Безпека програм

Величезна подяка Unboxed Software за прокладання шляху та формування початкового вмісту цього курсу своїм посібником!

Щодня мільйони доларів проходять через програми Solana з блискавичною швидкістю. У цьому високоризиковому середовищі з високою продуктивністю один рядок вразливого коду може спустошити протокол за секунди, тоді як добре захищена програма може обробляти тисячі транзакцій за секунду без проблем.

Революційна архітектура паралельної обробки Solana не просто швидша за інші блокчейни; вона принципово відрізняється.

У той час як розробники Ethereum турбуються про оптимізацію газу та послідовне виконання, розробники Solana повинні опанувати абсолютно новий ландшафт загроз, де облікові записи замінюють сховище, програми не мають стану, а транзакції змагаються одна з одною в паралельних смугах виконання.

Існує багато вразливостей безпеки, унікальних для розробки на блокчейні Solana. У цьому курсі ви вивчите всі атаки Sealevel, змодельовані на основі репозиторію атак Sealevel від Coral, включаючи реальні приклади та практичні стратегії пом'якшення.

Перш ніж розгортати свої програми в Mainnet, ви повинні мати хоча б базове розуміння основ безпеки.

Ті самі вразливості є "дійсними" як для нативної розробки, так і для розробки з Anchor

Вступ до безпеки програм

Найважливіші міркування щодо безпеки в розробці Solana випливають з моделі власності облікових записів платформи та способу взаємодії програм з обліковими записами.

Програми повинні ретельно перевіряти власність облікових записів, впроваджувати належний контроль доступу та обробляти складності міжпрограмних викликів (CPI).

Безстановий характер програм означає, що вся логіка валідації повинна бути явно реалізована, оскільки не існує вбудованих захистів від зловмисних маніпуляцій з обліковими записами.

Крім того, поширені шаблони вразливостей у програмах Solana включають відсутність перевірок власності, недостатню верифікацію підписувача, арифметичне переповнення/недоповнення та неправильну обробку ініціалізації та закриття облікових записів.

Anchor був розроблений з ідеєю зробити програми Solana більш безпечними, змушуючи розробників використовувати конкретні типи або робити свідомий вибір для своїх програм.

Хоча кожна вразливість безпеки може здаватися "простою" на перший погляд, є суттєва глибина для обговорення в кожному сценарії. Ці уроки містять менше прози і більше практичних прикладів коду, що гарантує вам отримання ґрунтовного, практичного розуміння обговорюваних ризиків безпеки.

Готові покращити свої знання з безпеки Solana? Давайте разом почнемо створювати більш безпечні програми.