OpenBountyXTZ час розкриття

Хеш цієї статті(SHA 1): 4f5b9f376aa53c6cccca03a2ddd065a59550d73c

Номер: Ланцюгове джерело Security No.003

3 липня 2024 року платформа винагороди за помилки OpenBounty була розкрита за неповноважним публікуванням звітів про помилки на громадському ланцюгу. Це дуже небезпечна і неуважна поведінка для кожної інфраструктури та безпекового дослідника, зазначених у списку. Одночасно через загальну вартість всіх цих помилок, що перевищує 11 млрд доларів США, виникла обговорення серед широкої громадськості. Це зробило платформу винагороди за помилки відомою для широкої аудиторії. Команда з безпеки ChainSafe провела аналіз цього витоку і частково його оприлюднила, сподіваючись, що це допоможе читачам розібратися у деталях і краще зрозуміти такі платформи винагороди за помилки.

Пов'язана інформація

Інформацію про звіти про вразливості, які були неправомірно розголошені OpenBounty на ланцюжку SEHNTU (вже видалені відповідні пропозиції щодо Ethereum):

Винагорода за помилки/Виявлення вразливостей

У світі у блокчейнівінагорода платформи для виявлення вразливостей та традиційні платформи мережевої безпеки для "витягання ям" дуже схожі, обидві мають основну мету - за допомогою системи винагороди привернути дослідників з безпеки та білих капелюхівХакерів для пошуку та звітування про вразливості в системі з метою підвищення загальної безпеки.

Їх робочий процес за часовою лінією виглядає наступним чином:

（1）Проект став перед викликом: якщо це проект блокчейну або традиційна мережева програма, вони будуть розміщувати винагороду за помилки на платформі.

(2) Повідомлення про вразливості: дослідники з безпеки та хакери перевіряють код проекту або систему, виявляють вразливості та надсилають детальний звіт.

(3) Перевірка та виправлення: Команда проекту перевіряє виявлені вразливості та виправляє їх.

(4) Виплата винагороди: після виправлення відповідно до ступеня серйозності та обсягу впливу вразливості надається відповідна винагорода виявникові.

Традиційна мережева безпека в основному зосереджена на вразливостях традиційних ІТ, таких як XXS[ 1 ], SQL-ін'єкція[ 2 ], CSRF[ 3 ] у веб-застосунках, серверах, мережевих пристроях тощо.

Блокчейн безпека більшСмарт-контракт, протокол, шифруванняГаманець, такі як атака Сібіл [4], взаємодія крос-ланцюг [5], аномальний зовнішній виклик тощо.

Звіт про важливі вразливості

У звіті про порушення номер 33, опублікованому на OpenBounty, CertiK заявляє про аудит та пенетраційне тестування SHENTU ланцюга. З пропозиції видно, що головним завданням цього тестування безпеки є вирішення проблем внутрішньої безпеки SHENTU та обмежень авторизації.

Але після прочитання вихідного коду SHENTU я виявив рядок коду заміни префіксу, який замінив префікс CertiK на префікс SHENTU, хоча з розробки це можна зрозуміти, лише для зручності налаштування заміни доменного імені, але це насправді надасть вам відчуття, що CertiK одночасно виступає як суддя, так і спортсмен.

У 32 інших звітів про вразливості, які не були видалені з SEHNTU, можна побачити опис проблеми, сторону голосування, опис винагороди та навіть код кожної системи після виправлення вразливостей. Ця інформація, яка була оприлюднена без дозволу, може дуже легко призвести до подвійного пошкодження цих систем, оскільки кожна система має деякі сліди минулого або особливі звички кодування, які можуть бути використані для використання цієї інформації для шкоди. 01928374656574839201

Розуміння іменників

[ 1 ]XXS: зловмисник впроваджує зловмисний скрипт на веб-сторінці, який виконується під час перегляду користувачем цієї сторінки, в основному включаючи рефлексивний XSS, збереження XSS, DOM-тип XSS.

[2] SQL ін'єкція: це метод атаки, який полягає у вставці зловмисного SQL-коду в поля введення (наприклад, форми, параметри URL), а потім передачі його до бази даних для виконання. Цей тип атак може призвести до розголошення, зміни або видалення даних з бази даних, а також отримання контролю над сервером бази даних.

[ 3 ] CSRF: спосіб атаки, коли використовується автентифікована сесія користувача для надсилання несанкціонованого запиту довіреному сайту. Зловмисники шляхом спонукання користувача відвідати спеціально створену веб-сторінку або перейти за посиланням здійснюють операції, такі як переказ коштів, зміна особистої інформації і т. Д., Без відома користувача.

[ 4 ]Sybil Атака: у розподіленій мережі атакуючий створює лонг фальшивих ідентичностей (Нода), намагаючись маніпулювати процесом прийняття рішень в мережі. Атакуючий намагається вплинути на Алгоритм консенсусу, створюючи велику кількість фальшивих Нода, щоб контролювати підтвердження транзакцій або блокувати законні транзакції.

[ 5 ] Кросчейн взаємодія атака: зловмисник може ухилятися від безпекових перевірок у контракті, маніпулюючи запитами на транзакції Кросчейн взаємодія, крадучи або підробляючи дані Кросчейн взаємодія, наприклад, атака на Кросчейн взаємодія міст Poly Network.

Заключення

В цілому, як сказано OpenZepplin і HackenProof, управління винагородою за помилки повинно бути схвалено видавцем, це питання, яке паралельно займається правом і професійною етикою, є основою багатьох досягнень незалежних розробників.

ChainSource Technology – це компанія, яка зосереджується на безпеці блокчейну. Наша основна робота включає дослідження безпеки блокчейну, аналіз даних у ланцюжку, а також порятунок вразливостей активів і контрактів, і ми успішно відновили низку вкрадених цифрових активів для приватних осіб та установ. У той же час ми прагнемо надавати звіти про аналіз безпеки проєктів, відстеження в ланцюжку та послуги технічного консультування/підтримки для галузевих організацій.

Дякуємо всім за читання, ми будемо продовжувати зосереджуватися на та ділитися вмістом з безпеки блокчейну.