Trong năm qua, Ethereum Foundation đã phát triển đáng kể đội ngũ các nhà nghiên cứu và kỹ sư bảo mật tận tâm. Các thành viên đã tham gia từ nhiều nền tảng khác nhau, từ mật mã, kiến trúc bảo mật, quản lý rủi ro, phát triển khai thác cũng như đã làm việc trong các nhóm màu đỏ và xanh. Các thành viên đến từ các lĩnh vực khác nhau và đã làm việc để đảm bảo mọi thứ từ các dịch vụ internet mà tất cả chúng ta phụ thuộc vào mỗi ngày, đến các hệ thống chăm sóc sức khỏe quốc gia và các ngân hàng trung ương.
Khi The Merge tiếp cận, rất nhiều nỗ lực từ nhóm đã được dành để phân tích, kiểm tra và nghiên cứu Lớp đồng thuận theo nhiều cách khác nhau cũng như bản thân The Merge. Dưới đây là một mẫu của tác phẩm.
Kiểm toán việc triển khai của khách hàng 🛡️
Các thành viên trong nhóm đánh giá các triển khai khác nhau của khách hàng bằng nhiều công cụ và kỹ thuật khác nhau.
Quét tự động 🤖
Việc quét tự động cho các cơ sở mã nhằm mục đích tìm ra những kết quả thấp như lỗ hổng phụ thuộc (và lỗ hổng tiềm ẩn) hoặc các khu vực cải tiến trong mã. Một số công cụ đang được sử dụng để phân tích tĩnh là CodeQL, semgrep, ErrorProne và Nosy.
Vì có nhiều ngôn ngữ khác nhau được sử dụng giữa các máy khách, chúng tôi sử dụng cả máy quét chung và ngôn ngữ cụ thể cho cơ sở mã và hình ảnh. Chúng được kết nối với nhau thông qua một hệ thống phân tích và báo cáo những phát hiện mới từ tất cả các công cụ vào các kênh có liên quan. Các tính năng quét tự động này giúp bạn có thể nhanh chóng nhận được báo cáo về các vấn đề mà đối thủ tiềm năng có thể dễ dàng tìm thấy, do đó tăng cơ hội khắc phục sự cố trước khi chúng có thể bị khai thác.
Kiểm tra thủ công 🔨
Kiểm tra thủ công các thành phần của ngăn xếp cũng là một kỹ thuật quan trọng. Những nỗ lực này bao gồm kiểm tra các yếu tố phụ thuộc được chia sẻ quan trọng (BLS), libp2p, chức năng mới trong hardforks (ví dụ: ủy ban đồng bộ hóa trong Altair), kiểm tra kỹ lưỡng việc triển khai khách hàng cụ thể hoặc kiểm tra các L2 và cầu nối.
Ngoài ra, khi các lỗ hổng bảo mật được báo cáo qua Chương trình tiền thưởng lỗi Ethereumcác nhà nghiên cứu có thể kiểm tra chéo các vấn đề với tất cả khách hàng để xem liệu họ có bị ảnh hưởng bởi vấn đề được báo cáo hay không.
Kiểm toán của bên thứ ba 🧑🔧
Đôi khi, các công ty bên thứ ba tham gia vào việc kiểm tra các thành phần khác nhau. Kiểm toán của bên thứ ba được sử dụng để thu hút sự chú ý từ bên ngoài về các khách hàng mới, thông số kỹ thuật giao thức được cập nhật, nâng cấp mạng sắp tới hoặc bất kỳ thứ gì khác được coi là có giá trị cao.
Trong quá trình kiểm tra của bên thứ ba, các nhà phát triển phần mềm và các nhà nghiên cứu bảo mật của nhóm chúng tôi cộng tác với các kiểm toán viên để giáo dục và hỗ trợ xuyên suốt.
Fuzzing 🦾
Có nhiều nỗ lực liên tục được dẫn dắt bởi các nhà nghiên cứu bảo mật của chúng tôi, các thành viên của nhóm khách hàng, cũng như những người đóng góp trong hệ sinh thái. Phần lớn công cụ là mã nguồn mở và chạy trên cơ sở hạ tầng chuyên dụng. Các bộ làm mờ nhắm mục tiêu đến các bề mặt tấn công quan trọng như trình xử lý RPC, quá trình chuyển đổi trạng thái và triển khai lựa chọn ngã ba, v.v. Các nỗ lực bổ sung bao gồm Nosy Neighbor (thế hệ khai thác lông tơ tự động dựa trên AST) dựa trên CI và được xây dựng dựa trên thư viện Go Parser.
Mô phỏng và thử nghiệm cấp độ mạng 🕸️
Các nhà nghiên cứu bảo mật của nhóm chúng tôi xây dựng và sử dụng các công cụ để mô phỏng, kiểm tra và tấn công các môi trường mạng được kiểm soát. Các công cụ này có thể nhanh chóng tạo ra các testnet cục bộ và bên ngoài (“tấn công”) chạy dưới nhiều cấu hình khác nhau để kiểm tra các tình huống kỳ lạ mà máy khách phải chống lại (ví dụ: DDOS, phân tách ngang hàng, suy thoái mạng).
Các mạng tấn công cung cấp một môi trường hiệu quả và an toàn để nhanh chóng kiểm tra các ý tưởng / cuộc tấn công khác nhau trong môi trường riêng tư. Các kẻ thù tiềm năng không thể giám sát các mạng tấn công riêng tư và cho phép chúng tôi phá vỡ mọi thứ mà không làm gián đoạn trải nghiệm người dùng của các mạng kiểm tra công khai. Trong những môi trường này, chúng tôi thường xuyên sử dụng các kỹ thuật gây gián đoạn như tạm dừng luồng và phân vùng mạng để mở rộng thêm các tình huống.
Nghiên cứu Đa dạng về Khách hàng và Cơ sở hạ tầng 🔬
Đa dạng về khách hàng và cơ sở hạ tầng đã nhận được rất nhiều sự quan tâm của cộng đồng. Chúng tôi có sẵn các công cụ để giám sát sự đa dạng từ các thống kê từ máy khách, hệ điều hành, ISP và trình thu thập thông tin. Ngoài ra, chúng tôi phân tích tỷ lệ tham gia mạng, sự bất thường về thời gian xác nhận và tình trạng mạng chung. Thông tin này là đã chia sẻ băng qua nhiều các vị trí để làm nổi bật bất kỳ rủi ro tiềm ẩn nào.
Chương trình tiền thưởng lỗi 🐛
EF hiện đang tổ chức hai chương trình tiền thưởng lỗi; một nhắm mục tiêu Lớp thực thi và nhắm mục tiêu khác Lớp đồng thuận. Các thành viên của nhóm bảo mật giám sát các báo cáo đến, làm việc để xác minh tính chính xác và tác động của chúng, sau đó kiểm tra chéo mọi vấn đề đối với các khách hàng khác. Gần đây, chúng tôi đã công bố một tiết lộ về tất cả các lỗ hổng được báo cáo trước đây.
Chẳng bao lâu nữa, hai chương trình này sẽ được hợp nhất thành một, nền tảng chung sẽ được cải thiện và phần thưởng bổ sung sẽ được cung cấp cho những người săn tiền thưởng. Hãy theo dõi để biết thêm thông tin về điều này sớm!
Bảo mật hoạt động 🔒
Bảo mật Hoạt động bao gồm nhiều nỗ lực tại EF. Ví dụ: giám sát tài sản đã được thiết lập để liên tục giám sát cơ sở hạ tầng và miền để tìm các lỗ hổng đã biết.
Giám sát mạng Ethereum 🩺
Một hệ thống giám sát mạng Ethereum mới đang được phát triển. Hệ thống này hoạt động tương tự như SIEM và được xây dựng để lắng nghe và giám sát mạng Ethereum đối với các quy tắc phát hiện được định cấu hình trước cũng như phát hiện bất thường động để quét các sự kiện ngoại lệ. Khi đã có, hệ thống này sẽ đưa ra các cảnh báo sớm về sự gián đoạn mạng đang diễn ra hoặc sắp xảy ra.
Phân tích mối đe dọa 🩻
Nhóm của chúng tôi đã tiến hành phân tích mối đe dọa trên The Merge để xác định các khu vực có thể cải thiện về an ninh. Trong công việc này, chúng tôi đã thu thập và kiểm tra các phương pháp bảo mật cho Đánh giá mã, Bảo mật cơ sở hạ tầng, Bảo mật dành cho nhà phát triển, Bảo mật xây dựng (DAST, SCA và SAST được tích hợp vào CI, v.v.), Bảo mật kho lưu trữ và hơn thế nữa từ các nhóm khách hàng. Ngoài ra, phân tích này còn khảo sát cách ngăn chặn thông tin sai lệch, từ đó thảm họa có thể xảy ra và cách cộng đồng có thể phục hồi trong các bối cảnh khác nhau. Một số nỗ lực liên quan đến các cuộc tập trận khắc phục hậu quả thiên tai cũng được quan tâm.
Nhóm bảo mật máy khách Ethereum 🤝
Khi Hợp nhất tiếp cận, chúng tôi đã thành lập một nhóm bảo mật bao gồm các thành viên của nhóm khách hàng làm việc trên cả Lớp thực thi và Lớp đồng thuận. Nhóm này sẽ gặp gỡ thường xuyên để thảo luận về các vấn đề liên quan đến bảo mật như lỗ hổng bảo mật, sự cố, phương pháp hay nhất, công việc bảo mật đang thực hiện, đề xuất, v.v.
Ứng phó sự cố 🚒
Các nỗ lực của Blue Team giúp thu hẹp khoảng cách giữa Lớp thực thi và Lớp đồng thuận khi Hợp nhất tiến gần hơn. Các phòng chiến tranh để ứng phó sự cố đã hoạt động tốt trong quá khứ, nơi các cuộc trò chuyện sẽ nảy sinh với những người có liên quan trong các sự cố, nhưng với The Merge thì sự phức tạp mới trở nên phức tạp hơn. Các công việc khác đang được thực hiện để (ví dụ) chia sẻ công cụ, tạo các khả năng gỡ lỗi và phân loại bổ sung và tạo tài liệu.
Cảm ơn bạn và tham gia 💪
Đây là một số nỗ lực hiện đang diễn ra dưới nhiều hình thức khác nhau và chúng tôi mong muốn được chia sẻ nhiều hơn nữa với bạn trong tương lai!
Nếu bạn cho rằng mình đã tìm thấy lỗ hổng bảo mật hoặc bất kỳ lỗi nào, vui lòng gửi báo cáo lỗi tới lớp thực thi hoặc lớp đồng thuận chương trình tiền thưởng lỗi! 💜🦄
