この記事のハッシュ (SHA 1): 4f5b9f376aa53c6cccca03a2ddd065a59550d73c
番号:チェーンソースセキュリティ No.003
2024 年 7 月 3 日、脆弱性報奨金プラットフォームである OpenBounty が、パブリック チェーン上で不正な脆弱性レポートを公開したことが明らかになりました。この行為は、リストに関与しているすべてのインフラストラクチャおよびセキュリティ研究者にとって、非常に容認できないものであると同時に、非常に失礼な行為です。 、すべての脆弱性の報奨金総額が 110 億米ドルを超えたため、公開グループ全体で一定の議論が引き起こされ、Chainsource セキュリティ チームは、バグ報奨金プラットフォームが一般の人々の目によく知られるようになりました。このリークに関する分析と部分的な宣伝は、読者が詳細を解釈し、バグ報奨金プラットフォームの存在をより深く理解できるようにすることを目的としています。
関連情報
OpenBounty によって SEHNTU パブリック チェーン上で非公開で公開された脆弱性レポート情報 (イーサリアムに関する関連提案は現在削除されています):
https://www.mintscan.io/shentu/proposals
https://explorer.shentu.technology/more/proposal
バグ報奨金/穴掘り
オンチェーンの世界における脆弱性報奨金プラットフォームは、従来のネットワーク セキュリティにおける「穴掘り」プラットフォームと非常によく似ており、どちらの主な目的も、セキュリティ研究者やホワイト ハッカーを報酬メカニズムを通じてシステム内の脆弱性を見つけて報告させることです。により、全体的なセキュリティが向上します。
彼らの運用モデルはタイムラインで次のようになります。
(1) プロジェクト立ち上げの課題: ブロックチェーン プロジェクトであっても、従来のネットワーク アプリケーションであっても、プラットフォーム上でバグ報奨金プログラムがリリースされます。
(2) 脆弱性レポート: セキュリティ研究者やハッカーは、プロジェクトのコードやシステムを検出し、脆弱性を発見した後、詳細なレポートを提出します。
(3) 検証と修復:プロジェクトチームはレポートに記載された脆弱性を検証し、修復します。
(4) 報酬の分配: 修復が完了すると、発見者には脆弱性の深刻度と範囲に基づいて、対応する報酬が与えられます。
従来のネットワーク セキュリティは、XXS[1]、SQL インジェクション[2]、CSRF[3] など、Web アプリケーション、サーバー、ネットワーク機器などの従来の IT 脆弱性に主に焦点を当てています。
ブロックチェーンのセキュリティでは、Sybil 攻撃 [4]、クロスチェーン攻撃 [5]、異常な外部呼び出しなど、スマート コントラクト、プロトコル、暗号化されたウォレットにさらに注意が払われています。
主要な脆弱性レポート
OpenBountyが規制に違反して公開した脆弱性レポートNo.33は、CertiKによるSHENTUチェーンの監査および侵入テストであり、この提案から、このセキュリティテストは主にSHENTU内のセキュリティ脆弱性と認可制限を解決することがわかります。
しかし、SHENTU のソース コードを読んだところ、CertiK のプレフィックスを SHENTU のプレフィックスに置き換えるコードが見つかりました。これは開発上は理解できますが、ドメイン名の置き換えは便宜上のものです。調整の段階ではありますが、審判と選手の両方であるような CertiK の感覚を人々に与えます。
SEHNTU が削除していない他の 32 件の脆弱性レポートでは、問題の説明、投票者、報酬の説明、さらには脆弱性が更新された後の各システムのコードを確認できます。これらの情報の不正な開示は、これらの脆弱性を簡単に引き起こす可能性があります。なぜなら、各システムには開発プロセス中にいくつかの歴史的な問題や固有のコーディング習慣があるため、ハッカーにとってこの情報を活用する余地は実際にたくさんあります。
名詞の解釈
[1]XXS: 攻撃者は Web ページに悪意のあるスクリプトを挿入し、ユーザーが Web ページを閲覧するときにスクリプトを実行させます。これには主に反映型 XSS、保存型 XSS、DOM 型 XSS が含まれます。
[2]SQL インジェクション: 悪意のある SQL コードを入力フィールド (フォーム、URL パラメーターなど) に挿入し、それをデータベースに渡して実行する攻撃手法。このような攻撃は、データベース データの漏洩、変更、削除につながり、さらにはデータベース サーバーの制御を取得する可能性があります。
[3] CSRF: ユーザーの認証されたセッションを使用して、信頼されたサイトに不正なリクエストを送信する攻撃方法。攻撃者は、特別に作成された Web ページにユーザーを誘導したり、リンクをクリックして、ユーザーの知らないうちに送金や個人情報の変更などの操作を実行させます。
[4] シビル攻撃: 分散ネットワークでは、攻撃者はネットワーク内の意思決定プロセスを操作するために複数の偽の ID (ノード) を作成します。攻撃者は、多数の偽のノードを作成することでコンセンサス アルゴリズムに影響を与え、それによってトランザクションの確認を制御したり、正規のトランザクションをブロックしたりします。
[5] クロスチェーン攻撃: 攻撃者は、Poly Network クロスチェーン ブリッジ攻撃など、クロスチェーン トランザクション リクエストを操作することで、コントラクト内のセキュリティ チェックをバイパスし、クロスチェーン トランザクション データを盗んだり改ざんしたりする可能性があります。
結論
一般に、OpenZepplin と HackenProof が示しているように、バグ報奨金の管理は発行者の許可を得る必要があります。これは法的および職業倫理の問題であり、多くの独立系開発者の業績の基礎でもあります。
Chainyuan Technology は、ブロックチェーンのセキュリティに重点を置いている会社です。私たちの主な業務には、ブロックチェーンのセキュリティ研究、オンチェーンのデータ分析、資産と契約の脆弱性救済が含まれており、個人や組織のために盗まれた多くのデジタル資産の回収に成功してきました。同時に、当社はプロジェクトの安全性分析レポート、オンチェーントレーサビリティ、および技術コンサルティング/サポートサービスを業界団体に提供することに尽力しています。
読んでいただきありがとうございます。私たちは今後もブロックチェーンのセキュリティコンテンツに焦点を当て、共有していきます。