icon_install_ios_web icon_install_ios_web icon_install_android_web

Phân tích toàn diện về tính bảo mật của các lớp blockchain L0, L1, L2 và L3

Phân tích5 tháng trước更新 6086cf...
80 0

Bài viết này Hash (SHA 1):73c704b01c20bcc2137e83c1446832be2b4f779f

Số: Lianyuan Security Knowledge số 013

Công nghệ chuỗi khối đã trở thành một cơ sở hạ tầng quan trọng trong nhiều lĩnh vực như tài chính hiện đại, chuỗi cung ứng và lưu trữ dữ liệu do các đặc điểm phi tập trung và minh bạch của nó. Tuy nhiên, với sự phát triển của công nghệ, các hệ thống chuỗi khối cũng đang phải đối mặt với những thách thức bảo mật ngày càng phức tạp. Nhóm bảo mật ChainSource sẽ phân tích từ các cấp độ khác nhau: L0 (cơ sở hạ tầng cơ bản), L1 (chuỗi chính), L2 (giải pháp mở rộng) và L3 (lớp ứng dụng). Chúng tôi sẽ phân tích toàn diện tính bảo mật của bốn cấp độ chính của chuỗi khối này và khám phá những thách thức và chiến lược đối phó mà chúng phải đối mặt, với các trường hợp cụ thể kèm theo.

Phân tích toàn diện về tính bảo mật của các lớp blockchain L0, L1, L2 và L3

Lớp 0: bảo mật cơ sở hạ tầng cơ bản

Lớp L0 là cơ sở hạ tầng của blockchain, bao gồm phần cứng, mạng lưới, cơ chế đồng thuận, v.v. Tính bảo mật của lớp này ảnh hưởng trực tiếp đến tính ổn định và bảo mật của toàn bộ hệ thống blockchain.

Thách thức về bảo mật:

  • Bảo mật phần cứng: Thiết bị phần cứng có thể bị tấn công vật lý hoặc hỏng hóc, dẫn đến rò rỉ dữ liệu hoặc hệ thống bị sập.

  • Bảo mật mạng: Mạng blockchain có thể bị tấn công DDoS, ảnh hưởng đến hoạt động bình thường của mạng.

  • Bảo mật cơ chế đồng thuận: Các cơ chế đồng thuận (như PoW, PoS, v.v.) có thể bị tấn công, dẫn đến các cuộc tấn công chi tiêu gấp đôi hoặc sự cố phân nhánh.

Các biện pháp an toàn:

  • Mã hóa phần cứng: Sử dụng Mô-đun bảo mật phần cứng (HSM) và Môi trường thực thi đáng tin cậy (TEE) để bảo vệ khóa và dữ liệu nhạy cảm.

  • Bảo vệ mạng: Triển khai tường lửa và cơ chế bảo vệ DDoS để đảm bảo tính ổn định của mạng.

  • Tối ưu hóa cơ chế đồng thuận: Cải thiện thuật toán đồng thuận và tăng độ khó của tấn công, chẳng hạn như tăng độ phức tạp tính toán của Proof of Work (PoW) hoặc áp dụng cơ chế xác minh nhiều cấp của Proof of Stake (PoS).

Phân tích toàn diện về tính bảo mật của các lớp blockchain L0, L1, L2 và L3

Trường hợp: Ethereum Classic là một chuỗi phân nhánh của Ethereum, kế thừa chuỗi gốc của Ethereum. Trong năm 2019 và 2020, mạng lưới ETC đã hứng chịu nhiều cuộc tấn công 51%. Kẻ tấn công đã kiểm soát hơn 50% sức mạnh tính toán của mạng lưới và thực hiện nhiều cuộc tấn công tái tổ chức, dẫn đến tình trạng chi tiêu gấp đôi, mất hàng triệu đô la tài sản và ảnh hưởng nghiêm trọng đến uy tín và bảo mật của mạng lưới. Sau đó, cộng đồng ETC đã tăng cường giám sát mạng lưới, giới thiệu các công cụ để phát hiện và phòng thủ chống lại các cuộc tấn công 51% và tăng chi phí cho các cuộc tấn công.

Lớp 1: Bảo mật Mainchain

Lớp L1 đề cập đến phần chuỗi chính của blockchain, bao gồm giao thức blockchain và cấu trúc dữ liệu. Tính bảo mật của lớp này liên quan đến tính toàn vẹn của mạng blockchain và tính bất biến của dữ liệu.

Thách thức về bảo mật:

  • Lỗ hổng giao thức: Giao thức blockchain có thể có lỗi thiết kế hoặc lỗ hổng triển khai có thể bị khai thác theo mục đích xấu.

  • Lỗ hổng hợp đồng thông minh: Mã hợp đồng thông minh có thể chứa lỗ hổng, dẫn đến tình trạng trộm cắp tiền hoặc lạm dụng hợp đồng.

  • Bảo mật nút: Các nút có thể bị tấn công, ảnh hưởng đến hoạt động bình thường của toàn bộ mạng blockchain.

Các biện pháp an toàn:

  • Kiểm tra giao thức: Thường xuyên tiến hành kiểm tra bảo mật trên các giao thức blockchain để xác định và khắc phục các lỗ hổng tiềm ẩn.

  • Kiểm toán hợp đồng thông minh: Sử dụng các công cụ và dịch vụ kiểm toán của bên thứ ba để tiến hành đánh giá toàn diện mã hợp đồng thông minh nhằm đảm bảo tính bảo mật của mã.

  • Bảo vệ nút: Triển khai hệ thống phát hiện xâm nhập (IDS) và tường lửa để bảo vệ các nút khỏi các cuộc tấn công.

Phân tích toàn diện về tính bảo mật của các lớp blockchain L0, L1, L2 và L3

Trường hợp: Năm 2016, DAO (tổ chức tự trị phi tập trung) của Ethereum đã bị tấn công. Sự cố này liên quan đến bảo mật của mạng Ethereum. Kẻ tấn công đã sử dụng lỗ hổng trong hợp đồng thông minh DAO (lỗ hổng gọi đệ quy) để thực hiện một cuộc tấn công chi tiêu gấp đôi và tin tặc đã đánh cắp khoảng $50 triệu Ethereum. Sự cố này đã dẫn đến quyết định của cộng đồng Ethereum là tiến hành một hard fork để khôi phục lại số tiền bị đánh cắp, dẫn đến Ethereum (ETH) và Ethereum Classic (ETC), và việc giới thiệu các cơ chế kiểm toán hợp đồng và đánh giá bảo mật chặt chẽ hơn để tăng cường bảo mật của mạng.

Lớp 2: Giải pháp mở rộng bảo mật

Bảo mật Blockchain L2 (Lớp 2) chủ yếu liên quan đến các giải pháp mở rộng trên mạng lưới blockchain, được thiết kế để cải thiện khả năng mở rộng và hiệu suất của mạng lưới trong khi vẫn duy trì tính bảo mật cao. Các giải pháp L2 bao gồm chuỗi bên, kênh trạng thái, mạng lưới sét, v.v. Bảo mật của lớp này liên quan đến giao tiếp chuỗi chéo và xác nhận giao dịch. Thách thức bảo mật:

  • Bảo mật truyền thông xuyên chuỗi: Các giao thức truyền thông xuyên chuỗi có thể có lỗ hổng và bị khai thác có chủ đích để tấn công.

  • Bảo mật xác nhận giao dịch: Cơ chế xác nhận giao dịch L2 có thể có lỗi, dẫn đến thanh toán hai lần hoặc giao dịch chưa được xác nhận.

  • Bảo mật triển khai giải pháp mở rộng: Việc triển khai giải pháp mở rộng có thể có lỗi thiết kế hoặc lỗ hổng triển khai, ảnh hưởng đến tính bảo mật của hệ thống.

  • Các biện pháp an toàn:

  • Kiểm toán giao thức chuỗi chéo: Thực hiện kiểm toán toàn diện giao thức truyền thông chuỗi chéo để đảm bảo tính bảo mật của giao thức.

  • Tối ưu hóa cơ chế xác nhận giao dịch: Cải thiện cơ chế xác nhận giao dịch để đảm bảo tính duy nhất và bất biến của giao dịch.

  • Xác minh tính bảo mật của chương trình mở rộng: Sử dụng các công cụ kiểm tra bảo mật và xác minh chính thức để xác minh đầy đủ chương trình mở rộng nhằm đảm bảo tính bảo mật của chương trình.

Phân tích toàn diện về tính bảo mật của các lớp blockchain L0, L1, L2 và L3

Trường hợp: Lightning Network là một chương trình mở rộng L2 cho các khoản thanh toán nhỏ nhanh chóng bằng Bitcoin. Vào năm 2019, các nhà nghiên cứu đã phát hiện ra một lỗ hổng cho phép kẻ tấn công đánh cắp tiền của người dùng thông qua các giao dịch độc hại. Kẻ tấn công có thể gửi các giao dịch không hợp lệ trước khi kênh bị đóng, dẫn đến việc đánh cắp tiền của người dùng. Mặc dù lỗ hổng này chưa bị khai thác trên diện rộng, nhưng nó cho thấy những rủi ro tiềm ẩn của Lightning Network về mặt bảo mật. Nhóm phát triển đã nhanh chóng phát hành bản vá, khuyến nghị người dùng nâng cấp lên phiên bản mới nhất và tăng cường kiểm toán bảo mật.

Lớp 3: Bảo mật lớp ứng dụng

Lớp L3 đề cập đến các ứng dụng dựa trên blockchain, bao gồm bảo mật hợp đồng thông minh, bảo mật dApp và cơ chế quản trị trên chuỗi, chẳng hạn như ứng dụng phi tập trung (DApp) và nền tảng hợp đồng thông minh. Bảo mật của lớp này liên quan đến bảo mật dữ liệu người dùng và logic ứng dụng.

Thách thức về bảo mật:

  • Bảo mật dữ liệu người dùng: Dữ liệu người dùng có thể bị rò rỉ hoặc bị giả mạo, dẫn đến rò rỉ quyền riêng tư hoặc mất dữ liệu.

  • Lỗ hổng logic ứng dụng: Logic ứng dụng có thể có lỗ hổng có thể bị kẻ xấu khai thác để thực hiện các cuộc tấn công.

  • Bảo mật xác thực: Cơ chế xác thực người dùng có thể có lỗi và bị kẻ xấu lợi dụng để thực hiện các cuộc tấn công.

  • Các biện pháp an toàn:

  • Mã hóa dữ liệu: Mã hóa dữ liệu người dùng để lưu trữ nhằm bảo vệ quyền riêng tư của người dùng.

  • Kiểm tra logic ứng dụng: Sử dụng các công cụ kiểm tra bảo mật và dịch vụ kiểm tra của bên thứ ba để tiến hành đánh giá toàn diện logic ứng dụng nhằm đảm bảo tính bảo mật của nó.

  • Xác thực đa yếu tố: Sử dụng cơ chế xác thực đa yếu tố để cải thiện tính bảo mật khi xác thực danh tính người dùng.

Phân tích toàn diện về tính bảo mật của các lớp blockchain L0, L1, L2 và L3

Trường hợp: Vào tháng 8 năm 2021, giao thức tương tác chuỗi chéo Poly Network bất ngờ bị tấn công. O 3 Swap, sử dụng giao thức này, đã chịu tổn thất nghiêm trọng. Tài sản trên ba mạng lưới lớn là Ethereum, Binance Smart Chain và Polygon gần như bị cướp sạch. Trong vòng 1 giờ, lần lượt 250 triệu, 270 triệu và 85 triệu đô la Mỹ tài sản tiền điện tử đã bị đánh cắp, với tổng thiệt hại lên tới 610 triệu đô la Mỹ. Cuộc tấn công này chủ yếu là do thay thế khóa công khai của trình xác thực chuỗi chuyển tiếp. Tức là kẻ tấn công đã thay thế trình xác thực trung gian của chuỗi chéo và tự mình kiểm soát nó. Sự cố này đã thúc đẩy nhiều sàn giao dịch phi tập trung hơn tăng cường kiểm toán bảo mật các hợp đồng thông minh và triển khai xác thực đa yếu tố.

Phần kết luận

Bảo mật của blockchain là vấn đề nhiều lớp đòi hỏi phải phân tích và phản hồi toàn diện ở mọi cấp độ từ L0 đến L3. Bảo mật tổng thể của hệ thống blockchain có thể được cải thiện đáng kể bằng cách tăng cường bảo mật phần cứng và mạng, cải thiện cơ chế đồng thuận, kiểm tra thường xuyên các giao thức và hợp đồng thông minh, tối ưu hóa giao tiếp chuỗi chéo và cơ chế xác nhận giao dịch, và đảm bảo bảo mật dữ liệu người dùng và logic ứng dụng ở lớp ứng dụng.

Đội ngũ bảo mật ChainSource của chúng tôi sẽ tiếp tục tiến hành nghiên cứu bảo mật và cải tiến kỹ thuật để đảm bảo sự phát triển lành mạnh của công nghệ blockchain để người dùng có thể thực hiện giao dịch an toàn hơn. Chúng tôi tin chắc rằng chỉ bằng cách liên tục cải thiện bảo mật ở mọi cấp độ, chúng tôi mới có thể thực sự hiện thực hóa tầm nhìn về phân cấp, minh bạch và bảo mật blockchain.

Lianyuan Technology là một công ty tập trung vào bảo mật blockchain. Công việc cốt lõi của chúng tôi bao gồm nghiên cứu bảo mật blockchain, phân tích dữ liệu trên chuỗi và giải cứu lỗ hổng tài sản và hợp đồng. Chúng tôi đã khôi phục thành công nhiều tài sản kỹ thuật số bị đánh cắp cho các cá nhân và tổ chức. Đồng thời, chúng tôi cam kết cung cấp báo cáo phân tích bảo mật dự án, khả năng truy xuất trên chuỗi và dịch vụ tư vấn/hỗ trợ kỹ thuật cho các tổ chức trong ngành.
Cảm ơn bạn đã đọc. Chúng tôi sẽ tiếp tục tập trung và chia sẻ nội dung bảo mật blockchain.

Bài viết này có nguồn từ internet: Phân tích toàn diện về bảo mật của các lớp blockchain L0, L1, L2 và L3

Có liên quan: SEC Hoa Kỳ cuối cùng đã thả Paxos. BUSD có trở thành nạn nhân của cuộc đấu tranh chính sách không?

Bản gốc|Odaily Planet Daily Tác giả: jk Vào ngày 11 tháng 7, giờ địa phương tại Hoa Kỳ, sau một năm điều tra, Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) đã quyết định chấm dứt cuộc điều tra đối với Paxos Trust Company và stablecoin Binance USD (BUSD). Paxos đã nhận được thông báo chấm dứt chính thức từ SEC nêu rõ rằng họ sẽ không khuyến nghị hành động thực thi đối với công ty. Tin tức này đánh dấu một chiến thắng lớn cho Paxos trong tranh chấp pháp lý liên quan đến stablecoin Binance USD (BUSD). Bối cảnh: Thông báo Wells của SEC đã khiến BUSD, với giá trị thị trường là $20 tỷ, dần biến mất Paxos là gì? Paxos là một cơ sở hạ tầng blockchain và nền tảng mã hóa hợp tác với các công ty toàn cầu lớn để mã hóa, lưu ký và giao dịch tài sản. Các đối tác bao gồm PayPal, Interactive Brokers, Mastercard, Free Market và Nubank, và…

© 版权声明

相关文章