Глибина аналізу безпекових ризиків мультипідпису: Чи може Guard перетворити лінію безпеки смартконтрактів?
21 лютого 2025 року криптовалютна індустрія зазнала значної кризи управління активами. Онлайновий мультипідписний гаманець певної торгової платформи був точно зламаний, внаслідок чого майже 1,5 мільярда доларів активів непомітно втекло через "легальний підпис" угоду. Подальший аналіз показав, що зловмисник отримав мультипідписні права за допомогою складних соціальних інженерних методів, використав функцію deleGatecall смартконтракту Safe для впровадження шкідливої логіки, врешті-решт обійшовши механізм перевірки мультипідпису та перевівши кошти на анонімну адресу.
Ця подія виявила жорстоку реальність: "мультипідпис" не є рівнозначним "абсолютній безпеці". Навіть такі безпечні механізми, як гаманці Safe з мультипідписом, якщо їм бракує додаткових заходів захисту, все ще піддаються ризику бути зламаними. Це не перший випадок атаки на гаманці Safe з мультипідписом. Минулого року вже було дві подібні атаки, які призвели до збитків у кілька сотень мільйонів доларів.
Аналіз показує, що події атаки на багатопідписний гаманець Safe демонструють наступну технічну спорідненість:
Надмірна залежність від механізму підпису: покладення всієї відповідальності за безпеку на зберігання приватного ключа.
Відсутність динамічного захисту: відсутність реального ризикового сканування перед виконанням угоди.
Грубе управління правами: не встановлено механізм білої списки для високоризикових операцій, таких як deleGatecall.
Основна проблема цієї серії подій полягає не в самих Safe смартконтрактах, а в потенційних загрозах безпеці під час інтеграції всієї системи, особливо на етапі перевірки з боку користувача. Це спонукає нас замислитися: як посилити захисні можливості мультипідпису за допомогою додаткових заходів безпеки Safe?
! [Глибоке занурення в безпечну дилему: чи зможе Guard реконструювати компактну Вавилонську вежу?] ](https://img-cdn.gateio.im/webp-social/moments-7abedb36995e926e2ebaa369f26de7d0.webp)
Огляд Safe
Safe є мультипідписним гаманцем, призначеним для управління високовартісними активами та безпечного зберігання і передачі цифрових валют. Як інфраструктура для децентралізованого управління активами, він забезпечує безпеку операцій з коштами завдяки механізму верифікації з боку кількох учасників, що запобігає зловживанням з боку єдиного адміністратора або хакера, які можуть скористатися одноточковими збоєм. Широко застосовується в управлінні DAO, корпоративному триманні коштів, децентралізованих фондах тощо.
основне призначення
Управління безпекою коштів: Контракт вимагає спільного підтвердження угоди кількома попередньо визначеними власниками для виконання, що ефективно запобігає одноточковим помилкам або злочинним діям.
Виконання та управління угодами: завдяки вбудованому механізму мультипідпису, контракт може виконувати зовнішні перекази, викликати інші контракти або обробляти складну бізнес-логіку за умови виконання умов порогу підписів.
Модульна розширюваність: Контракти використовують модульний дизайн, через успадкування та комбінацію кількох управлінських модулів, що робить функціонал гнучким та легким для розширення, надаючи індивідуальну підтримку для різних сценаріїв застосування.
Ключова функція
execTransaction: Виконати транзакцію, що пройшла перевірку мультипідписом.
checkContractSignatures & checkNSignatures:перевірка підписів даних транзакцій або повідомлень.
getTransactionHash: генерує хеш транзакції, що використовується для перевірки підпису та запобігання атакам повторення.
handlePayment: обробка газових компенсацій під час виконання транзакцій.
onBeforeExecTransaction: внутрішня віртуальна функція зворотного виклику, що дозволяє дочірнім смартконтрактам виконувати власну логіку обробки перед виконанням транзакції.
Хоча контракти мультипідпису забезпечують ефективне та безпечне рішення для управління цифровими активами, слід звернути увагу на те, що деякі апаратні пристрої погано відображають підписання структурованих даних, що може призвести до того, що користувачі не зможуть точно розпізнати дані транзакції, що створює ризик "сліпого підпису". Для зменшення цієї безпекової загрози можна розглянути можливість оптимізації апаратного забезпечення та його відображення даних, а також вивчити можливість збільшення кількості підтверджень, смарт-підказок та покращення інструментів перевірки підпису.
Механізм Safe Guard
Safe контракти в версії 1.3.0 ввели важливі функції безпеки — механізм Safe Guard. Цей механізм має на меті надати додаткові обмеження для стандартної схеми мультипідпису n-out-of-m, що додатково підвищує безпеку транзакцій. Основна цінність Safe Guard полягає в можливості проводити перевірки безпеки на різних етапах виконання транзакцій:
Перевірка перед交易(checkTransaction): перед виконанням交易, всі параметри交易 підлягають програмній перевірці, щоб забезпечити відповідність交易 встановленим правилам безпеки.
Перевірка після виконання (checkAfterExecution): після завершення виконання транзакції здійснюється додаткова перевірка безпеки, щоб перевірити, чи відповідає кінцевий стан гаманця Safe після виконання транзакції очікуванням.
Аналіз архітектури
У випадку, якщо активований Safe Guard, коли користувач виконує транзакцію з мультипідписом, смартконтракт Safe викликає функцію checkTransaction контракту Guard для виконання перевірки перед транзакцією, а після завершення виконання мультипідписної транзакції смартконтракт Safe викликає функцію checkAfterExecution контракту Guard для перевірки результату виконання транзакції.
Механізм Safe Guard дозволяє розробникам реалізувати багатовимірні стратегії управління ризиками, такі як контроль білих списків контрактів, управління правами на рівні функцій, обмеження частоти транзакцій та динамічні правила на основі напрямку грошових потоків. Завдяки раціональному налаштуванню стратегій Guard можна ефективно блокувати атакуючих, які намагаються здійснити атаки поза межами контрактного рівня.
Нещодавно кілька постачальників апаратних гаманців закликали посилити можливості аналізу та захисту контракту Safe. Деякі проєкти почали досліджувати плани оновлення та розширення на основі механізму Guard, створюючи проміжний рівень безпеки, що ґрунтується на мультипідписі Safe, щоб забезпечити додатковий захист між базовими активами та активами користувачів.
Варто зазначити, що сам Safe лише надає функції управління Guard та зворотного виклику, фактична логіка перевірки мультипідпису повинна бути реалізована користувачем самостійно, а її безпека залежить від якості реалізації Guard. Деякі інноваційні застосування, такі як Solv Guardian та SecurityControlModule від Elytro, розширили цю ідею, реалізувавши більш детальне управління правами та безпекою.
Висновок та перспективи
Недавні атаки підкреслюють важливість своєчасного оновлення безпекової інфраструктури. Якби постраждалі платформи використовували оновлену версію Safe смартконтрактів та реалізували належні механізми Guard, це могло б запобігти значним втратам. Це надає важливі ідеї для майбутнього управління безпекою активів.
Механізм Safe Guard подібний до системи інтелектуальної безпеки, встановленої в сейф для цифрових активів, його ефективність залежить від строгості дизайну правил та якості реалізації. З огляду на все більш складні методи атак, нам потрібно:
Автоматизована перевірка: створення автоматизованого механізму перевірки транзакцій
Динамічна настройка стратегій: реальна настройка безпекових стратегій на основі інформації про загрози
Багатошарова оборона: поєднання різних механізмів безпеки для створення Глибина оборонної системи
Постійний аудит: регулярний аудит безпеки реалізації Guard
Майбутнє управління цифровими активами буде спільним еволюційним процесом безпекових механізмів смартконтрактів та постійного розвитку атак і захисту. Тільки інтегрувавши концепцію безпеки в кожен етап, можна побудувати справжню безпекову бар'єру в боротьбі між "списом" хакера та "щитами" захисника.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
11 лайків
Нагородити
11
3
Поділіться
Прокоментувати
0/400
AirdropHarvester
· 21год тому
Зберегти безпечно так важко?
Переглянути оригіналвідповісти на0
Whale_Whisperer
· 21год тому
Багатопідпис не варто роздувати, він не настільки безпечний, як холодний гаманець.
Переглянути оригіналвідповісти на0
MoneyBurnerSociety
· 21год тому
Я вражений, знову з'явилася пастка з божественною безпекою, мій гаманець вже порожній.
Аналіз вразливості SafeГаманець із кількома підписами: Чи може механізм Guard переосмислити безпеку смартконтрактів?
Глибина аналізу безпекових ризиків мультипідпису: Чи може Guard перетворити лінію безпеки смартконтрактів?
21 лютого 2025 року криптовалютна індустрія зазнала значної кризи управління активами. Онлайновий мультипідписний гаманець певної торгової платформи був точно зламаний, внаслідок чого майже 1,5 мільярда доларів активів непомітно втекло через "легальний підпис" угоду. Подальший аналіз показав, що зловмисник отримав мультипідписні права за допомогою складних соціальних інженерних методів, використав функцію deleGatecall смартконтракту Safe для впровадження шкідливої логіки, врешті-решт обійшовши механізм перевірки мультипідпису та перевівши кошти на анонімну адресу.
Ця подія виявила жорстоку реальність: "мультипідпис" не є рівнозначним "абсолютній безпеці". Навіть такі безпечні механізми, як гаманці Safe з мультипідписом, якщо їм бракує додаткових заходів захисту, все ще піддаються ризику бути зламаними. Це не перший випадок атаки на гаманці Safe з мультипідписом. Минулого року вже було дві подібні атаки, які призвели до збитків у кілька сотень мільйонів доларів.
Аналіз показує, що події атаки на багатопідписний гаманець Safe демонструють наступну технічну спорідненість:
Основна проблема цієї серії подій полягає не в самих Safe смартконтрактах, а в потенційних загрозах безпеці під час інтеграції всієї системи, особливо на етапі перевірки з боку користувача. Це спонукає нас замислитися: як посилити захисні можливості мультипідпису за допомогою додаткових заходів безпеки Safe?
! [Глибоке занурення в безпечну дилему: чи зможе Guard реконструювати компактну Вавилонську вежу?] ](https://img-cdn.gateio.im/webp-social/moments-7abedb36995e926e2ebaa369f26de7d0.webp)
Огляд Safe
Safe є мультипідписним гаманцем, призначеним для управління високовартісними активами та безпечного зберігання і передачі цифрових валют. Як інфраструктура для децентралізованого управління активами, він забезпечує безпеку операцій з коштами завдяки механізму верифікації з боку кількох учасників, що запобігає зловживанням з боку єдиного адміністратора або хакера, які можуть скористатися одноточковими збоєм. Широко застосовується в управлінні DAO, корпоративному триманні коштів, децентралізованих фондах тощо.
основне призначення
Управління безпекою коштів: Контракт вимагає спільного підтвердження угоди кількома попередньо визначеними власниками для виконання, що ефективно запобігає одноточковим помилкам або злочинним діям.
Виконання та управління угодами: завдяки вбудованому механізму мультипідпису, контракт може виконувати зовнішні перекази, викликати інші контракти або обробляти складну бізнес-логіку за умови виконання умов порогу підписів.
Модульна розширюваність: Контракти використовують модульний дизайн, через успадкування та комбінацію кількох управлінських модулів, що робить функціонал гнучким та легким для розширення, надаючи індивідуальну підтримку для різних сценаріїв застосування.
Ключова функція
execTransaction: Виконати транзакцію, що пройшла перевірку мультипідписом.
checkContractSignatures & checkNSignatures:перевірка підписів даних транзакцій або повідомлень.
getTransactionHash: генерує хеш транзакції, що використовується для перевірки підпису та запобігання атакам повторення.
handlePayment: обробка газових компенсацій під час виконання транзакцій.
onBeforeExecTransaction: внутрішня віртуальна функція зворотного виклику, що дозволяє дочірнім смартконтрактам виконувати власну логіку обробки перед виконанням транзакції.
Хоча контракти мультипідпису забезпечують ефективне та безпечне рішення для управління цифровими активами, слід звернути увагу на те, що деякі апаратні пристрої погано відображають підписання структурованих даних, що може призвести до того, що користувачі не зможуть точно розпізнати дані транзакції, що створює ризик "сліпого підпису". Для зменшення цієї безпекової загрози можна розглянути можливість оптимізації апаратного забезпечення та його відображення даних, а також вивчити можливість збільшення кількості підтверджень, смарт-підказок та покращення інструментів перевірки підпису.
Механізм Safe Guard
Safe контракти в версії 1.3.0 ввели важливі функції безпеки — механізм Safe Guard. Цей механізм має на меті надати додаткові обмеження для стандартної схеми мультипідпису n-out-of-m, що додатково підвищує безпеку транзакцій. Основна цінність Safe Guard полягає в можливості проводити перевірки безпеки на різних етапах виконання транзакцій:
Перевірка перед交易(checkTransaction): перед виконанням交易, всі параметри交易 підлягають програмній перевірці, щоб забезпечити відповідність交易 встановленим правилам безпеки.
Перевірка після виконання (checkAfterExecution): після завершення виконання транзакції здійснюється додаткова перевірка безпеки, щоб перевірити, чи відповідає кінцевий стан гаманця Safe після виконання транзакції очікуванням.
Аналіз архітектури
У випадку, якщо активований Safe Guard, коли користувач виконує транзакцію з мультипідписом, смартконтракт Safe викликає функцію checkTransaction контракту Guard для виконання перевірки перед транзакцією, а після завершення виконання мультипідписної транзакції смартконтракт Safe викликає функцію checkAfterExecution контракту Guard для перевірки результату виконання транзакції.
Механізм Safe Guard дозволяє розробникам реалізувати багатовимірні стратегії управління ризиками, такі як контроль білих списків контрактів, управління правами на рівні функцій, обмеження частоти транзакцій та динамічні правила на основі напрямку грошових потоків. Завдяки раціональному налаштуванню стратегій Guard можна ефективно блокувати атакуючих, які намагаються здійснити атаки поза межами контрактного рівня.
Нещодавно кілька постачальників апаратних гаманців закликали посилити можливості аналізу та захисту контракту Safe. Деякі проєкти почали досліджувати плани оновлення та розширення на основі механізму Guard, створюючи проміжний рівень безпеки, що ґрунтується на мультипідписі Safe, щоб забезпечити додатковий захист між базовими активами та активами користувачів.
Варто зазначити, що сам Safe лише надає функції управління Guard та зворотного виклику, фактична логіка перевірки мультипідпису повинна бути реалізована користувачем самостійно, а її безпека залежить від якості реалізації Guard. Деякі інноваційні застосування, такі як Solv Guardian та SecurityControlModule від Elytro, розширили цю ідею, реалізувавши більш детальне управління правами та безпекою.
Висновок та перспективи
Недавні атаки підкреслюють важливість своєчасного оновлення безпекової інфраструктури. Якби постраждалі платформи використовували оновлену версію Safe смартконтрактів та реалізували належні механізми Guard, це могло б запобігти значним втратам. Це надає важливі ідеї для майбутнього управління безпекою активів.
Механізм Safe Guard подібний до системи інтелектуальної безпеки, встановленої в сейф для цифрових активів, його ефективність залежить від строгості дизайну правил та якості реалізації. З огляду на все більш складні методи атак, нам потрібно:
Майбутнє управління цифровими активами буде спільним еволюційним процесом безпекових механізмів смартконтрактів та постійного розвитку атак і захисту. Тільки інтегрувавши концепцію безпеки в кожен етап, можна побудувати справжню безпекову бар'єру в боротьбі між "списом" хакера та "щитами" захисника.