CertiK獨(dú)家:解構(gòu)Cosmos生態(tài)安全,助力Web3.0星際之旅

訪客 1年前 (2023-12-28) 閱讀數(shù) 282 #區(qū)塊鏈
文章標(biāo)簽 區(qū)塊鏈資訊

作為全球最大,最為知名的區(qū)塊鏈生態(tài)之一,Cosmos 生態(tài)專(zhuān)注于提升區(qū)塊鏈互操作性,實(shí)現(xiàn)不同區(qū)塊鏈之間的高效互通。Cosmos 為開(kāi)發(fā)者提供模塊化的 Cosmos SDK,幫助開(kāi)發(fā)者快速搭建專(zhuān)屬于特定應(yīng)用的區(qū)塊鏈,包括廣受用戶關(guān)注的 dYdX V4在內(nèi)的諸多應(yīng)用均據(jù)此進(jìn)行搭建。因此 Cosmos 生態(tài)的安全問(wèn)題往往具備廣泛的影響力。例如 Cosmos SDK 曾發(fā)生的 Dragonfruit 漏洞就影響了多個(gè)主流公鏈的正常運(yùn)行,導(dǎo)致鏈開(kāi)發(fā)人員不得不暫停鏈的正常運(yùn)行以采取漏洞修復(fù)措施。由 CertiK 研究團(tuán)隊(duì)發(fā)布的《Cosmos 生態(tài)安全指南》全面剖析了 Cosmos 生態(tài)中關(guān)鍵組件的安全狀況,針對(duì)以往發(fā)現(xiàn)的安全漏洞進(jìn)行歸納分類(lèi),為 Cosmos 生態(tài)開(kāi)發(fā)者和用戶總結(jié)出通用的漏洞模型,審計(jì)思路和需要重點(diǎn)關(guān)注的安全問(wèn)題,助力提升 Cosmos 生態(tài)與整個(gè)區(qū)塊鏈行業(yè)的安全水平。

由于 Cosmos 生態(tài)系統(tǒng)基礎(chǔ)組件的分散性,鏈開(kāi)發(fā)者需要根據(jù)不同的功能需求使用或者擴(kuò)展不同的組件,導(dǎo)致生態(tài)上的安全問(wèn)題存在多樣性的特點(diǎn)。該報(bào)告不僅是對(duì)以往重大安全漏洞的分析,還將一些常見(jiàn)的安全漏洞根據(jù)漏洞起因,效果,代碼位置等分類(lèi),以安全手冊(cè)的形式最大程度地為 Cosmos 生態(tài)開(kāi)發(fā)者提供安全指南,并為相關(guān)的安全審計(jì)人員提供學(xué)習(xí)和審計(jì) Cosmos 安全問(wèn)題的途徑。

目前,Cosmos 生態(tài)開(kāi)發(fā)者最常用的基礎(chǔ)組件是 Cosmos SDK 和 IBC 協(xié)議(The Inter-Blockchain Communication protocol),這兩者也是開(kāi)發(fā)者最常使用的擴(kuò)展和添加鏈自身邏輯的組件。

對(duì)于 Cosmos SDK 來(lái)說(shuō),從危險(xiǎn)程度和影響范圍考慮,我們主要關(guān)注 Critical 和 Major 的安全漏洞,他們通常可以造成以下風(fēng)險(xiǎn):

1. 鏈停止運(yùn)行

2. 資金損失

3. 影響系統(tǒng)狀態(tài)或正常運(yùn)行

而這些危險(xiǎn)的起因往往是以下幾種類(lèi)型的安全漏洞:

1. 拒絕服務(wù)

2. 錯(cuò)誤的狀態(tài)設(shè)置

3. 驗(yàn)證缺失或者不合理

4. 唯一性問(wèn)題

5. 共識(shí)算法問(wèn)題

6. 實(shí)現(xiàn)上的邏輯漏洞

7. 語(yǔ)言特性問(wèn)題

而對(duì)于 IBC 來(lái)說(shuō),常見(jiàn)漏洞分類(lèi)見(jiàn)下:

1. 命名漏洞

字符串處理漏洞

字節(jié)碼處理漏洞

2. 傳輸過(guò)程漏洞

數(shù)據(jù)包順序漏洞

數(shù)據(jù)包超時(shí)漏洞

數(shù)據(jù)包認(rèn)證漏洞

其他數(shù)據(jù)包漏洞

3. 邏輯漏洞

狀態(tài)更新漏洞

投票共識(shí)等漏洞

其他邏輯漏洞

4. Gas 消耗漏洞

盡管 Cosmos 上的安全問(wèn)題呈現(xiàn)多樣性,但從積極角度考慮,Cosmos 生態(tài)相關(guān)的開(kāi)發(fā)流程正在逐步規(guī)范化,因此涉及到的安全對(duì)象和攻擊入口更加確定,從而為 Cosmos 生態(tài)安全審計(jì)人員對(duì)鏈的審計(jì)思路提供了一個(gè)更清晰的框架。《Cosmos 生態(tài)安全指南》出于提升 Cosmos 生態(tài)系統(tǒng)安全性的愿景,將細(xì)致剖析這些安全場(chǎng)景,詳情內(nèi)容可下載研究報(bào)告閱讀。

CertiK 團(tuán)隊(duì)一直以來(lái)都在通過(guò)持續(xù)的研究和挖掘,致力于協(xié)助提升 Cosmos 以及整個(gè)Web3生態(tài)的安全性,并將定期輸出各類(lèi)項(xiàng)目安全報(bào)告和技術(shù)研究,歡迎大家持續(xù)關(guān)注!如有任何疑問(wèn),可隨時(shí)與我們?nèi)〉寐?lián)系。

熱門(mén)
主站蜘蛛池模板: 亚洲激情综合网| 久久免费观看国产精品88av| 精品久久久久久亚洲综合网| 国产午夜精品一区二区三区| 97人妻人人揉人人躁人人| 思思久久99热只有精品| 久久亚洲精品成人777大小说| 欧美亚洲国产精品久久| 亚洲精品视频专区| 精品3d动漫视频一区在线观看 | √在线天堂中文最新版网| 日本一卡2卡3卡无卡免费 | 色综合久久久久无码专区| 国产精品揄拍100视频| AV无码免费一区二区三区| 巨大挺进她的花茎| 久久99国产精品尤物| 日韩午夜福利无码专区a| 亚洲一区在线观看视频| 欧美激情一区二区| 亚洲视频在线一区二区三区| 精品伊人久久久久网站| 啦啦啦www播放日本观看| 被黑人猛躁10次高潮视频| 国产女人好紧好爽| 黄色成人在线网站| 国产精品久久香蕉免费播放| 91精品福利一区二区| 大香伊人久久精品一区二区 | avaaddamshdxxx| 好吊色欧美一区二区三区视频| 中文字幕亚洲欧美在线不卡| 日本chinese人妖video| 久久国产乱子伦精品免| 日韩欧美国产视频| 乱色熟女综合一区二区三区| 校花哭着扒开屁股浣肠漫画| 亚洲午夜无码久久久久| 欧美性猛交XXXX乱大交3| 亚洲欧美另类第一页| 毛片大片免费看|