Хэш (SHA 1) этого текста: 4f5b9f376aa53c6cccca03a2ddd065a59550d73c
Номер: Цепной источник Безопасность No.003
3 июля 2024 года платформа наград за баги OpenBounty была обнародована за публикацию несанкционированных отчетов об уязвимостях в общедоступной цепочке. Для каждой из инфраструктур и исследователей безопасности, перечисленных здесь, такое поведение является крайне небрежным и неуважительным. В то же время, общественное обсуждение было вызвано тем, что общая награда за все уязвимости превысила 11 миллиардов долларов США, что привело к тому, что платформа наград за баги стала известна широкой публике. Команда Chain Source Security провела анализ безопасности и опубликовала часть результатов, чтобы помочь читателям понять детали этого инцидента и лучше понимать такие платформы, как платформа наград за баги.
Связанная информация
Информация о докладе о уязвимостях, опубликованная OpenBounty на блокчейне SEHNTU (теперь удалены предложения, касающиеся Ethereum):
награда за баг/взлом
В мире в блокчейне漏洞награда платформа очень похожа на традиционную сетевую безопасность "поиск уязвимостей" платформу, обе основные цели заключаются в привлечении исследователей безопасности и белых шляп хакеров через систему наград, чтобы найти и сообщить ослабления в системе и тем самым повысить общую безопасность.
Их операционная модель в течение времени выглядит следующим образом:
(2)Отчет о уязвимости: исследователи безопасности и хакеры проверяют код проекта или систему, обнаруживают уязвимости и представляют подробный отчет.
(3) Проверка и исправление: команда проекта проверяет отчет о уязвимостях и вносит исправления.
(4) Выплата вознаграждения: после завершения исправлений в соответствии с серьезностью уязвимости и ее влиянием предоставляется соответствующее вознаграждение обнаружившему уязвимость.
Традиционная безопасность в сети в основном следует за уязвимостями традиционных ИТ, такими как веб-приложения, серверы, сетевое оборудование и т. д., такими как XXS[ 1 ], SQL-инъекции[ 2 ], CSRF[ 3 ] и т. д.
Безопасность блокчейна - это больше, чем просто кошелек, Смарт-контракты, Протокол и шифрование. Она также включает в себя решение проблем, таких как атаки Сибила [4], кросс-чейн атаки [5], а также необычные внешние вызовы, и т.д.
Отчет о ключевых уязвимостях
В отчете о нарушении 33, опубликованном OpenBounty, CertiK провела аудит и тест на проникновение цепочки SHENTU. Из предложения видно, что основной задачей этого теста на безопасность является решение проблем внутренней безопасности SHENTU и ограничений на авторизацию.
Однако, после прочтения исходного кода SHENTU, был обнаружен код, заменяющий префикс CertiK на префикс SHENTU. Хотя это понятно в разработке, и замена доменного имени была произведена для удобства настройки, это может создавать ощущение, что CertiK является и судьей, и спортсменом.
В других 32 отчетах об уязвимостях SEHNTU, которые еще не удалены, можно увидеть описания проблем, стороны, проголосовавшие за них, описания вознаграждений и даже код каждой системы после обновления уязвимости. Эта несанкционированная информация может легко привести к вторичному разрушению этих систем, поскольку каждая система имеет свои исторические проблемы или уникальные привычки кодирования в процессе разработки, и для хакера использование этой информации действительно огромно.
Пояснение терминов
[ 1 ]XXS: злоумышленники внедряют вредоносные сценарии на веб-страницу, чтобы выполнить их при просмотре пользователем этой страницы, включая рефлективный XSS, хранимый XSS, DOM-дерево XSS.
[ 2 ]SQL Инъекция: метод атаки, при котором злонамеренный SQL-код вставляется во входные поля (например, в формы, параметры URL) и затем передается для выполнения в базу данных. Такие атаки могут привести к утечке, изменению или удалению данных в базе данных, а также к получению контроля над сервером базы данных.
[ 3 ]CSRF: способ атаки, при котором используется аутентифицированная пользователем сессия для отправки несанкционированного запроса на доверенный сайт. Злоумышленник, с помощью специально подготовленной веб-страницы или ссылки, может выполнить действия, такие как перевод денег, изменение личной информации и т.д., не давая пользователю возможности заметить это.
[ 4 ]Сибил-атака: в распределенной сети злоумышленник создает лонг фальшивых Узел, пытаясь манипулировать процессом принятия решений в сети. Злоумышленник воздействует на СоглашениеАлгоритм, создавая большое количество фиктивных Узел, чтобы контролировать подтверждение транзакций или блокировать законные транзакции.
[ 5 ]Кроссчейн взаимодействие атака: злоумышленник может через манипулирование запросами на транзакции Кроссчейн взаимодействие обойти проверку безопасности в контракте, похитить или изменить данные транзакций Кроссчейн взаимодействие, например, атака моста Poly Network Кроссчейн взаимодействие.
Заключение
В целом, как сказано в OpenZepplin и HackenProof, управление наградами за баг должно быть разрешено выпустителем, это вопрос параллельный правовым и профессиональным этическим вопросам, а также основа достижений многих независимых разработчиков.
ChainSource Technology — компания, которая специализируется на безопасности блокчейна. Наша основная работа включает в себя исследования безопасности блокчейна, анализ данных в сети, а также спасение активов и контрактов от уязвимостей, и мы успешно восстановили ряд украденных цифровых активов для частных лиц и учреждений. В то же время мы стремимся предоставлять отчеты об анализе безопасности проектов, отслеживаемость в сети и услуги технического консультирования/поддержки для отраслевых организаций.
Благодарим вас за чтение, мы будем продолжать сосредотачиваться на и делиться содержанием по безопасности блокчейна.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
OpenBountyXTZ время разрешения уязвимости
Хэш (SHA 1) этого текста: 4f5b9f376aa53c6cccca03a2ddd065a59550d73c
Номер: Цепной источник Безопасность No.003
3 июля 2024 года платформа наград за баги OpenBounty была обнародована за публикацию несанкционированных отчетов об уязвимостях в общедоступной цепочке. Для каждой из инфраструктур и исследователей безопасности, перечисленных здесь, такое поведение является крайне небрежным и неуважительным. В то же время, общественное обсуждение было вызвано тем, что общая награда за все уязвимости превысила 11 миллиардов долларов США, что привело к тому, что платформа наград за баги стала известна широкой публике. Команда Chain Source Security провела анализ безопасности и опубликовала часть результатов, чтобы помочь читателям понять детали этого инцидента и лучше понимать такие платформы, как платформа наград за баги.
Связанная информация
Информация о докладе о уязвимостях, опубликованная OpenBounty на блокчейне SEHNTU (теперь удалены предложения, касающиеся Ethereum):
награда за баг/взлом
В мире в блокчейне漏洞награда платформа очень похожа на традиционную сетевую безопасность "поиск уязвимостей" платформу, обе основные цели заключаются в привлечении исследователей безопасности и белых шляп хакеров через систему наград, чтобы найти и сообщить ослабления в системе и тем самым повысить общую безопасность.
Их операционная модель в течение времени выглядит следующим образом:
(1)项目发起挑战:无论是区块链项目还是传统网络应用,都会在平台上发布漏洞Программа вознаграждений。
(2)Отчет о уязвимости: исследователи безопасности и хакеры проверяют код проекта или систему, обнаруживают уязвимости и представляют подробный отчет.
(3) Проверка и исправление: команда проекта проверяет отчет о уязвимостях и вносит исправления.
(4) Выплата вознаграждения: после завершения исправлений в соответствии с серьезностью уязвимости и ее влиянием предоставляется соответствующее вознаграждение обнаружившему уязвимость.
Традиционная безопасность в сети в основном следует за уязвимостями традиционных ИТ, такими как веб-приложения, серверы, сетевое оборудование и т. д., такими как XXS[ 1 ], SQL-инъекции[ 2 ], CSRF[ 3 ] и т. д.
Безопасность блокчейна - это больше, чем просто кошелек, Смарт-контракты, Протокол и шифрование. Она также включает в себя решение проблем, таких как атаки Сибила [4], кросс-чейн атаки [5], а также необычные внешние вызовы, и т.д.
Отчет о ключевых уязвимостях
В отчете о нарушении 33, опубликованном OpenBounty, CertiK провела аудит и тест на проникновение цепочки SHENTU. Из предложения видно, что основной задачей этого теста на безопасность является решение проблем внутренней безопасности SHENTU и ограничений на авторизацию.
Однако, после прочтения исходного кода SHENTU, был обнаружен код, заменяющий префикс CertiK на префикс SHENTU. Хотя это понятно в разработке, и замена доменного имени была произведена для удобства настройки, это может создавать ощущение, что CertiK является и судьей, и спортсменом.
В других 32 отчетах об уязвимостях SEHNTU, которые еще не удалены, можно увидеть описания проблем, стороны, проголосовавшие за них, описания вознаграждений и даже код каждой системы после обновления уязвимости. Эта несанкционированная информация может легко привести к вторичному разрушению этих систем, поскольку каждая система имеет свои исторические проблемы или уникальные привычки кодирования в процессе разработки, и для хакера использование этой информации действительно огромно.
Пояснение терминов
[ 1 ]XXS: злоумышленники внедряют вредоносные сценарии на веб-страницу, чтобы выполнить их при просмотре пользователем этой страницы, включая рефлективный XSS, хранимый XSS, DOM-дерево XSS.
[ 2 ]SQL Инъекция: метод атаки, при котором злонамеренный SQL-код вставляется во входные поля (например, в формы, параметры URL) и затем передается для выполнения в базу данных. Такие атаки могут привести к утечке, изменению или удалению данных в базе данных, а также к получению контроля над сервером базы данных.
[ 3 ]CSRF: способ атаки, при котором используется аутентифицированная пользователем сессия для отправки несанкционированного запроса на доверенный сайт. Злоумышленник, с помощью специально подготовленной веб-страницы или ссылки, может выполнить действия, такие как перевод денег, изменение личной информации и т.д., не давая пользователю возможности заметить это.
[ 4 ]Сибил-атака: в распределенной сети злоумышленник создает лонг фальшивых Узел, пытаясь манипулировать процессом принятия решений в сети. Злоумышленник воздействует на СоглашениеАлгоритм, создавая большое количество фиктивных Узел, чтобы контролировать подтверждение транзакций или блокировать законные транзакции.
[ 5 ]Кроссчейн взаимодействие атака: злоумышленник может через манипулирование запросами на транзакции Кроссчейн взаимодействие обойти проверку безопасности в контракте, похитить или изменить данные транзакций Кроссчейн взаимодействие, например, атака моста Poly Network Кроссчейн взаимодействие.
Заключение
В целом, как сказано в OpenZepplin и HackenProof, управление наградами за баг должно быть разрешено выпустителем, это вопрос параллельный правовым и профессиональным этическим вопросам, а также основа достижений многих независимых разработчиков.
ChainSource Technology — компания, которая специализируется на безопасности блокчейна. Наша основная работа включает в себя исследования безопасности блокчейна, анализ данных в сети, а также спасение активов и контрактов от уязвимостей, и мы успешно восстановили ряд украденных цифровых активов для частных лиц и учреждений. В то же время мы стремимся предоставлять отчеты об анализе безопасности проектов, отслеживаемость в сети и услуги технического консультирования/поддержки для отраслевых организаций.
Благодарим вас за чтение, мы будем продолжать сосредотачиваться на и делиться содержанием по безопасности блокчейна.