Pēdējos gados blokķēdes platformas ir kļuvušas par daudzu tehnoloģiju sarunu centrālo elementu visā pasaulē. Tas ir tāpēc, ka šī tehnoloģija ne tikai ir gandrīz visu mūsdienās pastāvošo kriptovalūtu pamatā, bet arī atbalsta virkni neatkarīgu lietojumprogrammu. Šajā sakarā jāatzīmē, ka blokķēdes izmantošana ir iekļuvusi daudzās jaunās nozarēs, tostarp banku, finanšu, piegādes ķēdes pārvaldības, veselības aprūpes un spēļu jomā.
Šīs pieaugošās popularitātes rezultātā diskusijas par blokķēdes auditiem ir ievērojami palielinājušās, un tas ir pareizi. Lai gan blokķēdes ļauj veikt decentralizētus vienādranga darījumus starp privātpersonām un uzņēmumiem, tie nav imūni pret uzlaušanas un trešo pušu infiltrācijas problēmām.
Tikai pirms dažiem mēnešiem ļaundari to spēja pārkāpj uz spēlēm vērstu blokķēdes platformu Ronin Network, beidzot ar vairāk nekā 600 miljoniem ASV dolāru. Tāpat pagājušā gada beigās uz blokķēdes balstīta platforma Poly Network kļuva par upuri hakeru trikam kā rezultātā ekosistēma zaudēja lietotāju aktīvus vairāk nekā 600 miljonu ASV dolāru vērtībā.
Ar pašreizējiem blokķēdes tīkliem ir saistītas vairākas izplatītas drošības problēmas.
Blockchain esošā drošības mīkla
Lai gan blokķēdes tehnoloģija ir pazīstama ar savu augsto drošības un privātuma līmeni, ir bijuši diezgan maz gadījumu, kad tīklos ir bijuši nepilnības un ievainojamības, kas saistītas ar nedrošu integrāciju un mijiedarbību ar trešo pušu lietojumprogrammām un serveriem.
Tāpat arī noteiktas blokķēdes cieš no funkcionālām problēmām, tostarp to vietējo viedo līgumu ievainojamības. Līdz šim dažkārt viedie līgumi — pašizpildes koda daļas, kas tiek palaistas automātiski, kad ir izpildīti noteikti iepriekš definēti nosacījumi — ietver noteiktas kļūdas, kas padara platformu neaizsargātu pret hakeriem.
Pēdējie: Bitcoin un banku sistēma: aizcirtās durvis un mantotie trūkumi
Visbeidzot, dažās platformās darbojas lietojumprogrammas, kurām nav veikti nepieciešamie drošības novērtējumi, padarot tās par potenciāliem atteices punktiem, kas var apdraudēt visa tīkla drošību vēlākā posmā. Neskatoties uz šīm acīmredzamajām problēmām, daudzām blokķēdes sistēmām vēl ir jāveic liela drošības pārbaude vai neatkarīgs drošības audits.
Kā tiek veikti blokķēdes drošības auditi?
Lai gan pēdējos gados tirgū ir parādījušies vairāki automatizēti audita protokoli, tie nekur nav tik efektīvi kā drošības eksperti, kas manuāli izmanto viņu rīcībā esošos rīkus, lai veiktu detalizētu blokķēdes tīkla auditu.
Blockchain koda audits tiek veikts ļoti sistemātiski, lai katru sistēmas viedajos līgumos ietverto koda rindiņu varētu pienācīgi pārbaudīt un pārbaudīt, izmantojot statiskā koda analīzes programmu. Tālāk ir norādītas galvenās darbības, kas saistītas ar blokķēdes audita procesu.
Nosakiet audita mērķi
Nekas nav sliktāks par nepārdomātu blokķēdes drošības auditu, jo tas var ne tikai radīt daudz neskaidrību par projekta iekšējo darbību, bet arī izsmeļoši izmantot laiku un resursus. Tāpēc, lai izvairītos no skaidra virziena trūkuma, vislabāk ir, ja uzņēmumi skaidri izklāsta, ko tie, iespējams, vēlas sasniegt ar savu revīziju.
Kā norāda nosaukums, drošības audits ir paredzēts, lai identificētu galvenos riskus, kas var ietekmēt sistēmu, tīklu vai tehnoloģiju kopu. Šajā procesa posmā izstrādātāji parasti sašaurina savus mērķus, lai precizētu, kuru platformas apgabalu viņi vēlētos novērtēt ar vislielāko stingrību.
Ne tikai tas, ka auditoram, kā arī attiecīgajam uzņēmumam vislabāk ir izklāstīt skaidru rīcības plānu, kas jāievēro visas darbības laikā. Tas var palīdzēt novērst to, ka drošības novērtējums apmaldās un procesa rezultātā rodas vislabākais iespējamais rezultāts.
Nosakiet galvenās blokķēdes ekosistēmas sastāvdaļas
Kad audita galvenie mērķi ir iecirsti akmenī, nākamais solis parasti ir blokķēdes galveno komponentu, kā arī dažādu datu plūsmas kanālu identificēšana. Šajā posmā audita grupas rūpīgi analizē platformas sākotnējo tehnoloģiju arhitektūru un ar to saistītos lietošanas gadījumus.
Veicot jebkuru viedo līgumu analīzi, auditori vispirms analizē sistēmas pašreizējo pirmkoda versiju, lai nodrošinātu augstu pārredzamības pakāpi pēdējos audita izsekojamības posmos. Šis solis arī ļauj analītiķiem atšķirt dažādas koda versijas, kas jau ir pārbaudītas, salīdzinot ar jebkādām jaunajām izmaiņām, kas tajā var būt veiktas kopš procesa sākuma.
Izolējiet galvenās problēmas
Nav noslēpums, ka blokķēdes tīkli sastāv no mezgliem un lietojumprogrammu saskarnēm (API), kas ir savienoti viens ar otru, izmantojot privātos un publiskos tīklus. Tā kā šīs vienības ir atbildīgas par datu pārraides un citu galveno darījumu veikšanu tīklā, auditori mēdz tos izpētīt ļoti detalizēti, veicot dažādus testus, lai nodrošinātu, ka attiecīgajās sistēmās nav digitālu noplūžu.
Draudu modelēšana
Viens no vissvarīgākajiem rūpīga blokķēdes drošības novērtējuma aspektiem ir draudu modelēšana. Visvienkāršākajā nozīmē draudu modelēšana ļauj vieglāk un precīzāk atklāt iespējamās problēmas, piemēram, datu viltošanu un datu viltošanu. Tas var arī palīdzēt izolēt visus iespējamos pakalpojumu atteikuma uzbrukumus, vienlaikus atklājot jebkādas iespējamās manipulācijas ar datiem.
Atrisiniet attiecīgos jautājumus
Kad ir pabeigta rūpīga visu iespējamo apdraudējumu, kas saistīti ar konkrētu blokķēdes tīklu, sadalījums, auditori parasti izmanto noteiktu balto cepuri (līdz ētiskas) uzlaušanas metodes, lai izmantotu atklātās ievainojamības. Tas tiek darīts, lai novērtētu to smagumu un iespējamo ilgtermiņa ietekmi uz sistēmu. Visbeidzot, revidenti ierosina sanācijas pasākumus, ko izstrādātāji var izmantot, lai labāk aizsargātu savas sistēmas no iespējamiem draudiem.
Blockchain audits ir obligāts mūsdienu ekonomiskajā situācijā
Kā minēts iepriekš, lielākā daļa blokķēdes auditu sākas, analizējot platformas pamata arhitektūru, lai identificētu un novērstu iespējamos drošības pārkāpumus no paša sākotnējā dizaina. Pēc tam tiek veikta esošās tehnoloģijas un tās pārvaldības sistēmas pārskatīšana. Visbeidzot, auditori cenšas identificēt problēmas, kas saistītas ar viedajiem kontaktiem un lietotnēm, un pētīt ar blokķēdi saistītās API un SDK. Kad visas šīs darbības ir pabeigtas, uzņēmumam tiek izsniegts drošības reitings, kas liecina par tā gatavību tirgum.
Pēdējie: Kā blokķēdes tehnoloģija maina veidu, kā cilvēki iegulda
Blokķēdes drošības auditi ir ļoti svarīgi jebkuram projektam, jo tie palīdz identificēt un novērst jebkādas drošības nepilnības un neaizlāpētas ievainojamības, kas var traucēt projektu vēlākā tā dzīves cikla posmā.
Avots: https://cointelegraph.com/news/blockchain-audits-the-steps-to-ensure-a-network-is-secure