• Về CyStack
  • Sản phẩm
  • Dịch vụ
  • Dành cho doanh nghiệp
  • Công ty
  • Tài liệu

Cellframe: Chinh phục thành công ngành công nghiệp Blockchain với sức mạnh bảo mật cộng đồng

Khám phá những thách thức bảo mật của ngành công nghiệp blockchain mà Cellframe đã gặp phải và cách họ vượt qua chúng.

Giải pháp được lựa chọn

0
CyStack

DEMLABS

Những phát hiện chính

  • Chương trình đã nhận 17 báo cáo lỗi, tổng giá trị thưởng 78.500 USD. Có 2 lỗi nghiêm trọng, 11 lỗi trung bình và 1 lỗi nhẹ.

Giải pháp được lựa chọn

0

Cellframe: Chinh phục thành công ngành công nghiệp Blockchain với sức mạnh bảo mật cộng đồng

Khám phá những thách thức bảo mật của ngành công nghiệp blockchain mà Cellframe đã gặp phải và cách họ vượt qua.

Về khách hàng

Blockchain hoạt động như một chiếc sổ cái phi tập trung, tức mỗi chủ thể tham gia vào khối dữ liệu (block) này đều nắm giữ một bản sao của toàn bộ cơ sở dữ liệu. Sự phức tạp này giúp đảm bảo tính mạnh mẽ, bảo mật và minh bạch, vì việc giả mạo một khối duy nhất gần như là không thể. Tuy nhiên, khi công nghệ phát triển, các cơ chế đồng thuận mới và ngôn ngữ hợp đồng thông minh tiếp tục xuất hiện, tạo thêm nhiều lớp phức tạp cho ngành công nghiệp blockchain.

Cellframe Network là một nền tảng nguồn mở, layer 0, code bằng ngôn ngữ C++. Cellframe xây dựng và kết nối các chuỗi khối và dịch vụ được bảo mật bằng mã hóa sau lượng tử, từ đó cung cấp một môi trường cho các doanh nghiệp và nhà phát triển để xây dựng một loạt sản phẩm khác nhau, từ các t-dApp cấp thấp đơn giản đến toàn bộ các chuỗi khối hoàn chỉnh trên nền tảng.

Theo quy định của ngành công nghiệp blockchain, các công ty bắt buộc phải trải qua quá trình kiểm thử bảo mật trước khi ra mắt sản phẩm với thị trường. Tuy nhiên, do sự phức tạp của hệ thống và thời gian đánh giá gấp rút nên nhiều nhà cung cấp trước đây đã không thể đáp ứng hai yêu cầu trên. Với lợi thế sở hữu một nền tảng bảo mật cộng đồng, CyStack đã tận dụng điều này để giải quyết bài toán mà Cellframe đưa ra.

Giải pháp

Giải pháp được lựa chọn là Blockchain Protocol Audit và Managed Bug Bounty.

Đối tượng kiểm thử: Ứng dụng đặc thù.

Blockchain Protocol Audit là quy trình đánh giá bao gồm xem xét và phân tích thiết kế, cách triển khai và tính bảo mật của giao thức blockchain để xác định các lỗ hổng hoặc điểm yếu có thể bị kẻ tấn công khai thác. Quá trình làm việc gồm các bước:

  • Phân tích tài liệu kỹ thuật: Bao gồm whitepaper, mã nguồn và bất kỳ tài liệu có sẵn nào khác để hiểu thiết kế và chức năng của giao thức blockchain.
  • Xác định cơ chế đồng thuận: Điều này sẽ giúp xác định bất kỳ điểm yếu tiềm ẩn trong cơ chế có thể bị khai thác.
  • Đánh giá mã nguồn: Thực hiện đánh giá toàn diện của giao thức blockchain, tìm kiếm các lỗ hổng tiềm ẩn như lỗi buffer overflow, SQL injection và các lỗ hổng phần mềm phổ biến khác.
  • Quét mã nguồn: Sử dụng các công cụ kiểm tra tự động để kiểm thử mã nguồn và tìm các lỗ hổng tiềm ẩn, bao gồm kiểm thử đơn vị, kiểm thử tích hợp và kiểm thử hồi quy.
  • Kiểm thử thâm nhập: Mô phỏng một cuộc tấn công trong thế giới thực vào giao thức blockchain, bao gồm cả việc cố gắng khai thác các lỗ hổng được xác định trong quá trình đánh giá và kiểm tra tự động mã nguồn.
  • Đánh giá mức độ tuân thủ: Để đảm bảo tuân thủ các quy định liên quan và tiêu chuẩn ngành.
  • Kiểm thử khả năng tương tác: Đánh giá khả năng tương thích của giao thức blockchain với các mạng và hệ thống blockchain khác, đảm bảo rằng giao thức này có thể tương tác với các hệ thống khác trong hệ sinh thái.
  • Kiểm thử hiệu năng: Đánh giá hiệu năng của giao thức blockchain, bao gồm khả năng mở rộng, mức tiêu thụ gas và khả năng sử dụng.
  • Xuất báo cáo: Một báo cáo chi tiết về kết quả kiểm thử gồm bất kỳ lỗ hổng hoặc vấn đề nào được xác định và các đề xuất khắc phục.
  • Hỗ trợ khắc phục: Hỗ trợ giải quyết mọi vấn đề hoặc lỗ hổng được xác định trong quá trình kiểm thử với các hướng dẫn về cách khắc phục sự cố.

Giải pháp Penetration Testing giúp phát hiện các lỗ hổng và điểm yếu bảo mật trong ứng dụng, bao gồm việc lộ dữ liệu nhạy cảm và giao tiếp không an toàn giữa máy khách-máy chủ. Ngoài ra, CyStack đã đề xuất thực hiện Whitebox testing, một hình thức thử nghiệm thâm nhập hộp mở mô phỏng một cuộc tấn công mà trong đó kẻ tấn công giành được quyền truy cập vào tài khoản đặc quyền. Cách tiếp cận này có thể hoàn thiện quyền truy cập mở vào các ứng dụng và hệ thống một các toàn diện, nhanh chóng và ít có khả năng bỏ sót lỗ hổng hơn.

Tuy nhiên, 2 tuần là khoảng thời gian quá ngắn để đội ngũ chuyên gia của CyStack có thể đảm bảo sự chính xác trong kết quả thử nghiệm. Với lợi thế sở hữu nền tảng bảo mật cộng đồng WhiteHub, CyStack đã tận dụng sức mạnh sẵn có, mở chương trình bug bounty để tăng số lượng chuyên gia tham gia thử nghiệm, giảm thời gian đọc mã và rà soát lỗ hổng.

Về chương trình săn lỗi nhận thưởng

Chương trình săn lỗi nhận thưởng là một loại hình bảo mật cộng đồng nhằm khuyến khích các cá nhân hoặc nhóm, được gọi là “hacker mũ trắng”, xác định và báo cáo các lỗ hổng bảo mật trong phần mềm hoặc hệ thống của công ty. Các công ty sẽ trao thưởng bằng tiền, quà tặng hoặc sự công nhận cho những hacker mũ trắng phát hiện và báo cáo những lỗ hổng này.

Mục đích của chương trình là xác định và giải quyết các lỗ hổng bảo mật một cách kịp thời và hiệu quả, đồng thời cung cấp một môi trường an toàn và bảo mật cho các hacker mũ trắng báo cáo các lỗ hổng, giúp các tổ chức cải thiện tình trạng bảo mật, giảm nguy cơ tấn công mạng và vi phạm dữ liệu. Chương trình cũng có thể được áp dụng để kiểm tra tính bảo mật của nhiều hệ thống và ứng dụng, bao gồm ứng dụng web, ứng dụng di động và thiết bị IoT.

Một trong những nơi thường xuyên mở các chương trình săn lỗi nhận thưởng là WhiteHub, nền tảng bảo mật cộng đồng đầu tiên và lớn nhất tại Việt Nam được phát triển bởi đội ngũ CyStack. WhiteHub hỗ trợ các doanh nghiệp khởi chạy chương trình săn lỗi nhận thưởng của riêng họ để tìm ra các lỗ hổng một cách hiệu quả, với sự tham gia của hơn 3000 chuyên gia bảo mật.

Thông tin chi tiết, vui lòng truy cập: https://whitehub.net/

Kết quả

Thông qua chương trình săn lỗi nhận thưởng, tổng cộng 17 báo cáo đã được trao, trong đó có 16 Accepted và 1 Rejected (Out-of-scope). Tổng giá trị phần thưởng đạt mức 78.500 USD, trong đó phần thưởng cao nhất là 10.000 USD.

Tổng số lỗ hổng được phát hiện: 2 critical, 11 medium và 1 low.

Cách khắc phục:

  • Xóa bỏ các hàm gây nguy hiểm
  • Thay thế việc sử dụng các hàm không an toàn trong C
  • Kiểm tra kích cỡ trước khi phân bổ memory và sử dụng các hàm đặc biệt trong C
  • Triển khai cơ chế kiểm soát lỗi tốt hơn để tránh việc chương trình bị crashed
  • Kiểm tra chặt chẽ dữ liệu nhập vào từ người dùng trước khi sử dụng chúng
  • Kiểm soát việc sử dụng con trỏ trong C tốt hơn.

Chăm sóc khách hàng

Chương trình săn lỗi nhận thưởng không chỉ là một cơ hội để thể hiện sự cam kết bảo mật của chúng tôi đối với khách hàng, mà còn là nơi chúng tôi tôn vinh sự đóng góp của những hacker mũ trắng trong thời đại số ngày nay. Để dự án diễn ra thuận lợi và đúng thời hạn mà khách hàng yêu cầu, không thể không kể đến những nỗ lực to lớn của đội ngũ nội bộ chúng tôi.

Đội ngũ Business Development

  • Phối hợp với team nội bộ để theo sát dự án, đảm bảo dự án hoàn thành đúng tiến độ mong muốn của khách hàng
  • Thực hiện tìm kiếm chuyên gia bảo mật thông qua việc đẩy mạnh chương trình săn lỗi nhận thưởng qua các kênh liên lạc và kết nối.

Đội ngũ Security Engineering

  • Giúp Cellframe giải quyết các lỗi Buffer Over Flow có thể dẫn tới tấn công DoS, thực thi mã từ xa và các hành vi không kiểm soát được khác ở ứng dụng.
  • Rà soát trên toàn bộ mã nguồn ứng dụng để tránh xảy ra các điểm mang lỗi Buffer Overflow khác.

Về CyStack

CyStack là công ty an ninh mạng tại Việt Nam được thành lập từ năm 2017. Chúng tôi cung cấp các giải pháp toàn diện, bao gồm thử nghiệm, tư vấn bảo mật và dịch vụ quản lý. Với hơn 200 doanh nghiệp và 20,000 người dùng trên toàn thế giới, chúng tôi được công nhận là đối tác đáng tin cậy của các tổ chức và là công ty mạnh mẽ hàng đầu về nghiên cứu và phát triển an ninh mạng.

Thông tin chi tiết, vui lòng truy cập: https://cystack.net/

Quotes

“Chúng tôi đã gặp vài cuộc tấn công DoS trong quá khứ, chủ yếu nhắm vào các proxy. Tình hình khá phức tạp và chúng tôi đã trải qua một quá trình đầy thử thách. Rất may là mọi việc đã được xử lý êm đẹp.” – Dmitry Gerasimov, Founder/CEO của Cellframe.

“Chúng tôi coi việc đầu tư cho an ninh mạng là quan trọng trong quá trình phát triển kinh doanh. Doanh nghiệp nên tập trung hơn vào bảo mật và thực hiện biện pháp phòng ngừa để tránh các sự cố đáng tiếc.” – Dmitry Gerasimov, Founder/CEO của Cellframe.

“Đội ngũ rất chuyên nghiệp với kiến thức chuyên môn vượt trội kết hợp khả năng hỗ trợ và đáp ứng nhu cầu khách hàng tuyệt vời. Chúng tôi đã có nhiều trải nghiệm tích cực khi làm việc với CyStack và sẵn lòng giới thiệu quý công ty đến những ai đang tìm kiến giải pháp bảo mật chất lượng.” – Dmitry Gerasimov, Founder/CEO của Cellframe.

Xem những câu chuyện khác

Vntrip và Bài toán Bảo mật dữ liệu khách hàng
Trong case study này, chúng tôi sẽ mô tả lại quá trình mà WhiteHub đã giúp cho Vntrip - một công ty lớn về đặt phòng khách sạn và vé máy bay tại Việt Nam giải quyết vấn đề về bảo mật trong ứng dụng và hệ thống của công ty để giảm thiểu được tối đa các rủi ro có thể xảy đến.
Vayana thành công kết nối mạng lưới 300.000+ doanh nghiệp với Kiểm thử bảo mật hợp đồng thông minh
Nhờ tinh thần chủ động bảo mật thông qua phương pháp Kiểm thử bảo mật hợp đồng thông minh, Vayana đã thành công xây dựng niềm tin trong lòng khách hàng, giữ vững vị trí một trong những công ty công nghệ hàng đầu tại Ấn Độ.
Petit Gateau: Chinh phục niềm tin khách hàng với sự chủ động bảo mật mạnh mẽ
Petit Gateau thành công bảo vệ sản phẩm của đối tác Dai-ichi Life, một công ty hàng đầu trong lĩnh vực bảo hiểm trên thế giới, nhờ áp dụng phương pháp Kiểm thử xâm nhập (Penetration Testing) thực hiện bởi đội ngũ chuyên gia CyStack.