีฬาเลยนะ

ในรายงานช่องโหว่ที่เหลืออยู่ 32 SEHNTU อื่น ๆ ยังสามารถเห็นข้อมูลเกี่ยวกับคำอธิบายปัญหา ฝ่ายลงคะแนน คำอธิบายรางวัล หรือโค้ดของระบบแต่ละระบบหลังจากการปรับปรุงข้อบกพร่อง ข้อมูลที่เปิดเผยนี้ที่ไม่ได้รับอนุญาตสามารถทำให้ระบบเหล่านี้เสียหายอีกครั้ง โดยที่ทุกระบบจะมีปัญหาที่เหลืออยู่จากประวัติหรือนิสัยการเขียนโค้ดที่เฉพาะเจาะจงได้มากน้อย สำหรับแฮ็กเกอร์ การใช้ข้อมูลเหล่านี้มีโอกาสมากอย่างแท้จริง

คำอธิบายคำศัพท์

[ 1 ]XXS：ผู้โจมตีฝังสคริปต์ที่เต็มไปด้วยความชั่งในหน้าเว็บ เพื่อให้สคริปต์ทำงานเมื่อผู้ใช้เรียกดูหน้าเว็บ ซึ่งประกอบด้วย XSS แบบ Reflected, XSS แบบ Stored, และ XSS แบบ DOM

[ 2 ]SQL Injection: การฝังโค้ด SQL ที่เป็น malware ลงในฟิลด์อินพุต (เช่นฟอร์ม พารามิเตอร์ URL) แล้วส่งให้กับฐานข้อมูลเพื่อดำเนินการโจมตี ประเภทนี้ของการโจมตีสามารถทำให้ข้อมูลในฐานข้อมูลถูกหลุดออกมา ถูกเปลี่ยนแปลงหรือถูกลบ หรือได้รับสิทธิ์ควบคุมเซิร์ฟเวอร์ฐานข้อมูล

[ 3 ]CSRF: การโจมตีที่ใช้เซสชันของผู้ใช้ที่อยู่ในสถานะการตรวจสอบต่อเว็บไซต์ที่เชื่อถือได้เพื่อส่งคำขอที่ไม่ได้รับอนุญาต โจมตีจะทำผ่านการล่อให้ผู้ใช้เข้าถึงหน้าเว็บที่ออกแบบมาอย่างคลุมเครือเพื่อดำเนินการโดยที่ผู้ใช้ไม่ทราบ เช่น การโอนเงิน การเปลี่ยนแปลงข้อมูลส่วนตัว ฯลฯ

[ 4 ]Sybil Attack: ในเครือข่ายกระจายส่งผู้โจมตีจะสร้างโหนดปลอม Long โหนดเพื่อพยายามที่จะควบคุมกระบวนการตัดสินใจในเครือข่าย ผู้โจมตีจะใช้การสร้างโหนดปลอมจำนวนมากเพื่อมีผลต่ออัลกอริทึ่มฉันทามติ ซึ่งจะทำให้ผู้โจมตีสามารถควบคุมการยืนยันธุรกรรมหรือขัดขวางธุรกรรมที่ถูกต้อง

[ 5 ] การโจมตี Cross-chain: ผู้โจมตีสามารถควบคุมคำขอธุรกรรม Cross-chain โดยการทำให้การตรวจสอบความปลอดภัยในสัญญาจากเชื่อมต่อได้เป็นโมฆะ โดยการขโมยหรือแก้ไขข้อมูลการทำธุรกรรม Cross-chain เช่นโจมตีสะพาน Cross-chain ของ Poly Network

สรุป

โดยรวมแล้วเรื่องการจัดการเงินรางวัลช่องโหว่ต้องได้รับอนุญาตจากผู้เผยแพร่เช่น OpenZepplin และ HackenProof นั้น นั่นเป็นปัญหาที่เกี่ยวข้องกับกฎหมายและจรรยาบรรณธุรกิจที่เกิดขึ้นพร้อมกัน และเป็นฐานของความสำเร็จของนักพัฒนาที่อยู่แยกต่างหากอีกด้วย

ChainSource Technology เป็นบริษัทที่ให้ความสําคัญกับความปลอดภัยของบล็อกเชน งานหลักของเรารวมถึงการวิจัยความปลอดภัยของบล็อกเชนการวิเคราะห์ข้อมูลแบบ on-chain และการช่วยเหลือช่องโหว่ของสินทรัพย์และสัญญาและเราประสบความสําเร็จในการกู้คืนสินทรัพย์ดิจิทัลที่ถูกขโมยจํานวนหนึ่งสําหรับบุคคลและสถาบัน ในเวลาเดียวกันเรามุ่งมั่นที่จะให้บริการรายงานการวิเคราะห์ความปลอดภัยของโครงการการตรวจสอบย้อนกลับแบบ on-chain และบริการให้คําปรึกษา / สนับสนุนด้านเทคนิคสําหรับองค์กรอุตสาหกรรม

ขอบคุณสำหรับการอ่านของทุกคน เราจะติดตามและแบ่งปันเนื้อหาความปลอดภัยบล็อกเชนอย่างต่อเนื่อง