博客

DevSecOps 在区块链、去中心化协议和applications中的重要性

凯文·琼斯缩略图
凯文·琼斯
2022 年 10 月 27 日发布

安全性一直是信息技术最重要的方面之一,如今许多组织及其开发人员在构建应用时都采取安全第一的思维方式。 这些原则和行动通常被统称为“DevSecOps”,它涵盖了应用安全的整个文化和方法。 DevSecOps 代表开发、安全和运营。 其目标是将安全第一的思维融入信息技术和基础设施的各个方面。

区块链是信息技术领域最新、最令人兴奋的领域之一,它拥有一个由去中心化协议和应用组成的巨大生态系统,旨在带领我们进入网络的更新版本,即许多人所说的 Web3。

什么是 Web3,什么是去中心化应用?

Web3 一词涵盖了各种概念,主要关注应用架构和用户体验方面:

  • 去中心化
  • 开放性
  • 不变性
  • 可编程性
  • 透明度

这些核心概念旨在让用户使用公钥加密重新控制自己的身份,并通过各种区块链机制和协议促进点对点经济的采用。 许多区块链及其周边协议可以使用在隔离的虚拟化环境中执行的智能合约来处理高级交易并管理状态。

然后通过一种称为共识算法的机制在网络上的所有节点之间同步这些内容。 这是一种允许用户或节点在分布式设置中进行协调的机制,以确保即使某些代理出现故障,系统中的所有节点都可以就单一事实来源达成一致。 此外,许多区块链通过保持其协议的开放和无需许可的方式以抗审查的方式运行。

那里的景观怎么样?

基于区块链的架构还存在额外的风险,因为网络主干通常由基于代币的数字加密货币提供支持,并且通常具有货币价值。 这些代币保存在地址中,通常存储在外部拥有的账户或智能合约中。 而且由于信任也是通过使用公钥加密来分布的,因此网络上的每个地址都容易受到攻击。

每个账户的余额都分布在网络上的公共账本上,任何人都可以看到,这为黑客针对特定用户或合约留下了漏洞。 这使得隐私和匿名性成为区块链的一个特别重要的方面。 通常,管理这些账户的人要么是攻击目标,要么利用其职位采取非法行动,威胁包括:

  • 社会工程学
  • 信任或密钥管理不善
  • 贪污和欺诈
  • 诈骗

此外,各种区块链技术、协议和去中心化应用的技术足迹已经很大,并且正在快速增长。 因此,思考这个快速发展的生态系统的安全影响非常重要。 任何以去中心化为核心理念构建的事物都会变得更加广泛,因此也会有更多的攻击点,需要仔细分析和保护。

在审核分散式应用和技术基础设施的安全性时,以下是值得考虑的几个主题:

  • 第 1 层区块链(比特币和以太坊)
  • 第 2 层区块链(侧链和 Rollups)
  • 智能合约
  • 编译器
  • 软件钱包
  • 硬件钱包
  • 区块链客户端(矿工和验证者)
  • 托管交易所(集中式)
  • DeFi 交易所(去中心化)
  • 提供者
  • 市场(NFT)

智能合约中常见的攻击媒介

当我们在应用的开发生命周期中谈论 DevSecOps 时,我们通常指的是安全驱动开发。 这通常也被称为“安全左移”行为。 这是 DevSecOps 文化最重要的方面之一,因为它始于开发人员将安全性视为代码。 由于基于区块链的智能合约可以存储价值并充当银行的角色,这使得其中的代码特别容易受到攻击,因此在编写时应严格考虑安全性。

业界已发现多起针对智能合约漏洞的黑客攻击,通常集中于利用代码。 历史上最大的黑客攻击事件之一发生在去年,当时跨链协议 Poly Network 报告称,一名攻击者入侵了一份智能合约,将各种资产转移到黑客控制的外部钱包地址,转移了相当于 6.1 亿美元的资金。

智能合约开发存在很多漏洞,但最常见的攻击有:

  • 下溢和溢出——通常发生在算术运算导致无符号整数达到其最大字节大小时,从而导致值“回绕”,并可能导致应用的业务逻辑出现意外行为。
  • 合约重入——通过反复重新进入来利用合约的行为,攻击者通常会提取超出允许金额的资金。
  • 交易抢先交易——这指的是某人利用技术或市场优势预先了解即将进行的交易的过程。
  • 秘密管理不善。
  • 访问控制实施不力。

你能做些什么来创造公平的竞争环境?

  • 构建安全第一的文化。 对于寻求建立以安全为中心的文化的组织来说,DevSecOps 概念是一个很好的起点。
  • 进行审计。 审计为应用逻辑和操作流程提供了新的视角,有助于揭露代码中的漏洞,并让应用的用户信任你。 MythXSlither是审计以太坊智能合约的绝佳工具。
  • 提供漏洞赏金并执行众包渗透测试。 众包安全是一种行之有效的方法,可帮助加强您的安全足迹。 通过将您的公司纳入漏洞赏金计划并对您的应用和基础设施进行渗透测试,您可以领先于漏洞和黑客攻击。
  • 采用开源策略。 对于区块链这样的技术来说,应用的透明度非常重要,因为它允许参与者根据代码的验证和审核选择加入。 此外,拥有开源组件可以让您的项目在社区环境中承担更多责任。
  • 对行政操作实施多重签名。 实施采用多重签名架构的智能合约来实现诸如转移所有权、资金和其他关键操作等管理功能,将为您的应用提供额外的安全保障。

结论

区块链、分散式应用及其周围的各种协议正在快速发展。 这些部署应用的新颖且令人兴奋的方式有可能颠覆许多不同的行业。 然而,我们必须注重安全第一的思维方式,并尽可能地实施 DevSecOps 文化。

进一步阅读

任何人进入区块链之旅的第一步都是阅读与你正在构建的协议相关的白皮书: 

接下来,研究以前的黑客攻击和漏洞,甚至尝试在开发环境中重现黑客攻击。

为了获得以太坊安全性的实践学习经验,我推荐以下捕获标志(CTF)程序,其中漏洞或“标志”隐藏在故意存在漏洞的程序或网站中,以教授安全基础知识。