OpenBountyXTZ çukur zaman analizi

Bu metnin Hash (SHA 1) değeri: 4f5b9f376aa53c6cccca03a2ddd065a59550d73c

Security No.003

2024 Temmuz 3 tarihinde OpenBounty adlı bug ödül platformu yetkisiz olarak açıklanmayan bug raporlarını genel blok zincirinde yayınladığı ortaya çıktı. Bu davranış, listelenen her altyapı ve güvenlik araştırmacısı için sorumsuz ve saygısız kabul edilir. Aynı zamanda bu olayın toplam ödül değeri 11 milyar doları aştığı için genel halk arasında bir tartışma yarattı ve bug ödül platformunu genel olarak bilinir hale getirdi. Chain Source güvenlik ekibi bu sızıntı olayını güvenlik analizi ve kısmi açıklama ile inceledi, okuyucuların detayları anlamasına ve bug ödül platformunun varlığı hakkında daha fazla bilgi edinmesine yardımcı olmayı umuyor.

İlgili Bilgiler

OpenBounty, SEHNTU zinciri üzerinde özel olarak açıklanan açık raporu bilgileri (Ethereum ile ilgili öneriler kaldırıldı):

Bug Bounty/Kazma

on-chain dünyasının bug ödül'ü platformu ve geleneksel ağ güvenliği alanındaki "delik kazma" platformu oldukça benzerdir, her ikisinin de ana amacı, güvenlik araştırmacılarını ve beyaz şapkalı Hacker'ları ödüllendirme mekanizmasıyla çekerek sistemdeki hataları bulmalarını ve bildirmelerini teşvik etmektir, böylece genel güvenliği artırmaktır.

İşleyişleri zaman çizelgesinden aşağıdaki gibi bir süreçtir:

（1）Proje başlatma meydan okuması: Hem blockchain projeleri hem de geleneksel ağ uygulamaları, platformda bug ödül'ü yayınlayacak.

（2）Açık Raporu: Güvenlik araştırmacıları ve hacker'lar, proje kodlarını veya sistemlerini kontrol eder ve güvenlik açığı bulduktan sonra detaylı bir rapor sunarlar.

（3）Doğrulama ve Onarım: Proje ekibi, raporlardaki açıkları doğrular ve onarım yapar.

（4）Ödül dağıtımı: Tamir işlemi tamamlandıktan sonra, keşfedene, açığın ciddiyeti ve etki alanına göre uygun bir ödül verilir.

Geleneksel ağ güvenliği genellikle Web uygulamaları, sunucular, ağ cihazları ve diğer geleneksel IT açıkları, örneğin XXS[ 1 ], SQL enjeksiyonu[ 2 ], CSRF[ 3 ] gibi şeylere odaklanır.

Blockchain güvenliği, Sybil saldırısı[4], cross-chain saldırısı[5], anormal dış çağrılar gibi konuları içeren Akıllı Sözleşmeler, protokoller, şifrelemeler ve Cüzdanlar gibi konulara daha fazla takip et dikkat edilmesi gerekmektedir.

Önemli Güvenlik Açığı Raporu

OpenBounty'nin ihlal edilen zafiyet raporu 33 numarasında, CertiK'in SHENTU zinciri için yaptığı denetim ve penetrasyon testi bulunmaktadır. Öneriden, bu güvenlik testinin çözülmesi gereken ana sorunların SHENTU'nun içindeki güvenlik açıkları ve yetkilendirme kısıtlamaları olduğu görülebilir.

Ancak SHENTU'nun kaynak kodunu okuduktan sonra, CertiK'in önekini SHENTU'nun önekine değiştiren bir kod parçası buldum. Geliştirme açısından anlaşılabilir olsa da, sadece alan adı değişikliği için kolaylık sağlamak amacıyla yapılsa da, insanlara CertiK'in hem hakem hem de sporcu gibi hissettireceği bir izlenim bırakıyor.

Diğer 32 SEHNTU raporunda silinmeyen güvenlik açığı raporlarında, sorun açıklaması, oy verenler, ödül açıklaması ve hatta güncellemeden sonra kodlardaki her sistem hakkında bilgi görmek mümkündür. Bu yetkisiz açıklanan bilgiler, bu sistemlerin ikincil bir zarar görmesine neden olabilir çünkü her sistem geliştirme sürecinde bir miktar geçmiş sorun veya özel kodlama alışkanlığına sahip olabilir. Hacker için bu bilgilerin kullanım alanı gerçekten büyüktür.

İsimlerin Açıklaması

[1] XXS: Saldırgan, kötü niyetli bir betik enjekte ederek, betiğin kullanıcı tarafından bu web sayfasını gezinirken çalışmasını sağlar, bu genellikle yansımalı XSS, depolanmış XSS, DOM XSS'yi içerir.

[ 2 ]SQL enjeksiyonu: Kötü niyetli SQL kodunu (örneğin form, URL parametreleri gibi) giriş alanına ekleyerek ve ardından veritabanına yürütmek için saldırı yöntemi. Bu tür saldırılar veritabanı verilerinin sızdırılmasına, değiştirilmesine veya silinmesine, hatta veritabanı sunucusunun kontrolünün elde edilmesine neden olabilir.

[ 3 ]CSRF: Yetkilendirilmiş bir oturumu kullanarak güvenilir bir siteye yetkilendirilmemiş istek gönderme saldırı yöntemi. Saldırgan, kullanıcıyı özel olarak oluşturulmuş bir web sayfasını ziyaret etmeye veya bağlantıya tıklamaya teşvik ederek, kullanıcının haberi olmadan transfer yapma, kişisel bilgileri değiştirme vb. işlemleri gerçekleştirebilir.

[ 4 ]Sybil Saldırısı: Dağıtık ağda, saldırgan Konsensüs Algoritmasını etkilemek ve böylece işlemleri onaylamayı kontrol etmek veya yasal işlemleri engellemek için long sahte Düğüm oluşturarak ağdaki karar sürecini manipüle etmeye çalışan saldırgan. Saldırgan, çok sayıda sahte Düğüm oluşturarak Konsensüs Algoritmasını etkilemeye çalışır.

[5] Zincirler arası saldırılar: Saldırganlar, Poly Network zincirler arası köprü saldırısı gibi sözleşmedeki güvenlik kontrollerini atlayarak, zincirler arası işlem taleplerini manipüle ederek zincirler arası işlem verilerini çalabilir veya kurcalayabilir.

Sonuç

Genel olarak, OpenZepplin ve HackenProof'un belirttiği gibi, bir güvenlik açığı ödülü yönetiminin yayıncının iznine tabi olması gerekmektedir, bu hem bir hukuk hem de mesleki etik sorunudur ve aynı zamanda birçok bağımsız geliştiricinin başarısının temelidir.

Chain Source Technology is a company that focuses on blockchain security. Our core work includes blockchain security research, on-chain data analysis, as well as asset and contract vulnerability rescue. We have successfully recovered long stolen dijital varlık for individuals and institutions. At the same time, we are committed to providing project security analysis reports, on-chain traceability, and technical consulting/destek services for industry institutions.

Okuma için teşekkür ederiz, blockchain güvenlik içeriğine sürekli odaklanacağız ve paylaşacağız.