本文 Hash(SHA 1):4f5b9f376aa53c6cccca03a2ddd065a59550d73c
編號:鏈源 Security No.003
2024 年7 月3 日漏洞賞金平台OpenBounty 被揭露出將未經授權的漏洞報告公開發表在公鏈上,這種行為對於名單中涉及到的每一個基礎設施和安全研究員來說都是極不負責且極不尊重的行為,同時也因這次所有漏洞的總賞金價值超過了110 億美元,也在整個公眾群體中引發了一定的討論,使得漏洞賞金平台在大眾眼裡所熟知,鏈源安全團隊對於這次的洩漏事件進行了安全分析和部分公示,希望能夠幫助讀者解讀其中的細節,同時也更了解漏洞賞金平台這樣的存在。
相關資訊
OpenBounty 在 SEHNTU 公鏈上私自揭露的漏洞報告資訊(現已刪除了 Ethereum 的相關提案):
https://www.mintscan.io/shentu/proposals
https://explorer.shentu.technology/more/proposal
漏洞賞金/挖洞
鏈上世界的漏洞賞金平台和傳統網路安全中的「挖洞」平台非常相似,兩者的主要目的都是透過獎勵機制,吸引安全研究員和白帽駭客來尋找和報告系統中的漏洞,從而提高整體安全性。
他們的運作模式從時間線上來說是下面這樣的流程:
(1)專案發起挑戰:無論是區塊鏈專案或傳統網路應用,都會在平台上發布漏洞賞金計畫。
(2)漏洞報告:安全研究員和駭客們偵測專案程式碼或系統,發現漏洞後提交詳細報告。
(3)驗證與修復:專案團隊驗證報告中的漏洞並進行修復。
(4)獎勵發放:修復完成後,根據漏洞的嚴重程度和影響範圍,給予發現者相應的獎勵。
傳統的網路安全主要關注 Web 應用、伺服器、網路設備等傳統 IT 的漏洞,如 XXS[ 1 ]、SQL 注入[ 2 ]、CSRF[ 3 ]等;
區塊鏈安全更關注智慧合約、協定、加密錢包,如 Sybil 攻擊[ 4 ]、跨鏈攻擊[ 5 ]、異常外部呼叫等。
重點漏洞報告
在 OpenBounty 違規發布的漏洞報告 33 號中是 CertiK 對於 SHENTU 鏈的審計和滲透測試,從提案中可以看到這次安全測試要解決的主要是 SHENTU 內部的安全漏洞和授權限制問題,
但閱讀過SHENTU 的源碼後發現了一段替換前綴的代碼,將CertiK 的前綴替換為了SHENTU 的前綴,雖然在開發上是可以理解的,只是為了方便調整而進行域名替換,但的確會給人一種CertiK 既當裁判又當運動員的感覺。
在其他32 份SEHNTU 還未刪除的漏洞報告中,都能夠看到關於問題描述、投票方、獎勵描述甚至各個系統在漏洞更新後的代碼,這些未經授權而披露出的信息,很容易造成這些系統的二次破壞,因為每個系統在開發過程中都會多少有一些歷史遺留問題或是特有的編碼習慣,對於駭客來說,這些資訊的利用空間的確很大。
名詞解讀
[ 1 ]XXS:攻擊者透過在網頁中註入惡意腳本,使腳本在使用者瀏覽該網頁時執行,主要包括反射型XSS、儲存型XSS、DOM 型XSS。
[ 2 ]SQL 注入:將惡意SQL 程式碼插入輸入欄位(如表單、URL 參數)中,然後傳遞給資料庫進行執行的攻擊方法。此類攻擊可導致資料庫資料外洩、修改或刪除,甚至取得資料庫伺服器的控制權。
[ 3 ]CSRF:利用使用者已認證的會話,向受信任的網站發送未經授權請求的攻擊方式。攻擊者透過誘使用戶訪問特製的網頁或點擊鏈接,從而在用戶不知情的情況下執行操作,如轉帳、修改個人資訊等。
[ 4 ]Sybil 攻擊:在分散式網路中,攻擊者創造多個偽造身分(節點),試圖操縱網路中的決策過程。攻擊者透過創建大量虛假節點來影響共識演算法,進而控制交易確認或阻止合法交易。
[ 5 ]跨鏈攻擊:攻擊者能夠透過操縱跨鏈交易請求,繞過合約中的安全檢查,竊取或篡改跨鏈交易數據,例如 Poly Network 跨鏈橋攻擊。
結語
總的來說,就像 OpenZepplin 和 HackenProof 所表示的那樣,漏洞賞金的管理必須得到發布者的許可,這是一個法律與職業道德並行的問題,也是許多獨立開發者成就的基礎。
鏈源科技是一家專注於區塊鏈安全的公司。我們的核心工作包括區塊鏈安全研究、鏈上資料分析,以及資產和合約漏洞救援,已成功為個人和機構追回多起被盜數位資產。同時,我們致力於為產業機構提供專案安全分析報告、鏈上溯源和技術諮詢/支援服務。
感謝各位的閱讀,我們將持續專注分享區塊鏈安全內容。
