CertiK獨家:解構Cosmos生態安全 助力Web3.0星際之旅

2023-12-27 11:49 CertiK中文社區


免責聲明: 內容不構成买賣依據,投資有風險,入市需謹慎!

CertiK獨家:解構Cosmos生態安全 助力Web3.0星際之旅

CertiK中文社區 企業專欄 剛剛 關注

作爲全球最大,最爲知名的區塊鏈生態之一,Cosmos生態專注於提升區塊鏈互操作性,實現不同區塊鏈之間的高效互通。Cosmos爲开發者提供模塊化的Cosmos SDK,幫助开發者快速搭建專屬於特定應用的區塊鏈,包括廣受用戶關注的dYdX V4在內的諸多應用均據此進行搭建。因此Cosmos生態的安全問題往往具備廣泛的影響力。例如Cosmos SDK 曾發生的Dragonfruit漏洞就影響了多個主流公鏈的正常運行,導致鏈开發人員不得不暫停鏈的正常運行以採取漏洞修復措施。由CertiK研究團隊發布的《Cosmos生態安全指南》全面剖析了Cosmos生態中關鍵組件的安全狀況,針對以往發現的安全漏洞進行歸納分類,爲Cosmos生態开發者和用戶總結出通用的漏洞模型,審計思路和需要重點關注的安全問題,助力提升Cosmos生態與整個區塊鏈行業的安全水平。

由於Cosmos生態系統基礎組件的分散性,鏈开發者需要根據不同的功能需求使用或者擴展不同的組件,導致生態上的安全問題存在多樣性的特點。該報告不僅是對以往重大安全漏洞的分析,還將一些常見的安全漏洞根據漏洞起因,效果,代碼位置等分類,以安全手冊的形式最大程度地爲Cosmos生態开發者提供安全指南,並爲相關的安全審計人員提供學習和審計Cosmos安全問題的途徑。

目前,Cosmos生態开發者最常用的基礎組件是Cosmos SDK和IBC協議(The Inter-Blockchain Communication protocol),這兩者也是开發者最常使用的擴展和添加鏈自身邏輯的組件。

對於Cosmos SDK來說,從危險程度和影響範圍考慮,我們主要關注Critical和Major的安全漏洞,他們通常可以造成以下風險:

1. 鏈停止運行

2. 資金損失

3. 影響系統狀態或正常運行

而這些危險的起因往往是以下幾種類型的安全漏洞:

1. 拒絕服務

2. 錯誤的狀態設置

3. 驗證缺失或者不合理

4. 唯一性問題

5. 共識算法問題

6. 實現上的邏輯漏洞

7. 語言特性問題

而對於IBC來說,常見漏洞分類見下:

1. 命名漏洞

  •  字符串處理漏洞

  •  字節碼處理漏洞

2. 傳輸過程漏洞

  •  數據包順序漏洞

  •  數據包超時漏洞

  •  數據包認證漏洞

  •  其他數據包漏洞

3. 邏輯漏洞

  •  狀態更新漏洞

  •  投票共識等漏洞

  •  其他邏輯漏洞

4. Gas消耗漏洞

盡管Cosmos上的安全問題呈現多樣性,但從積極角度考慮,Cosmos生態相關的开發流程正在逐步規範化,因此涉及到的安全對象和攻擊入口更加確定,從而爲Cosmos生態安全審計人員對鏈的審計思路提供了一個更清晰的框架。《Cosmos生態安全指南》出於提升Cosmos生態系統安全性的愿景,將細致剖析這些安全場景,詳情內容可下載研究報告閱讀。

CertiK團隊一直以來都在通過持續的研究和挖掘,致力於協助提升Cosmos以及整個Web3生態的安全性,並將定期輸出各類項目安全報告和技術研究,歡迎大家持續關注!如有任何疑問,可隨時與我們取得聯系。

閱讀及下載報告全文:https://indd.adobe.com/view/91035407-4f21-4383-9485-a56394d9f95f

公衆號鏈接:https://mp.weixin.qq.com/s/RFHGOZNKMYCJ6ntvCNokFQ

 

0 好文章,需要你的鼓勵
了解更多區塊鏈一线報道,與作者、讀者更深入探討、交流,歡迎添加小助手QQ: 3150128700, 進入[金色財經讀者交流群]。
聲明:本文由入駐金色財經的作者撰寫,觀點僅代表作者本人,絕不代表金色財經贊同其觀點或證實其描述。
本文作者: CertiK中文社區
打开金色財經App 閱讀全文 打开金色財經,閱讀體驗更佳 金色財經 > CertiK中文社區 > CertiK獨家:解構Cosmos生態安全 助力Web3.0星際之旅 免責聲明: 金色財經作爲开放的資訊分享平台,所提供的所有資訊僅代表作者個人觀點,與金色財經平台立場無關,且不構成任何投資理財建議。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

標題:CertiK獨家:解構Cosmos生態安全 助力Web3.0星際之旅

地址:https://www.sgitmedia.com/article/19357.html

相關閱讀: