Bảo mật chương trình

Rất cảm ơn Unboxed Software đã tiên phong và định hình nội dung ban đầu về khóa học này với hướng dẫn của họ!

Mỗi ngày, hàng triệu đô la chảy qua các chương trình Solana với tốc độ chớp nhoáng. Trong môi trường có cược cao và hiệu suất cao này, một dòng code dễ bị tấn công có thể rút cạn một protocol trong vài giây, trong khi một chương trình được bảo mật tốt có thể xử lý hàng nghìn giao dịch mỗi giây mà không gặp khó khăn.

Cách mạng về kiến trúc xử lý song song của Solana không chỉ nhanh hơn các blockchain khác; nó về cơ bản là khác biệt.

Trong khi các nhà phát triển Ethereum lo lắng về tối ưu hóa gas và thực thi tuần tự, các nhà phát triển Solana phải thành thạo một bối cảnh mối đe dọa hoàn toàn mới nơi account thay thế storage, chương trình là stateless, và các giao dịch đua nhau trong các lane thực thi song song.

Có rất nhiều lỗ hổng bảo mật độc đáo với phát triển blockchain Solana. Trong khóa học này, bạn sẽ học tất cả các Sealevel Attack được mô hình hóa dựa trên Coral's Sealevel Attack repository, kết hợp các ví dụ và chiến lược giảm thiểu thực tế.

Trước khi triển khai chương trình của bạn lên Mainnet, bạn nên có một chút hiểu biết cơ bản về các nguyên tắc bảo mật.

Các lỗ hổng tương tự đều "có hiệu lực" cho cả phát triển Native và Anchor

Giới thiệu về bảo mật chương trình

Các cân nhắc bảo mật quan trọng nhất trong phát triển Solana xuất phát từ mô hình chủ sở hữu account của nền tảng và cách các chương trình tương tác với account.

Các chương trình phải cẩn thận xác thực chủ sở hữu account, triển khai kiểm soát truy cập thích hợp, và xử lý sự phức tạp của cross-program invocation (CPI).

Bản chất stateless của chương trình có nghĩa là tất cả xác minh về mặt logic phải được triển khai một cách rõ ràng, vì không có lớp bảo vệ tích hợp nào chống lại thao tác của các account độc hại.

Ngoài ra, các lỗ hổng phổ biến trong chương trình Solana bao gồm thiếu kiểm tra tính sở hữu, xác minh signer không đủ, overflow/underflow toán học, và xử lý không đúng cách khởi tạo và đóng account.

Anchor được phát triển với ý tưởng làm cho các chương trình Solana an toàn hơn bằng cách buộc các nhà phát triển sử dụng các kiểu cụ thể hoặc đưa ra lựa chọn có chủ ý cho chương trình của họ.

Mặc dù mỗi lỗ hổng bảo mật thoạt nhìn có vẻ "đơn giản", nhưng có tầm quan trọng đáng kể để thảo luận trong mỗi kịch bản. Những bài học này chứa ít chữ hơn và nhiều ví dụ code thực tế hơn, đảm bảo bạn có được hiểu biết vững chắc, thực hành về các rủi ro bảo mật được thảo luận.

Sẵn sàng nâng cao kiến thức bảo mật Solana của bạn chưa? Hãy bắt đầu xây dựng các chương trình an toàn hơn cùng nhau.