WEB:金色观察｜a16z全面解析Web3 安全性：攻击类型和经验教训

web3 的大量安全性依赖于区块链做出承诺和对人为干预具有弹性?的特殊能力。但最终性的相关特征——交易通常是不可逆的——使得这些软件控制的网络成为攻击者的诱人目标。事实上，随着区块链——作为web3基础的分布式计算机网络——及其伴随的技术和应用程序的增值，它们越来越成为攻击者梦寐以求的目标。

尽管 web3 与互联网的早期迭代有所不同，但我们已经观察到与以前的软件安全趋势的共同点。在许多情况下，最大的问题与以往一样。通过研究这些领域，防御者——无论是开发者、安全团队还是日常加密用户——可以更好地保护自己、他们的项目和他们的钱包免受潜在的窃贼的侵害。下面我们根据我们的经验提出一些常见的攻击类型和预测。

攻击者通常旨在最大化投资回报。他们可以花费更多的时间和精力来攻击具有更多“总价值锁定”或 TVL 的协议，因为潜在的回报更大。

资源最丰富的黑客团体更经常瞄准高价值系统。最新的攻击技术也将更频繁地针对这些有价值的目标。

低成本攻击（如网络钓鱼）永远不会消失，我们预计它们在可预见的未来会变得更加普遍

随着开发人员从久经考验的攻击中学习，他们可能会将 web3 软件的状态提高到“默认安全”的程度。通常，这涉及收紧应用程序编程接口或API，?以使人们更难错误地引入漏洞。

虽然安全始终是一项正在进行中的工作——可以肯定的是，没有什么是防黑客的——防御者和开发人员可以通过消除攻击者的大部分唾手可得的果实来提高攻击成本。

金色财经挖矿数据播报 | BCH今日全网算力下降7.43%:金色财经报道，据蜘蛛矿池数据显示：

ETH全网算力180.253TH/s，挖矿难度2293.49T，目前区块高度9971090，理论收益0.00806106/100MH/天。

BTC全网算力113.005EH/s，挖矿难度15.96T，目前区块高度628224，理论收益0.00001575/T/天。

BSV全网算力1.499EH/s，挖矿难度0.18T，目前区块高度632808，理论收益0.00060038/T/天。

BCH全网算力1.682EH/s，挖矿难度0.24T，目前区块高度632997，理论收益0.00053516/T/天。[2020/4/30]

随着安全实践的改进和工具的成熟，以下攻击的成功率可能会大幅下降：治理攻击、价格预言机操纵和重入漏洞。（下面有更多关于这些的内容。）

无法确保“完美”安全性的平台将不得不使用漏洞缓解措施来降低损失的可能性。这可能会通过减少其成本收益分析的“收益”或上行空间来阻止攻击者。

对不同系统的攻击可以根据它们的共同特征进行分类。定义特征包括攻击的复杂程度、攻击的自动化程度以及可以采取哪些预防措施来防御它们。

以下是我们在过去一年中最大的黑客攻击中看到的攻击类型的非详尽列表。我们还包括了我们对当今威胁形势的观察以及我们预计未来 web3 安全性的发展方向。

金色相对论 | 杨玉梅：2020年传统投资机构对于区块链领域会相对谨慎:在本期金色相对论中，节点资本管理合伙人杨玉梅发言指出：从疫情爆发以来，我们可以看到区块链行业很多企业和从业者都在为疫情做出不同的贡献。但非常遗憾的是，在这个特殊时期，与传统互联网企业相比，区块链领域的企业还是太小。到目前为止，没有能出来一个扛“大旗”的区块链企业，让社会各界看到区块链领域在这个特殊时期作出的贡献。

从某种意义上说，我们明显看到目前“区块链+”领域发展是非常初期的，还没有出现任何一家龙头企业或者开发出一个完善的系统，能够在无论是慈善、物流追踪还是溯源等方面，广泛应用并发挥巨大效力。从这点来看，现阶段区块链应用落地并没有展示出满意的状态。因此“区块链+”距离大规模的成熟应用还是有一定的距离，作为行业从业者我们不能盲目乐观。至于是否能吸引更多资金投入到区块链行业，长远来看，随着行业的发展，资金进入是必然的，因为这个行业的发展非常可期。但是，对于2020年，我觉得不会太好，今年受大环境和政策的影响，传统投资机构对于区块链领域会相对谨慎。[2020/2/13]

APT操作：顶级掠食者

专家级对手，通常被称为高级持久威胁（APT），是安全的恶魔。他们的动机和能力差异很大，但他们往往很富裕，正如这个绰号所暗示的那样，他们坚持不懈；不幸的是，他们可能永远在身边。不同的APT运行许多不同类型的运营，但这些威胁行为者往往最不可能直接攻击公司的网络层来实现其目标。

金色晨讯 | Tether官网删除代币完全由美元支撑的说法 GateCoin交易所宣布停运并清算:1.CBOE暂停添加新比特币期货。

2.欧洲央行：比特币不是货币。

3.Bittrex取消了首个IEO销售。

4.Tether官网删除代币完全由美元支撑的说法。

5.美国CETC主席：区块链和加密货币是当今市场转型的两个关键。

6.比特币第四大巨鲸钱包地址开始拆分比特币 或在进行抛售。

7.工信部将支持利用区块链等技术推进物流业降本增效项目。

8.数字货币交易所GateCoin宣布停运并清算。

9.IBM发布了关于在区块链中抵制重播攻击的专利。[2019/3/15]

我们知道一些高级团体正在积极瞄准 web3 项目，我们怀疑还有其他人尚未确定。最受关注的 APT 背后的人往往生活在与美国和欧盟没有引渡条约的地方，这使得他们更难因其活动而受到起诉。最著名的 APT 之一是 Lazarus，这是一个朝鲜组织，联邦调查局最近将其归因于进行了迄今为止最大的加密黑客攻击。

举例：Ronin 验证器被破解

简要概括：

谁：民族国家、资金雄厚的犯罪组织和其他先进的有组织的团体。例子包括Ronin黑客（Lazarus，与朝鲜有广泛联系）。?

复杂性：高（仅适用于资源丰富的群体，通常在不会起诉的国家/地区）。

金色财经数据播报 市值前百币种仅3家上涨:金色财经数据播报，目前市值排名前一百的币种当中，仅有3个币种处在上涨趋势当中，分别是EMC（+4.46%）、MANA（+0.61%）、USDT（+0.13%）。[2018/6/13]

可自动化性：低（仍然主要是使用一些自定义工具进行手动操作）

对未来的期望：只要 APT 能够将其活动货币化或实现各种目的，它们就会保持活跃。

以用户为目标的网络钓鱼：社会工程师

网络钓鱼是一个众所周知的普遍问题。网络钓鱼者试图通过各种渠道发送诱饵消息来诱捕他们的猎物，这些渠道包括即时通讯、电子邮件、Twitter、电报、Discord 和被黑网站。如果您浏览垃圾邮件邮箱，您可能会看到数百次企图诱使您泄露密码等信息或窃取您的钱财。?

现在 web3 允许人们直接交易资产，例如代币或NFT，几乎可以立即确定，网络钓鱼活动正在针对其用户。这些攻击是知识或技术专长很少的人通过窃取加密货币来赚钱的最简单方法。即便如此，对于有组织的团体来说，它们仍然是一种有价值的方法来追踪高价值目标，或者对于高级团体来说，通过例如网站接管来发动广泛的、耗尽钱包的攻击。?

直接针对用户的OpenSea网络钓鱼活动

最终包含应用程序的BadgerDAO网络钓鱼攻击

金色财经独家分析 银行拒绝为加密货币提供账户服务因避险需求:金色财经独家分析，以色列最大的银行Hapoalim被特拉维夫地方法院强迫接受比特币销售所产生的资金转移。类似的情况也在韩国出现过，之前韩国本地银行拒绝为大多数加密货币交易所提供虚拟账户服务。为何银行不愿意为加密货币交易所提供账户服务呢？这是由于作为传统金融机构，银行在做决定时倾向于规避风险，加密货币由于其匿名性等原因，在反等方面存在风险。这也是银行不愿意接受加密货币相关账户的原因，不过随着加密货币的发展，以及交易所在反等方面的完善，越来越多的银行开始为加密货币提供账户服务。[2018/5/9]

谁：从脚本小子（script kiddie，以黑客自居的初学者）到有组织的团体的任何人。

复杂性：低-中（攻击可以是低质量的“喷雾式”或超针对性的，具体取决于攻击者付出的努力）。

可自动化性：中等-高（大部分工作可以自动化）。

对未来的期望：网络钓鱼的成本很低，网络钓鱼者往往会适应并绕过最新的防御措施，因此我们预计这些攻击的发生率会上升。可以通过提高教育和意识、更好的过滤、改进的警告横幅和更强大的钱包控制来改进用户防御。

供应链漏洞：最薄弱的环节

当汽车制造商发现车辆中的缺陷部件时，他们会发出安全召回；在软件供应链中也不例外。

第三方软件库引入了很大的攻击面。在 web3 之前，这一直是跨系统的安全挑战，例如去年 12 月影响广泛的 Web 服务器软件的log4j 漏洞利用。攻击者将扫描互联网以查找已知漏洞，以找到他们可以利用的未修补漏洞。

导入的代码可能不是项目方自己的技术团队编写的，但其维护至关重要。团队必须监控其软件组件的漏洞，确保部署更新，并及时了解他们所依赖的项目的发展势头和健康状况。web3 软件漏洞利用的真实和即时成本使得负责任地将这些问题传达给图书馆用户具有挑战性。关于团队如何或在何处以一种不会意外使用户资金面临风险的方式相互交流这些信息的结论仍未确定。?

跨链桥项目Wormhole被盗

Multichain 合约漏洞攻击

谁：有组织的团体，例如 APT、个人和内部人士。

复杂性：中等（需要技术知识和一些时间）。

可自动化性：中等（扫描以发现有缺陷的软件组件可以自动化；但是当发现新漏洞时，需要手动构建漏洞利用）。

对未来的期望：随着软件系统的相互依赖和复杂性的增加，供应链漏洞可能会增加。在为 web3 安全开发出良好的、标准化的漏洞披露方法之前，机会主义的黑客攻击也可能会增加。

治理攻击：选举窃取者

这是第一个上榜的特定于加密货币的问题。web3 中的许多项目都包含治理方面，代币持有者可以在其中提出改变网络的提案并对其进行投票。虽然这为持续发展和改进提供了机会，但它也为引入恶意提案打开了后门，如果实施这些提案可能会破坏网络。

攻击者设计了新的方法来规避控制、征用领导权和掠夺国库。曾经是一个理论上的问题，现在已经证明了治理攻击。攻击者可以拿出大量的“闪电贷”来摇摆选票，就像最近发生在去中心化金融项目 Beanstalk 上一样。导致提案自动执行的治理投票更容易被攻击者利用；然而，如果提案的制定存在时间延迟或需要多方手动签署（例如，通过多重签名钱包），则可能更难实现。

举例：算法稳定币Beanstalk?Farms遭遇黑客攻击事件

谁：从有组织的团体 (APT) 到任何人。

复杂性：从低到高，取决于协议。（许多项目都有活跃的论坛、Twitter 和 Discord 上的社区，以及可以轻松暴露更多业余尝试的委派仪表板。）

可自动化性：从低到高，取决于协议。?

对未来的期望：这些攻击高度依赖于治理工具和标准，特别是因为它们与监控和提案制定过程有关。

定价预言机攻击：市场操纵者

准确地为资产定价是困难的。在传统交易领域，通过市场操纵人为抬高或降低资产价格是非法的，这些人可能会因此受到罚款或逮捕。 DeFi 给随机的人提供了“闪电贷”数亿或数十亿美元的可能行，从而导致价格突然波动，在这一领域，问题就凸显出来了。

许多 web3 项目依赖于“预言机”——提供实时数据的系统，并且是链上无法找到的信息来源。例如，预言机通常用于确定两种资产之间的交换定价。但是攻击者已经找到了这些假定真相的来源的方法。

随着预言机标准化的进展，链下和链上世界之间将会有更安全的桥梁，我们可以期待市场对操纵尝试变得更有弹性。运气好的话，有朝一日这类攻击可能会几乎完全消失。

举例：DeFi 协议Cream?Finance闪电贷攻击

谁：有组织的团体 (APT)、个人和内部人士。

复杂程度：中等（需要技术知识）。

自动化程度：高（大多数攻击可能涉及自动化检测可利用问题）。

对未来的期望：随着准确定价方法变得更加标准，可能会降低。

新漏洞：不知之不知

零日漏洞（Zero - day ），是指被发现后立即被恶意利用的安全漏洞。之所以如此命名，是因为它们在出现时就已为人所知——是信息安全领域的热点问题，在 web3 安全领域也不例外。因为它们来得突然，所以它们是最难防御的攻击。

如果有什么不同的话，web3 让这些昂贵的劳动密集型攻击变得更容易货币化，因为人们一旦被盗就很难追回加密资金。攻击者可以花费大量时间仔细研究运行链上应用程序的代码，以找到一个错误以证明他们的努力。同时，一些曾经新颖的漏洞继续困扰着毫无戒心的项目：著名的重入漏洞TheDAO是早期的以太坊企业，今天继续在其他地方重新浮出水面。

目前尚不清楚该行业将能够多快或轻松地适应对这些类型的漏洞进行分类，但对审计、监控和工具等安全防御的持续投资将增加攻击者试图利用这些漏洞的成本。

Poly的跨链交易漏洞

Qubit的无限铸币漏洞

谁：有组织的团体 (APT)、内部人士。

复杂性：中等-高（需要技术知识，但并非所有漏洞都太复杂、无法理解）。

可自动化性：低（发现新漏洞需要时间和精力，而且不太可能自动化；一旦发现，在其他系统中扫描类似问题会更容易）。

对未来的期望：更多的关注会吸引更多的白帽，并使发现新漏洞的“进入门槛”更高。同时，随着 web3 采用的增长，黑帽黑客寻找新漏洞的动机也在增加。就像在许多其他安全领域一样，这很可能仍然是一场猫捉老鼠的游戏。

文章源自：a16z?Riyaz Faizullabhoy 以及 Matt Gleason，金色财经进行全文翻译。原文链接：《Web3 Security: Attack Types and Lessons Learned》

标签：WEBWEB3区块链APTweb3游戏赚钱web3域名交易区块链存证证件具有更高的信任等级BAPTOS币

币赢热门资讯