Tác giả gốc: Haotian (Twitter: @tmel0211), học viên bảo mật chuỗi khối
Bài viết này được xuất bản lần đầu vào tháng 10 năm 2022. Hôm nay, DEX Merlin sinh thái zkSync đã hết Thanh khoản và tin tặc đã đánh cắp số tiền 1,82 triệu đô la Mỹ. Sau đó, một số độc giả phát hiện ra rằng Merlin này vừa hoàn thành cuộc kiểm toán do CertiK thực hiện trước khi đưa lên mạng, mặc dù CertiK đã chỉ ra trong báo cáo rằng có vấn đề về tập trung trong dự án Merlin nhưng nó vẫn không tránh khỏi các vấn đề về bảo mật và cuối cùng bị mất tiền.
Vậy tại sao các dự án vượt qua kiểm toán vẫn bị tấn công, gồ ghề hoặc có nhiều lỗ hổng khác nhau? Haotian (@tmel0211), một chuyên gia trong lĩnh vực bảo mật chuỗi khối, trả lời một số câu hỏi liên quan đến kiểm toán trong bài viết này.
Cuối năm, các sự cố bảo mật nối tiếp nhau, hacker chắc sợ thị trường cạn tiền nên lần đầu tiên đòi thưởng cuối năm theo đơn vị 100 triệu. Có người phải hỏi, các dự án bị tấn công như Rabby, TempleDAO, Mango đều đã được kiểm toán bảo mật, tại sao vẫn bị tấn công? Một số người thậm chí còn sử dụng điều này để chỉ trích sự vô nghĩa của kiểm toán bảo mật.Là những người hoạt động trong ngành bảo mật chuỗi khối trong nhiều năm, tôi xin phép được nói một vài lời:
1. Tất cả các thẩm phán phải điều chỉnh kỳ vọng của họ trước, kiểm toán an toàn là tất yếu, nhưng không thể giải quyết một lần và mãi mãi sau khi kiểm tra. Các cuộc tấn công và công sự không có cùng mức độ lớn. Khi xem báo cáo kiểm toán của các công ty bảo mật, chúng ta sẽ thấy rằng hầu hết mọi dự án đều có thể tìm thấy 1 lỗ hổng nghiêm trọng, 2-4 lỗ hổng rủi ro cao và một số lỗ hổng trung bình và thấp. Bạn có thể nói rằng những khám phá lỗ hổng này là vô nghĩa? Có, nhưng nhiều hơn nữa để giảm rủi ro bảo mật!
2. Sau sự kiện Đông Trang, có người sẽ nói, sơ hở đơn giản như vậy, tại sao không bị phát hiện? Vấn đề này rất phức tạp. Kiểm tra bảo mật dựa trên các công cụ và kinh nghiệm hiện có để tiến hành đánh giá hợp lý, loại bỏ các lỗi mã và khắc phục các lỗ hổng thông thường như tràn, phát lại và xác minh chữ ký. Tuy nhiên, điều khó khăn đối với các giao thức như defi không phải là mã mà là logic kinh doanh tài chính phức tạp, chẳng hạn như kiểm soát quy trình, lồng kết hợp bên ngoài, thao túng thị trường, v.v., nằm ngoài phạm vi kinh doanh của các công ty bảo mật.
3. Có tất cả các loại kết hợp trong hệ sinh thái chuỗi khối, nguồn mở + nguồn không mở, dự án được kiểm toán + dự án không được kiểm toán, trình xác thực ngoài chuỗi + thực thi trên chuỗi, v.v. Việc kiểm toán nhiều dự án cho các công ty bảo mật là chỉ được mô đun hóa, chẳng hạn như kiểm tra nguồn mở Còn phần không phải là nguồn mở thì sao? Quá trình ngoài chuỗi có ảnh hưởng đến việc thực thi trên chuỗi hay thị trường bị thao túng do độ sâu của giao dịch thị trường? Nếu có sự cố xảy ra, không thể đổ hết trách nhiệm cho công ty bảo vệ.
4. Điều đáng sợ là nhiều bên tham gia dự án không vì mục đích thuần túy tìm kiếm kiểm định an ninh mà chỉ mong nhận được cái gọi là “xác nhận an toàn”, nếu họ thực hiện dự án với tâm lý này thì việc đầu tư cho hệ thống phòng thủ an ninh của chính họ có thể bị ảnh hưởng. tưởng tượng.Biết. Khi xảy ra sự cố, đó là một khuôn mặt ngây thơ khác mà tôi đã kiểm toán với công ty bảo mật đứng đầu xx. Bản thân dự án đầu tư bao nhiêu vào phòng thủ an ninh + gia cố + ứng phó khẩn cấp? Tôi nghĩ rằng đây là nguyên nhân gốc rễ của các sự cố bảo mật thường xuyên;
5. Trên thực tế, mối đe dọa lớn nhất đối với hệ sinh thái ngành không phải là tất cả các cuộc tấn công của tin tặc, mà là "thảm họa nhân tạo" do nhận thức bảo mật yếu kém gây ra. Ví dụ, một khi một số dự án bị tấn công, sẽ có tin thảm, và chúng tôi quen thuộc với các trò gian lận lừa đảo, v.v., Hoàn toàn không có cách nào để đếm những thứ này. Điều gì sẽ xảy ra nếu một loạt tổn thất về bảo mật như thảm nhân tạo, lừa đảo, tống tiền trên mạng và lừa đảo quỹ đều được tính? Các mối đe dọa bảo mật của nó không kém gì tin tặc;
6. Theo tôi, còn một chặng đường dài để giải quyết các vấn đề bảo mật trong ngành công nghiệp mã hóa. Hệ sinh thái kỳ vọng của chúng tôi là bảo vệ an ninh cho chính dự án + hỗ trợ ngăn ngừa kiểm tra bảo mật của bên thứ ba + mọi người đều có nhận thức về bảo mật. Ngành công nghiệp này về cơ bản đã trở nên phổ biến an toàn hơn”. Nhưng trên thực tế, công ty bảo vệ hoàn toàn không phải là danh tính của người xây dựng an ninh, công ty bảo vệ có thể là thợ sửa chữa, sửa cầu khi cầu sập, sửa đường hỏng. Hệ sinh thái bảo mật cần được bảo vệ bởi mọi người tham gia.
