CertiK獨家:解構Cosmos生態安全 助力Web3.0星際之旅
作爲全球最大,最爲知名的區塊鏈生態之一,Cosmos生態專注於提升區塊鏈互操作性,實現不同區塊鏈之間的高效互通。Cosmos爲开發者提供模塊化的Cosmos SDK,幫助开發者快速搭建專屬於特定應用的區塊鏈,包括廣受用戶關注的dYdX V4在內的諸多應用均據此進行搭建。因此Cosmos生態的安全問題往往具備廣泛的影響力。例如Cosmos SDK 曾發生的Dragonfruit漏洞就影響了多個主流公鏈的正常運行,導致鏈开發人員不得不暫停鏈的正常運行以採取漏洞修復措施。由CertiK研究團隊發布的《Cosmos生態安全指南》全面剖析了Cosmos生態中關鍵組件的安全狀況,針對以往發現的安全漏洞進行歸納分類,爲Cosmos生態开發者和用戶總結出通用的漏洞模型,審計思路和需要重點關注的安全問題,助力提升Cosmos生態與整個區塊鏈行業的安全水平。
由於Cosmos生態系統基礎組件的分散性,鏈开發者需要根據不同的功能需求使用或者擴展不同的組件,導致生態上的安全問題存在多樣性的特點。該報告不僅是對以往重大安全漏洞的分析,還將一些常見的安全漏洞根據漏洞起因,效果,代碼位置等分類,以安全手冊的形式最大程度地爲Cosmos生態开發者提供安全指南,並爲相關的安全審計人員提供學習和審計Cosmos安全問題的途徑。
目前,Cosmos生態开發者最常用的基礎組件是Cosmos SDK和IBC協議(The Inter-Blockchain Communication protocol),這兩者也是开發者最常使用的擴展和添加鏈自身邏輯的組件。
對於Cosmos SDK來說,從危險程度和影響範圍考慮,我們主要關注Critical和Major的安全漏洞,他們通常可以造成以下風險:
1. 鏈停止運行
2. 資金損失
3. 影響系統狀態或正常運行
而這些危險的起因往往是以下幾種類型的安全漏洞:
1. 拒絕服務
2. 錯誤的狀態設置
3. 驗證缺失或者不合理
4. 唯一性問題
5. 共識算法問題
6. 實現上的邏輯漏洞
7. 語言特性問題
而對於IBC來說,常見漏洞分類見下:
1. 命名漏洞
字符串處理漏洞
字節碼處理漏洞
2. 傳輸過程漏洞
數據包順序漏洞
數據包超時漏洞
數據包認證漏洞
其他數據包漏洞
3. 邏輯漏洞
狀態更新漏洞
投票共識等漏洞
其他邏輯漏洞
4. Gas消耗漏洞
盡管Cosmos上的安全問題呈現多樣性,但從積極角度考慮,Cosmos生態相關的开發流程正在逐步規範化,因此涉及到的安全對象和攻擊入口更加確定,從而爲Cosmos生態安全審計人員對鏈的審計思路提供了一個更清晰的框架。《Cosmos生態安全指南》出於提升Cosmos生態系統安全性的愿景,將細致剖析這些安全場景,詳情內容可下載研究報告閱讀。
CertiK團隊一直以來都在通過持續的研究和挖掘,致力於協助提升Cosmos以及整個Web3生態的安全性,並將定期輸出各類項目安全報告和技術研究,歡迎大家持續關注!如有任何疑問,可隨時與我們取得聯系。
閱讀及下載報告全文:https://indd.adobe.com/view/91035407-4f21-4383-9485-a56394d9f95f
公衆號鏈接:https://mp.weixin.qq.com/s/RFHGOZNKMYCJ6ntvCNokFQ
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。