CertiK獨家：解構Cosmos生態安全助力Web3.0星際之旅

2023-12-27 12:12:38

作為全球最大，最為知名的區塊鏈生態之一，Cosmos生態專注於提升區塊鏈互操作性，實現不同區塊鏈之間的高效互通。Cosmos為开發者提供模塊化的Cosmos SDK，幫助开發者快速搭建專屬於特定應用的區塊鏈，包括廣受用戶關注的dYdX V4在內的諸多應用均據此進行搭建。因此Cosmos生態的安全問題往往具備廣泛的影響力。例如Cosmos SDK 曾發生的Dragonfruit漏洞就影響了多個主流公鏈的正常運行，導致鏈开發人員不得不暫停鏈的正常運行以採取漏洞修復措施。由CertiK研究團隊發布的《Cosmos生態安全指南》全面剖析了Cosmos生態中關鍵組件的安全狀況，針對以往發現的安全漏洞進行歸納分類，為Cosmos生態开發者和用戶總結出通用的漏洞模型，審計思路和需要重點關注的安全問題，助力提升Cosmos生態與整個區塊鏈行業的安全水平。

由於Cosmos生態系統基礎組件的分散性，鏈开發者需要根據不同的功能需求使用或者擴展不同的組件，導致生態上的安全問題存在多樣性的特點。該報告不僅是對以往重大安全漏洞的分析，還將一些常見的安全漏洞根據漏洞起因，效果，代碼位置等分類，以安全手冊的形式最大程度地為Cosmos生態开發者提供安全指南，並為相關的安全審計人員提供學習和審計Cosmos安全問題的途徑。

目前，Cosmos生態开發者最常用的基礎組件是Cosmos SDK和IBC協議（The Inter-Blockchain Communication protocol），這兩者也是开發者最常使用的擴展和添加鏈自身邏輯的組件。

對於Cosmos SDK來說，從危險程度和影響範圍考慮，我們主要關注Critical和Major的安全漏洞，他們通常可以造成以下風險：

1. 鏈停止運行

2. 資金損失

3. 影響系統狀態或正常運行

而這些危險的起因往往是以下幾種類型的安全漏洞：

1. 拒絕服務

2. 錯誤的狀態設置

3. 驗證缺失或者不合理

4. 唯一性問題

5. 共識算法問題

6. 實現上的邏輯漏洞

7. 語言特性問題

而對於IBC來說，常見漏洞分類見下：

1. 命名漏洞

字符串處理漏洞
字節碼處理漏洞

2. 傳輸過程漏洞

數據包順序漏洞
數據包超時漏洞
數據包認證漏洞
其他數據包漏洞

3. 邏輯漏洞

狀態更新漏洞
投票共識等漏洞
其他邏輯漏洞

4. Gas消耗漏洞

盡管Cosmos上的安全問題呈現多樣性，但從積極角度考慮，Cosmos生態相關的开發流程正在逐步規範化，因此涉及到的安全對象和攻擊入口更加確定，從而為Cosmos生態安全審計人員對鏈的審計思路提供了一個更清晰的框架。《Cosmos生態安全指南》出於提升Cosmos生態系統安全性的愿景，將細致剖析這些安全場景，詳情內容可下載研究報告閱讀。

CertiK團隊一直以來都在通過持續的研究和挖掘，致力於協助提升Cosmos以及整個Web3生態的安全性，並將定期輸出各類項目安全報告和技術研究，歡迎大家持續關注！如有任何疑問，可隨時與我們取得聯系。

閱讀及下載報告全文：https://indd.adobe.com/view/91035407-4f21-4383-9485-a56394d9f95f

公衆號鏈接：https://mp.weixin.qq.com/s/RFHGOZNKMYCJ6ntvCNokFQ