Hash (SHA 1) deste artigo: 4f5b9f376aa53c6cccca03a2ddd065a59550d73c
Security No.003
Em 3 de julho de 2024, a plataforma de recompensa por vulnerabilidades OpenBounty foi revelada como tendo publicado relatórios de vulnerabilidades não autorizados em uma blockchain pública. Esse comportamento é extremamente irresponsável e desrespeitoso para cada infraestrutura e pesquisador de segurança na lista. Além disso, devido ao valor total de recompensa dos erros ter excedido US$ 11 bilhões, isso também gerou discussões entre o público em geral, tornando a plataforma de recompensa por vulnerabilidades mais conhecida. A equipe de segurança da Chain Source analisou a segurança do evento de vazamento e divulgou alguns detalhes para ajudar os leitores a entender os detalhes e conhecer mais sobre a existência da plataforma de recompensa por vulnerabilidades.
Informações Relacionadas
OpenBounty revelou informações de relatórios de vulnerabilidades no blockchain SEHNTU (a proposta relacionada ao Ethereum foi removida).
recompensa pelos erros/挖洞
A plataforma de recompensas de falhas na cadeia é muito semelhante à plataforma de "cavar buracos" na segurança tradicional da Internet. Ambos têm como objetivo principal atrair pesquisadores de segurança e hackers de chapéu branco para encontrar e relatar falhas no sistema, a fim de melhorar a segurança geral através de um mecanismo de recompensas.
O modo como operam segue o seguinte processo em termos de linha temporal:
(1)Desafio de lançamento do projeto: tanto os projetos de blockchain quanto os aplicativos de rede tradicionais publicarão recompensas por erros na plataforma.
(2) Relatório de Vulnerabilidade: Pesquisadores de segurança e hackers testam o código ou sistema do projeto e, após encontrar vulnerabilidades, enviam um relatório detalhado.
(3)Verificação e correção: A equipe do projeto verifica e corrige as falhas no relatório de verificação.
(4) Distribuição de recompensas: Após a conclusão da correção, o descobridor será recompensado de acordo com a gravidade e o impacto da vulnerabilidade encontrada.
A segurança tradicional da rede é principalmente seguir as vulnerabilidades da TI tradicional, como aplicações da Web, servidores, dispositivos de rede, etc., como XXS[ 1 ], injeção SQL[ 2 ], CSRF[ 3 ], etc.
区块链安全更seguircontratos inteligentes、protocolo、encriptaçãoCarteira,如 Sybil 攻击[ 4 ]、Interação entre cadeias攻击[ 5 ]、异常外部调用等。
Relatório de Vulnerabilidades Importantes
No relatório de vulnerabilidades n.º 33 publicado de forma irregular no OpenBounty, a CertiK realizou uma auditoria e teste de penetração na cadeia SHENTU. A partir da proposta, pode-se ver que o principal objetivo do teste de segurança desta vez é resolver as vulnerabilidades internas e os problemas de restrição de autorização do SHENTU.
No entanto, após ler o código fonte da SHENTU, descobri um trecho de código que substitui o prefixo, substituindo o prefixo do CertiK pelo prefixo da SHENTU. Embora seja compreensível em termos de desenvolvimento, apenas para facilitar os ajustes de substituição de domínio, realmente dá a sensação de que o CertiK está agindo tanto como árbitro quanto como atleta.
Em outros 32 relatórios de vulnerabilidades SEHNTU que ainda não foram removidos, é possível ver descrições de problemas, votantes, descrições de recompensas e até mesmo códigos de sistemas após a atualização de vulnerabilidades. Essas informações divulgadas sem autorização podem facilmente causar danos secundários a esses sistemas, pois cada sistema durante o processo de desenvolvimento pode ter alguns problemas legados ou hábitos de codificação exclusivos, o que realmente oferece grande espaço de utilização para os Hackers.
Interpretação de termos
[ 1 ]XXS: Os atacantes injetam scripts maliciosos nas páginas da web para que eles sejam executados quando os usuários visitam essas páginas, incluindo principalmente XSS refletido, XSS armazenado e XSS baseado em DOM.
[ 2 ]Injeção SQL: um método de ataque que envolve a inserção de códigos SQL maliciosos em campos de entrada (como formulários, parâmetros de URL) e, em seguida, passá-los para o banco de dados para execução. Esse tipo de ataque pode resultar em vazamento, modificação ou exclusão de dados do banco de dados e até mesmo obter o controle do servidor de banco de dados.
[ 3 ] CSRF: A method of attacking by sending unauthorized requests to a trusted site using a user's authenticated session. Attackers trick users into visiting a specially crafted webpage or clicking on a link, allowing them to perform actions such as transferring funds or modifying personal information without the user's knowledge.
[ 4 ] Ataque Sybil: Em uma rede distribuída, um atacante cria longo identidades falsas (Nó) na tentativa de manipular o processo de decisão da rede. O atacante influencia o Algoritmo de Consenso criando uma grande quantidade de Nó falsos para controlar a confirmação de transações ou impedir transações legítimas.
[ 5 ]Ataque de pontes de cadeia cruzada: Um atacante pode contornar as verificações de segurança do contrato, manipulando solicitações de transação de pontes de cadeia cruzada, roubando ou alterando dados de transação de pontes de cadeia cruzada, como o ataque à ponte de cadeia cruzada da Rede Poly.
Conclusão
Em geral, como indicado pela OpenZepplin e HackenProof, a gestão da recompensa pelos erros deve ser autorizada pelo editor, o que é uma questão de legalidade e ética profissional, e também é a base do sucesso de muitos desenvolvedores independentes.
A ChainOrigin Technology é uma empresa especializada em segurança blockchain. Nosso trabalho principal inclui pesquisa de segurança blockchain, análise de dados na cadeia, bem como recuperação de ativos digitais e contratos com vulnerabilidades, tendo recuperado com sucesso ativos longos roubados de indivíduos e instituições. Além disso, estamos empenhados em fornecer relatórios de análise de segurança de projetos, rastreamento na cadeia e serviços de consultoria técnica/suporte para instituições do setor.
Obrigado a todos pela leitura, vamos continuar a concentrar-nos e a partilhar conteúdo sobre segurança blockchain.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Análise de tempo de abertura da OpenBountyXTZ
Hash (SHA 1) deste artigo: 4f5b9f376aa53c6cccca03a2ddd065a59550d73c
Security No.003
Em 3 de julho de 2024, a plataforma de recompensa por vulnerabilidades OpenBounty foi revelada como tendo publicado relatórios de vulnerabilidades não autorizados em uma blockchain pública. Esse comportamento é extremamente irresponsável e desrespeitoso para cada infraestrutura e pesquisador de segurança na lista. Além disso, devido ao valor total de recompensa dos erros ter excedido US$ 11 bilhões, isso também gerou discussões entre o público em geral, tornando a plataforma de recompensa por vulnerabilidades mais conhecida. A equipe de segurança da Chain Source analisou a segurança do evento de vazamento e divulgou alguns detalhes para ajudar os leitores a entender os detalhes e conhecer mais sobre a existência da plataforma de recompensa por vulnerabilidades.
Informações Relacionadas
OpenBounty revelou informações de relatórios de vulnerabilidades no blockchain SEHNTU (a proposta relacionada ao Ethereum foi removida).
recompensa pelos erros/挖洞
A plataforma de recompensas de falhas na cadeia é muito semelhante à plataforma de "cavar buracos" na segurança tradicional da Internet. Ambos têm como objetivo principal atrair pesquisadores de segurança e hackers de chapéu branco para encontrar e relatar falhas no sistema, a fim de melhorar a segurança geral através de um mecanismo de recompensas.
O modo como operam segue o seguinte processo em termos de linha temporal:
(1)Desafio de lançamento do projeto: tanto os projetos de blockchain quanto os aplicativos de rede tradicionais publicarão recompensas por erros na plataforma.
(2) Relatório de Vulnerabilidade: Pesquisadores de segurança e hackers testam o código ou sistema do projeto e, após encontrar vulnerabilidades, enviam um relatório detalhado.
(3)Verificação e correção: A equipe do projeto verifica e corrige as falhas no relatório de verificação.
(4) Distribuição de recompensas: Após a conclusão da correção, o descobridor será recompensado de acordo com a gravidade e o impacto da vulnerabilidade encontrada.
A segurança tradicional da rede é principalmente seguir as vulnerabilidades da TI tradicional, como aplicações da Web, servidores, dispositivos de rede, etc., como XXS[ 1 ], injeção SQL[ 2 ], CSRF[ 3 ], etc.
区块链安全更seguircontratos inteligentes、protocolo、encriptaçãoCarteira,如 Sybil 攻击[ 4 ]、Interação entre cadeias攻击[ 5 ]、异常外部调用等。
Relatório de Vulnerabilidades Importantes
No relatório de vulnerabilidades n.º 33 publicado de forma irregular no OpenBounty, a CertiK realizou uma auditoria e teste de penetração na cadeia SHENTU. A partir da proposta, pode-se ver que o principal objetivo do teste de segurança desta vez é resolver as vulnerabilidades internas e os problemas de restrição de autorização do SHENTU.
No entanto, após ler o código fonte da SHENTU, descobri um trecho de código que substitui o prefixo, substituindo o prefixo do CertiK pelo prefixo da SHENTU. Embora seja compreensível em termos de desenvolvimento, apenas para facilitar os ajustes de substituição de domínio, realmente dá a sensação de que o CertiK está agindo tanto como árbitro quanto como atleta.
Em outros 32 relatórios de vulnerabilidades SEHNTU que ainda não foram removidos, é possível ver descrições de problemas, votantes, descrições de recompensas e até mesmo códigos de sistemas após a atualização de vulnerabilidades. Essas informações divulgadas sem autorização podem facilmente causar danos secundários a esses sistemas, pois cada sistema durante o processo de desenvolvimento pode ter alguns problemas legados ou hábitos de codificação exclusivos, o que realmente oferece grande espaço de utilização para os Hackers.
Interpretação de termos
[ 1 ]XXS: Os atacantes injetam scripts maliciosos nas páginas da web para que eles sejam executados quando os usuários visitam essas páginas, incluindo principalmente XSS refletido, XSS armazenado e XSS baseado em DOM.
[ 2 ]Injeção SQL: um método de ataque que envolve a inserção de códigos SQL maliciosos em campos de entrada (como formulários, parâmetros de URL) e, em seguida, passá-los para o banco de dados para execução. Esse tipo de ataque pode resultar em vazamento, modificação ou exclusão de dados do banco de dados e até mesmo obter o controle do servidor de banco de dados.
[ 3 ] CSRF: A method of attacking by sending unauthorized requests to a trusted site using a user's authenticated session. Attackers trick users into visiting a specially crafted webpage or clicking on a link, allowing them to perform actions such as transferring funds or modifying personal information without the user's knowledge.
[ 4 ] Ataque Sybil: Em uma rede distribuída, um atacante cria longo identidades falsas (Nó) na tentativa de manipular o processo de decisão da rede. O atacante influencia o Algoritmo de Consenso criando uma grande quantidade de Nó falsos para controlar a confirmação de transações ou impedir transações legítimas.
[ 5 ]Ataque de pontes de cadeia cruzada: Um atacante pode contornar as verificações de segurança do contrato, manipulando solicitações de transação de pontes de cadeia cruzada, roubando ou alterando dados de transação de pontes de cadeia cruzada, como o ataque à ponte de cadeia cruzada da Rede Poly.
Conclusão
Em geral, como indicado pela OpenZepplin e HackenProof, a gestão da recompensa pelos erros deve ser autorizada pelo editor, o que é uma questão de legalidade e ética profissional, e também é a base do sucesso de muitos desenvolvedores independentes.
A ChainOrigin Technology é uma empresa especializada em segurança blockchain. Nosso trabalho principal inclui pesquisa de segurança blockchain, análise de dados na cadeia, bem como recuperação de ativos digitais e contratos com vulnerabilidades, tendo recuperado com sucesso ativos longos roubados de indivíduos e instituições. Além disso, estamos empenhados em fornecer relatórios de análise de segurança de projetos, rastreamento na cadeia e serviços de consultoria técnica/suporte para instituições do setor.
Obrigado a todos pela leitura, vamos continuar a concentrar-nos e a partilhar conteúdo sobre segurança blockchain.