作爲全球最大,最爲知名的區塊鏈生態之一,Cosmos生態專注於提升區塊鏈互操作性,實現不同區塊鏈之間的高效互通。Cosmos爲开發者提供模塊化的Cosmos SDK,幫助开發者快速搭建專屬於特定應用的區塊鏈,包括廣受用戶關注的dYdX V4在內的諸多應用均據此進行搭建。因此Cosmos生態的安全問題往往具備廣泛的影響力。例如Cosmos SDK 曾發生的Dragonfruit漏洞就影響了多個主流公鏈的正常運行,導致鏈开發人員不得不暫停鏈的正常運行以採取漏洞修復措施。由CertiK研究團隊發布的《Cosmos生態安全指南》全面剖析了Cosmos生態中關鍵組件的安全狀況,針對以往發現的安全漏洞進行歸納分類,爲Cosmos生態开發者和用戶總結出通用的漏洞模型,審計思路和需要重點關注的安全問題,助力提升Cosmos生態與整個區塊鏈行業的安全水平。
由於Cosmos生態系統基礎組件的分散性,鏈开發者需要根據不同的功能需求使用或者擴展不同的組件,導致生態上的安全問題存在多樣性的特點。該報告不僅是對以往重大安全漏洞的分析,還將一些常見的安全漏洞根據漏洞起因,效果,代碼位置等分類,以安全手冊的形式最大程度地爲Cosmos生態开發者提供安全指南,並爲相關的安全審計人員提供學習和審計Cosmos安全問題的途徑。
目前,Cosmos生態开發者最常用的基礎組件是Cosmos SDK和IBC協議(The Inter-Blockchain Communication protocol),這兩者也是开發者最常使用的擴展和添加鏈自身邏輯的組件。
對於Cosmos SDK來說,從危險程度和影響範圍考慮,我們主要關注Critical和Major的安全漏洞,他們通常可以造成以下風險:
- 鏈停止運行
- 資金損失
- 影響系統狀態或正常運行
而這些危險的起因往往是以下幾種類型的安全漏洞:
- 拒絕服務
- 錯誤的狀態設置
- 驗證缺失或者不合理
- 唯一性問題
- 共識算法問題
- 實現上的邏輯漏洞
- 語言特性問題
而對於IBC來說,常見漏洞分類見下:
- 命名漏洞
- 字符串處理漏洞
- 字節碼處理漏洞
- 傳輸過程漏洞
- 數據包順序漏洞
- 數據包超時漏洞
- 數據包認證漏洞
- 其他數據包漏洞
- 邏輯漏洞
- 狀態更新漏洞
- 投票共識等漏洞
- 其他邏輯漏洞
- Gas消耗漏洞
盡管Cosmos上的安全問題呈現多樣性,但從積極角度考慮,Cosmos生態相關的开發流程正在逐步規範化,因此涉及到的安全對象和攻擊入口更加確定,從而爲Cosmos生態安全審計人員對鏈的審計思路提供了一個更清晰的框架。《Cosmos生態安全指南》出於提升Cosmos生態系統安全性的愿景,將細致剖析這些安全場景,詳情內容可下載研究報告閱讀。
CertiK團隊一直以來都在通過持續的研究和挖掘,致力於協助提升Cosmos以及整個Web3生態的安全性,並將定期輸出各類項目安全報告和技術研究,歡迎大家持續關注!如有任何疑問,可隨時與我們取得聯系。
閱讀及下載報告全文:https://indd.adobe.com/view/91035407-4f21-4383-9485-a56394d9f95f
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。