作為全球最大,最為知名的區(qū)塊鏈生態(tài)之一,Cosmos 生態(tài)專(zhuān)注于提升區(qū)塊鏈互操作性,實(shí)現(xiàn)不同區(qū)塊鏈之間的高效互通。Cosmos 為開(kāi)發(fā)者提供模塊化的 Cosmos SDK,幫助開(kāi)發(fā)者快速搭建專(zhuān)屬于特定應(yīng)用的區(qū)塊鏈,包括廣受用戶關(guān)注的 dYdX V4在內(nèi)的諸多應(yīng)用均據(jù)此進(jìn)行搭建。因此 Cosmos 生態(tài)的安全問(wèn)題往往具備廣泛的影響力。例如 Cosmos SDK 曾發(fā)生的 Dragonfruit 漏洞就影響了多個(gè)主流公鏈的正常運(yùn)行,導(dǎo)致鏈開(kāi)發(fā)人員不得不暫停鏈的正常運(yùn)行以采取漏洞修復(fù)措施。由 CertiK 研究團(tuán)隊(duì)發(fā)布的《Cosmos 生態(tài)安全指南》全面剖析了 Cosmos 生態(tài)中關(guān)鍵組件的安全狀況,針對(duì)以往發(fā)現(xiàn)的安全漏洞進(jìn)行歸納分類(lèi),為 Cosmos 生態(tài)開(kāi)發(fā)者和用戶總結(jié)出通用的漏洞模型,審計(jì)思路和需要重點(diǎn)關(guān)注的安全問(wèn)題,助力提升 Cosmos 生態(tài)與整個(gè)區(qū)塊鏈行業(yè)的安全水平。
由于 Cosmos 生態(tài)系統(tǒng)基礎(chǔ)組件的分散性,鏈開(kāi)發(fā)者需要根據(jù)不同的功能需求使用或者擴(kuò)展不同的組件,導(dǎo)致生態(tài)上的安全問(wèn)題存在多樣性的特點(diǎn)。該報(bào)告不僅是對(duì)以往重大安全漏洞的分析,還將一些常見(jiàn)的安全漏洞根據(jù)漏洞起因,效果,代碼位置等分類(lèi),以安全手冊(cè)的形式最大程度地為 Cosmos 生態(tài)開(kāi)發(fā)者提供安全指南,并為相關(guān)的安全審計(jì)人員提供學(xué)習(xí)和審計(jì) Cosmos 安全問(wèn)題的途徑。
目前,Cosmos 生態(tài)開(kāi)發(fā)者最常用的基礎(chǔ)組件是 Cosmos SDK 和 IBC 協(xié)議(The Inter-Blockchain Communication protocol),這兩者也是開(kāi)發(fā)者最常使用的擴(kuò)展和添加鏈自身邏輯的組件。
對(duì)于 Cosmos SDK 來(lái)說(shuō),從危險(xiǎn)程度和影響范圍考慮,我們主要關(guān)注 Critical 和 Major 的安全漏洞,他們通常可以造成以下風(fēng)險(xiǎn):
1. 鏈停止運(yùn)行
2. 資金損失
3. 影響系統(tǒng)狀態(tài)或正常運(yùn)行
而這些危險(xiǎn)的起因往往是以下幾種類(lèi)型的安全漏洞:
1. 拒絕服務(wù)
2. 錯(cuò)誤的狀態(tài)設(shè)置
3. 驗(yàn)證缺失或者不合理
4. 唯一性問(wèn)題
5. 共識(shí)算法問(wèn)題
6. 實(shí)現(xiàn)上的邏輯漏洞
7. 語(yǔ)言特性問(wèn)題
而對(duì)于 IBC 來(lái)說(shuō),常見(jiàn)漏洞分類(lèi)見(jiàn)下:
1. 命名漏洞
字符串處理漏洞
字節(jié)碼處理漏洞
2. 傳輸過(guò)程漏洞
數(shù)據(jù)包順序漏洞
數(shù)據(jù)包超時(shí)漏洞
數(shù)據(jù)包認(rèn)證漏洞
其他數(shù)據(jù)包漏洞
3. 邏輯漏洞
狀態(tài)更新漏洞
投票共識(shí)等漏洞
其他邏輯漏洞
4. Gas 消耗漏洞
盡管 Cosmos 上的安全問(wèn)題呈現(xiàn)多樣性,但從積極角度考慮,Cosmos 生態(tài)相關(guān)的開(kāi)發(fā)流程正在逐步規(guī)范化,因此涉及到的安全對(duì)象和攻擊入口更加確定,從而為 Cosmos 生態(tài)安全審計(jì)人員對(duì)鏈的審計(jì)思路提供了一個(gè)更清晰的框架。《Cosmos 生態(tài)安全指南》出于提升 Cosmos 生態(tài)系統(tǒng)安全性的愿景,將細(xì)致剖析這些安全場(chǎng)景,詳情內(nèi)容可下載研究報(bào)告閱讀。
CertiK 團(tuán)隊(duì)一直以來(lái)都在通過(guò)持續(xù)的研究和挖掘,致力于協(xié)助提升 Cosmos 以及整個(gè)Web3生態(tài)的安全性,并將定期輸出各類(lèi)項(xiàng)目安全報(bào)告和技術(shù)研究,歡迎大家持續(xù)關(guān)注!如有任何疑問(wèn),可隨時(shí)與我們?nèi)〉寐?lián)系。
喜來(lái)順財(cái)經(jīng)
