WEB:a16z ：详解Web3安全领域常见的攻击类型和经验教训

web3的大量安全性取决于区块链做出承诺和对人为干预具有弹性的特殊能力。但是最终性的相关特征——交易通常是不可逆的——使得这些软件控制的网络成为攻击者的诱人目标。事实上，随着区块链——作为web3基础的去中心化计算机网络——及其伴随的技术和应用程序积累价值，它们越来越成为攻击者梦寐以求的目标。尽管web3与早期的互联网迭代有所不同，但我们已经观察到与以前的软件安全趋势的共同点。在许多情况下，最大的问题与以往一样。通过研究这些领域，防御者——无论是开发商、安全团队还是日常加密用户——可以更好地保护自己、他们的项目和钱包免受潜在的窃贼的侵害。下面我们根据经验提出一些常见的主题和预测。跟着资金攻击者通常旨在最大化投资回报。他们可以花费更多的时间和精力来攻击具有更多“总价值锁定”或TVL的协议，因为潜在的回报更大。资源最丰富的黑客组织更经常瞄准高价值系统。新颖的攻击也更频繁地针对这些珍贵的目标。低成本攻击永远不会消失，我们预计它们在可预见的未来会变得更加普遍。修补漏洞随着开发人员从久经考验的攻击中学习，他们可能会将web3软件的状态提高到“默认安全”的程度。通常，这涉及收紧应用程序编程接口或API，以使人们更难错误地引入漏洞。虽然安全始终是一项正在进行中的工作，但防御者和开发人员可以通过消除攻击者的大部分低成本果实来提高攻击成本。随着安全实践的改进和工具的成熟，以下攻击的成功率可能会大幅下降：治理攻击、价格预言机操纵和重入漏洞。无法确保“完美”安全性的平台将不得不使用漏洞缓解措施来降低损失的可能性。这可能会通过减少其成本收益分析的“收益”或上行空间来阻止攻击者。分类攻击对不同系统的攻击可以根据它们的共同特征进行分类。定义特征包括攻击的复杂程度、攻击的自动化程度以及可以采取哪些预防措施来防御它们。以下是我们在过去一年中最大的黑客攻击中看到的攻击类型的非详尽列表。我们还包括了我们对当今威胁形势的观察以及我们预计未来web3安全性的发展方向。APT操作：顶级掠食者

a16z、区块链协会均致函质疑美SEC拟议的收紧加密货币托管规则:5月9日消息，美国证券监管机构提出的一项收紧加密货币托管规则的提议遭到了至少两名业内支持者的反对。5月8日，加密行业倡导机构区块链协会（Blockchain Association）向SEC提交了一封信，批评其修改其监管规则的提议。3天前，Web3风险投资基金Andreessen Horowitz(a16z)也发出了一封类似的信函。区块链协会政策律师Marisa Tashman Coppel于5月8日在推特上表示，SEC拟议的规定将“大幅减少对数字资产的投资”，并声称以目前的形式，该规定是“非法的”。在信中，区块链协会提供了十几个单独的论据来反驳SEC。在其他声明中，它表示该规则超出了SEC权限，将禁止顾问与加密货币交易所进行交易，并使投资者的资产面临更大的风险。同一天，a16z总法律顾问Miles Jennings在推特上发布了其致SEC的信函，称该公司“没有含糊其词”，并称SEC的提议是“对加密货币发动战争的误导和明显的企图。”a16z在其信中详述了与区块链协会类似的论点，但更侧重于其对注册投资顾问的影响，即顾问将被禁止使用加密货币，并且这些规则可能违反SEC对此类公司的注意义务。[2023/5/9 14:51:45]

Web3公司ContentFi推出首个基于a16z Can't be Evil的NFT许可解决方案:12月27日消息，Web3 公司 ContentFi 推出首个基于 a16z Can't be Evil」Licenses 的 NFT 许可解决方案Can't Be Vil 许可工具包（CBE License Toolkit），旨在简化 IP 许可流程，降低进入 NFT 生态系统的准入门槛，以开放方式获得许可权限检查、发布和展示 NFT，并且使用户可以轻松指定对 NFT 项目的所有权。

此前报道，8月31日，a16z推出开源Can't be Evil NFT 许可，旨在推动 NFT 行业发展。[2022/12/28 22:11:23]

通常称为高级持续威胁(APT)的专家对手是安全的恶魔。他们的动机和能力差异很大，但他们往往富有而且坚持不懈。不幸的是，他们很可能会一直在身边。不同的APT运行许多不同类型的操作，但这些威胁参与者往往最有可能直接攻击公司的网络层以实现其目标。我们知道一些高级团体正在积极瞄准web3项目，我们怀疑还有其他人尚未确定。最受关注的APT背后的人往往生活在与美国和欧盟没有引渡条约的地方，这使得他们更难因其活动而受到起诉。最著名的APT之一是Lazarus，这是一个朝鲜组织，美国联邦调查局最近称其进行了迄今为止最大的加密黑客攻击。例子：Ronin验证器被攻击轮廓谁：民族国家、资金雄厚的犯罪组织和其他先进的有组织的团体。例子包括Ronin黑客。复杂性：高。可自动化性：低对未来的期望：只要APT能够将其活动货币化或实现各种目的，它们就会保持活跃。以用户为目标的网络钓鱼：社会工程学

隐私基础设施Nym获得3亿美金生态基金承诺，a16z和Polychain等支持:5月2日消息，隐私基础设施项目Nym宣布推出了Nym创新基金，目前已从一系列风险资本投资者获得了 3 亿美元的承诺，支持者包括 Polychain、Greenfield One、Huobi Incubator、Tioga Capital、Eden Block、NGC Ventures、HashKey Capital、Figment、分布式资本、OKX Blockdream Ventures、Tayssir Capital、KR1、Lemniscap 和 Andreessen Horowitz (a16z) 等，以吸引开发人员加入其生态系统。该基金计划为单个项目发放的赠款在大约 5 万美元到数百万美元之间。

据悉，Nym是新一代的全球隐私基础设施，其目标是扩大网络规模，开发高隐私保护特性的基础平台，推动强调隐私保护特性的应用产品开发从而提高网络的效率。（The Block）[2022/5/2 2:45:50]

a16z：SEC提出的交易所定义过于宽泛可能会抑制web3创新:金色财经消息，AndreessenHorowitz（a16z）针对SEC提交的交易法提案提交了一封评论信。a16z在信中反对 SEC 提出的交易所定义，认为其过于宽泛并可能会抑制 web3的创新。具体来说，a16z认为它并不适用于DeFi协议，并断言如果它适用，则会受到行政程序法的重大缺陷的影响。

对此a16z呼吁SEC建设性地与web3创新者接触，以保护投资者并促进这一至关重要的技术的创新。[2022/4/19 14:33:07]

网络钓鱼是一个众所周知的普遍问题。网络钓鱼者试图通过各种渠道发送诱饵消息来诱捕他们的猎物，这些渠道包括即时通讯、电子邮件、Twitter、电报、Discord和被黑网站。如果你浏览垃圾邮件邮箱，你可能会看到数百次企图诱你泄露密码等信息或窃取你的钱财。现在web3允许人们直接交易资产，例如代币或NFT，几乎可以立即确定，网络钓鱼活动正在针对其用户。对于知识或技术专业知识很少的人来说，这些攻击是通过窃取加密货币来赚钱的最简单方法。即便如此，对于有组织的团体来说，它们仍然是一种有价值的方法来追踪高价值目标，或者对于高级团体来说，通过例如网站接管来发动广泛的、抽干钱包的攻击。例子直接针对用户的OpenSea网络钓鱼活动针对前端应用程序的BadgerDAO网络钓鱼攻击轮廓谁：从脚本初学者到有组织的团体的任何人。复杂性：低-中。可自动化性：中等-高。对未来的期望：网络钓鱼的成本很低，网络钓鱼者往往会适应并绕过最新的防御措施，因此我们预计这些攻击的发生率会上升。可以通过增加教育和意识、更好的过滤、改进的警告横幅和更强大的钱包控制来改进用户防御。供应链漏洞：最薄弱的环节

加密初创公司Iron Fish完成2760万A轮融资，A16z领投:11月30日消息，据福布斯报道，加密初创公司Iron Fish完成2760万A轮融资，A16z领投。其他投资者包括红杉资本、LinkedIn执行主席杰夫·韦纳、亿万富翁Met的所有者艾伦·霍华德(AlanHoward)等人，该公司计划用这笔资金将其团队规模扩大近一倍，建立一个金库，用于向正在建设的公司分配赠款，并支付法律费用以帮助确保流程尽可能合规。[2021/11/30 12:40:52]

当汽车制造商发现车辆中的缺陷部件时，他们会发出安全召回。在软件供应链中也不例外。第三方软件库引入了很大的攻击面。在web3之前，这一直是跨系统的安全挑战，例如去年12月影响广泛的Web服务器软件的log4j漏洞利用。攻击者将扫描互联网以查找已知漏洞，以找到他们可以利用的未修补问题。导入的代码可能不是由项目自己的工程团队编写的，但其维护至关重要。团队必须监控其软件组件的漏洞，确保部署更新，并及时了解他们所依赖的项目的动力和健康状况。web3软件漏洞利用的真实和即时成本使得负责任地将这些问题传达给用户具有挑战性。关于团队如何或在何处以一种不会意外使用户资金面临风险的方式相互交流这些信息，目前还没有定论。例子Wormhole桥攻击Multichain漏洞轮廓谁：有组织的团体，例如APT、独立黑客和内部人士。复杂性：中等。可自动化性：中等。对未来的期望：随着软件系统的相互依赖性和复杂性的增加，供应链漏洞可能会增加。在为web3安全开发出良好的、标准化的漏洞披露方法之前，机会主义的黑客攻击也可能会增加。治理攻击：选举掠夺者

这是上榜的第一个特定于加密行业的问题。web3中的许多项目都包含治理方面，代币持有者可以在其中提出改变网络的提案并对其进行投票。虽然这为持续发展和改进提供了机会，但它也打开了一个后门，可以引入恶意提案，如果实施可能会破坏网络。攻击者设计了新的方法来规避控制、征用领导权和掠夺国库。攻击者可以拿出大量的“闪电贷”来获得足够的选票，就像最近发生DeFi项目Beanstalk上的事件一样。导致提案自动执行的治理投票更容易被攻击者利用。然而，如果提案的制定存在时间延迟或需要多方手动签署，则可能更难实施。例子Beanstalk资金转移事件轮廓谁：从有组织的团体(APT)到独立黑客的任何人。复杂性：从低到高，取决于协议。可自动化性：从低到高，取决于协议。对未来的期望：这些攻击高度依赖于治理工具和标准，尤其是当它们与监控和提案制定过程有关时。定价预言机攻击：市场操纵者

准确地为资产定价是困难的。在传统交易领域，通过市场操纵人为抬高或压低资产价格是非法的，你可能会因此受到罚款或逮捕。在DeFi市场中，随机的用户能够“闪电交易”数亿或数十亿美元并导致价格突然波动，这个问题很明显。许多web3项目依赖于“预言机”——提供实时数据的系统，是链上无法找到的信息来源。例如，预言机通常用于确定两种资产之间的交换定价。但攻击者已经找到方法来这些所谓的真相来源。随着预言机标准化的进展，链下和链上世界之间将会有更安全的桥梁，我们可以期待市场对操纵尝试变得更有弹性。运气好的话，有朝一日这类攻击可能会几乎完全消失。例子Cream市场操纵轮廓谁：有组织的团体(APT)、独立黑客和内部人士。复杂程度：中等。自动化：高。对未来的期望：随着准确定价方法变得更加标准，可能会降低。新漏洞：未知未知

“Zero-day”漏洞攻击——之所以这样命名，是因为它们在出现时就是只公开了0天的漏洞——是信息安全领域的热点问题，在web3安全领域也不例外。因为它们是突然出现的，所以它们是最难防御的攻击。如果有的话，web3让这些昂贵的、劳动密集型的攻击更容易货币化，因为人们一旦被盗就很难追回加密资金。攻击者可以花费大量时间仔细研究运行链上应用程序的代码，以找到一个可以证明他们所有努力的错误。同时，一些曾经新颖的漏洞继续困扰着毫无戒心的项目；著名的重入漏洞曾发生在早期的以太坊项目TheDAO上，如今继续在其它地方重新出现。目前尚不清楚该行业将能够多快或轻松地适应对这些类型的漏洞进行分类，但对审计、监控和工具等安全防御的持续投资将增加攻击者试图攻击这些漏洞的成本。例子PolyNetwork的跨链交易漏洞Qubit的无限铸币漏洞轮廓谁：有组织的团体(APT)、独立黑客和内部人士。复杂性：中等-高。可自动化性：低。对未来的期望：更多的关注会吸引更多的白帽，并使发现新漏洞的“进入门槛”更高。同时，随着web3采用的增长，黑帽黑客寻找新漏洞的动机也在增加。就像在许多其他安全领域一样，这很可能仍然是一场猫捉老鼠的游戏。

标签：WEBWEB3SECAPTweb3域名值钱吗web3域名值钱吗Secret Networkapt币前景开盘到现在翻几倍啊

Polygon热门资讯