Розуміння атак повторного відтворення та як гаманці їх запобігають

Безпека транзакцій важливіша, ніж коли-небудь, у швидко розвиваючійся галузі crypto. Зі зростанням використання блокчейну збільшується кількість способів, якими хакери можуть експлуатувати слабкості. Атака повторного відтворення — це одна з серйозних і недостатньо вивчених загроз.

Атака повторного відтворення відбувається, коли зловмисник повторно передає легітимну транзакцію, щоб обманути систему. Зловмисник не змінює підпис, а використовує його в іншому місці. Це може призвести до повторення однієї й тієї ж транзакції, що створює загрозу для користувача.

Оскільки підпис залишається тим самим, блокчейн може прийняти надлишкове повідомлення. У випадках, коли блокчейни або додатки не перевірені, зловмисник використовує повторне відправлення. Це може бути особливо небезпечним під час форків або між такими ланцюгами блокчейнів.

Атаки повторного відтворення часто відбуваються, коли блокчейн розгалужується або коли дві ланцюги мають однаковий формат. Підписаний транзакційний запит може використовуватися в обох ланцюгах без достатнього захисту. Це означає, що кошти можна надіслати одночасно в одному ланцюзі та в іншому.

Відсутність чітких меж між блокчейнами в системах надає можливість хакерам. Вони також націлюються на застосунки з слабкою перевіркою повідомлень. У обох випадках атакуючий прагне отримати прибуток, повторюючи дії, які виглядають дійсними.

Одним із таких прикладів був випадок з ethereum та Ethereum classic у 2016 році. Зловмисники повторювали транзакції в обох мережах, оскільки спочатку не було захисту. Як наслідок, користувачі випадково витрачали гроші на виконання транзакцій двічі.

Криптогаманці мають потужні інструменти безпеки, які реалізовані до будь-якої атаки повторного відтворення. Одним із них є chain ID, пов’язаний з кожним підписаним повідомленням. Це забезпечує, що підпис може пройти лише через один блокчейн і не пройде через інші блокчейни.

Іншим важливим інструментом є nonce — це число, яке збільшується в кожній транзакції. Гаманець відхиляє транзакцію, якщо nonce використовується повторно. Це забезпечить, що хакери не зможуть повторити ту саму повідомлення або платіж.

Часові обмеження також використовуються в деяких гаманцях для отримання платежу. Наприклад, повідомлення може бути дійсним протягом п’яти хвилин. Після цього підпис стає недійсним, і повторна відправка стає неможливою.

Хоча гаманці функціональні, смартконтракти та додатки також повинні забезпечувати свою безпеку. Більшість контрактів мають nonce/користувача — лічильник nonce для запобігання дублюванню дій. Це дозволяє контракту спростувати будь-який підпис, який він спостерігав.

Застосунки, що допомагають з підписом поза ланцюгом, ймовірно, будуть дотримуватися стандарту EIP-712. Цей формат включає ID ланцюга, назву застосунку та контракту. Використовуючи цей стандарт, застосунки пов’язують кожне повідомлення з його призначенням і уникнути повторів.

За даними QuillAudits, компанії з безпеки блокчейну, додатки не повинні пропускати розділення доменів у схваленнях поза ланцюгом. Відсутність правильного контексту дозволить зловмисникам зловживати інтероперабельністю. Це пояснює, чому аудити є важливими для забезпечення безпеки систем Web3.

Захист від повторного відтворення ґрунтується на окремих і чітких інструментах для забезпечення правильного контексту. Цими інструментами є chain ID, nonce акаунту та час до закінчення терміну дії. Комбінація їх ускладнює атакуючим спроби повторного відтворення.

Найважливіші елементи:

• Chain ID – Транзакція є дійсною лише в одному блокчейні і відхиляється іншими блокчейнами.
• Nonce – це число, яке використовується для забезпечення того, що підписаний повідомлення не використовуватиметься багато разів.
• Часовий мітка або обмеження часу – це додасть часовий проміжок, під час якого відтворене повідомлення буде відхилено після закінчення часу.
• Роздільник домену – Tether офлайн-повідомлення до певного додатка, контракту та ланцюга за стандартами EIP-712.
• Відстеження nonce смартконтракту – дозволяє додаткам і смартконтрактам блокувати використані або дубльовані повідомлення на рівні смартконтракту.

Комбінація цих інструментів запобігає більшості атак повторного відтворення. Усі ці методи використовуються гаманцями, додатками та протоколами для захисту від дублювання повідомлень. Результат — безпечніший досвід для розробників та користувачів.

Захист від повторень робить користувачів впевненими під час використання гаманців, мостів та бірж. У його відсутність користувачі не усвідомлюють, що втратили гроші. Системи стають більш безпечними та надійними, відмовляючись від повторних або зловживаних транзакцій.

Гаманці з ідентифікатором назви ланцюга дозволяють користувачам уникати помилок. Коли користувачі чітко розуміють, куди спрямована їх транзакція, вони зможуть керувати процесом. Це також мінімізує плутанину під час переходу між ланцюгами або додатками.

Захист від повторного використання також використовується для безпечних виведень і депозитів біржами та кастодіанами. Вони зазвичай розробляють персоналізовані інструменти, які дозволяють проводити транзакції лише на відповідній мережі. Це забезпечує безпеку клієнтів і стабільність операцій у випадку форків або оновлень.

Атаки повторного відтворення становлять загрозу безпеці блокчейну, використовуючи повторно використані підписи в одній або кількох ланцюжках або системах. Однак за допомогою chain ID, nonce та часових обмежень гаманці значно сприяють запобіганню їм. Додатки та смартконтракти також повинні вносити свій вклад у це, контролюючи їх використання та підписи.

Системи повинні взаємодіяти та бути обізнаними одна про одну, оскільки це єдиний спосіб забезпечити найкращу захист. Користувачі мінімізують ризик повторного використання шляхом використання надійних гаманців, перевірених dApp та аудитованих смартконтрактів. Простір блокчейнів розширюється, і зусилля щодо забезпечення його безпеки мають бути підсилені.