web3 的安全性在很大程度上取决于区块链做出承诺的特殊能力和对人类干预的弹性。但相关的最终性特征 -- 交易通常是不可逆的 -- 使这些软件控制的网络成为攻击者的诱人目标。事实上,随着区块链 -- 作为 web3 基础的分布式计算机网络 -- 及其伴随的技术和应用不断积累价值,它们成为了攻击者越来越垂涎的目标。
尽管 web3 与早期的互联网不同,但我们已经观察到了与以前的软件安全趋势的共同之处。在许多情况下,最大的问题仍然和以前一样。通过研究这些领域,防御者 -- 无论是建设者、安全团队,还是日常的加密用户 -- 可以更好地保护他们自己、项目和钱包免受潜在黑客的侵害。下面我们将介绍一些共同的主题和基于我们经验的预测。
追逐金钱
攻击者通常以投资回报最大化为目标。他们可以花费更多的时间和精力来攻击具有更多“总价值锁定”(TVL)的协议,因为潜在的回报更大。
资源最丰富的黑客组织更经常地攻击高价值系统。最具价值的新型攻击也更频繁地瞄准这些有价值的目标。
低成本攻击 -- 如网络钓鱼 -- 永远不会消失,而且我们预计在可预见的未来,它们会变得更加普遍。
弥补漏洞
随着开发人员从经过验证的攻击中学习,他们可能会改善 Web3 软件的状态,使其变得“默认安全”。通常情况下,这涉及到收紧应用程序接口,或 API,使人们更难错误引入漏洞。
a16z普通合伙人James Gwertzman将于本月底辞职:1月19日消息,a16z普通合伙人James Gwertzman宣布将于本月底辞职,成为一名全职建设者。去年6月,a16z宣布推出6亿美元Web3游戏基金Games Fund One,并表示James Gwertzman负责领导该基金。[2023/1/19 11:20:13]
虽然安全问题始终是一项进展中的工作 -- 而且可以肯定的是,没有什么东西是可以防黑客的 -- 但防御者和开发者可以通过消除攻击者容易实现的目标来提高攻击成本。
随着安全实践的改进和工具的成熟,以下攻击的成功率可能会大幅下降:治理攻击、价格预言机操纵和重入错误。(下面会更详尽阐述)。
无法确保“完美”安全性的平台将不得不使用漏洞缓解措施来降低损失的可能性。这可以通过减少其成本效益分析的“好处”或上行部分来阻止攻击者。
对攻击进行分类
对不同系统的攻击可以根据其共同特征进行分类。定义的特征包括攻击的复杂程度,攻击的自动化程度,以及可以采取什么预防措施来防御它们。
以下是我们在过去一年最大的黑客攻击中看到的攻击类型的一个非详尽的列表。此外,还囊括了我们对当今威胁形势的观察,以及我们对 web3 安全未来发展的期望。
Web3初创公司Halliday完成600万美元种子轮融资,a16z领投:8月5日消息,Web3初创公司Halliday完成600万美元种子轮融资,Andreesen Horowitz (a16z) 领投,Hashed、A.Capital、SV Angel等参投。
Halliday联合创始人Griffin Dunaif表示,Halliday为游戏玩家提供了“现在玩,以后付款(play now, pay later)”的选择。Halliday 的目标是让游戏内购买和NFT所有权证明对那些可能因游戏中NFT的高价而恼火的游戏玩家来说更加实惠和方便。Halliday让玩家可以访问游戏内的NFT市场。在不离开游戏的情况下,玩家可以选择他们想要的数字收藏品并直接购买,或者与Halliday达成付款计划。(Decrypt)[2022/8/5 12:03:29]
专家对手,通常被称为高级持续性威胁(APTs),是安全领域的恶魔。他们的动机和能力千差万别,但他们往往很有钱,而且正如其名称所暗示的那样,具有持久性;不幸的是,他们很可能会一直存在。不同的 APTs 运行许多不同类型的操作,但这些威胁行为者往往最可能直接攻击公司的网络层以实现其目标。
我们知道一些先进的团体正在积极针对 web3 项目,我们怀疑还有一些人尚未被发现。最令人关注的 APTs 背后的人往往居住在与美国和欧盟没有引渡条约的地方,使他们更难因其活动而被起诉。最知名的 APTs 之一是 Lazarus,这是一个朝鲜团体,联邦调查局最近认为它进行了迄今为止最大的加密黑客攻击。
a16z合伙人:NFT 让艺术、音乐、写作、游戏和其他创意内容更加丰富:金色财经报道,Web3支持者、a16z合伙人ChrisDixon发推表示,NFT 让艺术、音乐、写作、游戏和其他创意内容更加丰富,而不是更加稀缺。很多 NFT 的批评者声称相反——NFT 限制了对创意内容的访问。这不是对 NFT 的批评。这是对评论家梦想中的 NFT 虚构漫画的批评。NFT 增加了一个新的价值层——数字所有权——这在 NFT 之前是不存在的。这种独立于版权的所有权概念在离线世界中被广泛理解。一件艺术品或其他文化艺术品可以有很多副本。随着对原作的描述被更广泛地分享,拥有原作变得更有价值。最具前瞻性的 NFT 项目使内容本身成为公共领域。您复制和共享的内容越多,项目就越受欢迎,从而增加了 NFT 变得有价值的可能性。互联网是一个巨大的模因传播机器。NFT 与互联网合作而不是对抗互联网,增加了创意作品的丰富性,同时也让创作者能够为他们的作品获得适当的报酬。此外,尽管短期内令人沮丧,但从长期来看,这是一个非常积极的信号,表明对 NFT 的主要批评是基于错误的前提。最终真相会大白于天下。[2022/1/2 8:19:51]
例子:
Ronin 验证器黑客
概况
谁:民族国家、资金雄厚的犯罪组织和其他先进的有组织团体。例子包括 Ronin 黑客(Lazarus,与朝鲜有广泛联系)。
复杂程度:高(仅适用于资源丰富的团体,通常在不会起诉的国家)。
a16z领投Celo网络原生数字钱包Valora的2000万美元融资:金色财经报道,Celo网络原生的移动优先数字钱包Valora在Andreessen Horowitz (a16z) 领导的A系列融资中筹集了2000万美元。Valora还宣布它将作为独立于cLabs的独立公司运营,后者是Celo生态系统背后的组织之一。根据该公司提供的数据,Valora是一款基于Celo平台构建的移动点对点支付和汇款应用程序,在100多个国家或地区拥有53,000名月活跃用户。[2021/7/28 1:19:04]
自动化程度:低(主要是手动操作,有一些定制的工具)。
对未来的期望:只要 APT 能够使其活动盈利或达到各种目的,他们就会继续活跃。
网络钓鱼是一个众所周知、无处不在的问题。钓鱼者试图通过各种渠道发送诱饵信息来诱捕他们的猎物,包括即时通讯工具、电子邮件、Twitter、Telegram、Discord 和被黑的网站。如果你浏览你的垃圾邮件信箱,你可能会看到数以百计封邮件,诱使你泄露信息,如密码,或窃取你的金钱。
现在,web3 允许人们直接交易资产,如代币或 NFT,且几乎是即时的最终结果,网络钓鱼活动正在针对 web3 用户。这些攻击是没有什么知识或技术专长的人窃取加密货币牟利的最简单方法。即便如此,它们仍然是有组织的团体追求高价值目标的重要方法,或者是高级团体通过网站接管等方式发动广泛的、消耗钱包的攻击。
前美国国务卿高级顾问宣布将加入a16z,任职全球政策负责人:6月25日,美国前国务卿资深顾问Tomicah Tillemann宣布将加入顶级风投公司a16z,任职全球政策负责人,以及a16z第三只加密货币基金的合伙人。Tomicah Tillemann是前美国国务卿高级顾问,外交官和技术专家,曾担任NewAmerica数字影响和治理计划(DIGI)的执行董事、世界经济论坛第四次工业革命理事会成员,以及非营利组织GBBC的董事会成员和创始主席。[2021/6/25 0:06:01]
例子
直接针对用户的?OpenSea 网络钓鱼活动
BadgerDAO 网络钓鱼攻击
谁:任何人,从脚本新手到有组织的团体。
复杂程度:中低(攻击可以是低质量的“喷洒式”,也可以是超目标的,取决于攻击者所做的努力)。
自动化程度:中高(大部分工作可以自动化)。
对未来的期望:网络钓鱼很简单,而且网络钓鱼者倾向于适应 -- 并绕过 -- 最新的防御系统,因此我们预计这些攻击的发生率会上升。用户可以通过加强教育和意识、更好的过滤、改进的警告标语和更强大的钱包控制来更好的防御攻击。
当汽车制造商发现车辆中存在有缺陷的部件时,他们会发布安全召回;这在软件供应链中也是一样的。
第三方软件库会引入巨大的攻击面。在 web3 之前,这早已是整个系统的安全挑战,例如去年 12 月的 log4 j 漏洞,影响了大规模的网络服务器软件。攻击者会在互联网上扫描已知的漏洞,找到他们可以利用的未修补的问题。
导入的代码可能不是你自己的工程团队写的,但它的维护是至关重要的。团队必须监控其软件的组成部分是否存在漏洞,确保部署更新,并随时了解他们所依赖的项目的势头和健康状况。利用 web3 软件漏洞的真实和即时成本使得负责任地将这些问题传达给用户成为一种挑战。关于团队如何或在哪里以一种不会意外地将用户资金置于风险中的方式相互交流这些信息,目前还没有定论。
Wormhole 桥黑客
Multichain 漏洞披露黑客
谁:有组织的团体,如 APTs,单独行动者,和内部人员。
复杂程度:中等(需要技术知识和一些时间)。
自动化程度:中等(扫描发现有问题的软件组件可以自动化;但当发现新的漏洞时,需要手动构建利用程序)。
对未来的期望:随着软件系统的相互依赖性和复杂性的提高,供应链的漏洞可能会增加。在为 Web3 安全开发出良好的、标准化的漏洞披露方法之前,机会性的黑客攻击也可能会增加。
这是第一个上到该表单的加密具体问题。web3 中的许多项目都包括治理,其中代币持有者可以提出并投票决定改变网络的建议。虽然这提供了一个持续发展和改进的机会,但它也为引入恶意建议打开了一扇后门,这些建议一旦实施,可能会破坏网络。
攻击者已经设计了新的方法来规避控制,征用领导权,并掠夺财富。治理攻击曾经是一种理论上的担忧,但现在已被证明可行。攻击者可以通过大规模的“闪电贷”来影响投票,就像最近发生在去中心化金融(DeFi)项目 Beanstalk 上的那样。导致提案自动执行的治理投票更容易被攻击者利用;而如果提案的颁布有时间延迟或需要多方的手动签署(例如,通过多签钱包),则较难成功。
Beanstalk 资金盗用
谁:任何人,从有组织的团体(APTs)到独立行为者。
复杂程度:从低到高,取决于协议。(许多项目都有活跃的论坛、Twitter 和 Discord 上的社区,以及授权仪表板,可以很容易地暴露出更多的业余尝试)。
自动化程度:从低到高,取决于协议。
对未来的期望:这些攻击高度依赖于治理工具和标准,特别是与监测和提案颁布过程有关的。
准确地为资产定价是很难的。在传统的交易领域,通过操纵市场人为地抬高或压低资产价格是非法的,你可能因此被罚款和/或逮捕。在 DeFi 中,它使得随机个人有能力“闪电交易”数亿或数十亿美元,造成价格的突然波动,而且这个问题很明显。
许多 web3 项目依靠“预言机”-- 提供实时数据的系统,是链下信息的来源。例如,“预言机”经常被用来确定两种资产之间的交换价格。但攻击者已经找到了愚弄这些所谓真相来源的方法。
随着预言机标准化的进展,链下和链上世界之间将有更安全的桥梁可用,我们可以期待市场对操纵企图变得更具弹性。如果运气好的话,有一天这类攻击有可能会完全消失。
Cream 市场操纵
谁:有组织的团体(APTs)、个人行为者和内部人员。
复杂程度:中等(需要技术知识)。
自动化程度:高(大多数攻击可能涉及自动化检测可利用的问题)。
对未来的期望:随着准确定价的方法变得更加标准,这类攻击可能会减少。
“零日”漏洞 -- 又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞 -- 是信息安全领域的一个热点问题,在 Web3 安全领域也不例外。因为它们是突然出现的,所以是最难抵御的攻击。
如果有的话,web3 使这些昂贵的、劳动密集型的攻击更容易获益,因为一旦加密货币资金被盗,人们就很难将其追回。攻击者可以花大量时间研究运行在链上应用程序的代码,找到一个可以证明他们所有努力的漏洞。同时,一些曾经新颖的漏洞继续困扰着毫无戒心的项目;曾使早期以太坊企业 TheDAO 丧生的重入漏洞,今天依旧在其他地方重新出现。
目前还不清楚这个行业能够多快或多容易地适应这些类型的漏洞,但对安全防御的持续投资,如审计、监控和工具,将增加攻击者寻求利用这些漏洞的成本。
Poly 跨链交易漏洞
Qubit 无限铸币漏洞
谁:有组织的团体(APTs),单一行动者(不太可能),以及内部人员。
复杂程度:中高(需要技术知识,但并非所有的漏洞都复杂到人们无法理解)。
自动化程度:低(发现新的漏洞需要时间和精力,不可能自动化;一旦发现,扫描其他系统的类似问题就比较容易)。
对未来的期望:更多的关注吸引了更多的白帽,使发现新漏洞的“门槛”更高。同时,随着 web3 应用的增加,黑客们寻找新漏洞的动机也在增加。这可能仍然是一场猫鼠游戏,就像它在许多其他安全领域一样。?
本文来自?a16z,作者为 Riyaz Faizullabhoy 和 Matt Gleason,以下由 DeFi 之道编译。
金色周刊是金色财经推出的一档每周区块链行业总结栏目,内容涵盖一周重点新闻、行情与合约数据、矿业信息、项目动态、技术进展等行业动态。本文是项目周刊,带您一览本周主流项目以及明星项目的进展.
1900/1/1 0:00:00名为Worldcoin的项目在创立之初描绘了一个波澜壮阔的愿景,它计划向全球79亿人免费发行一种数字货币,以达成「让数十亿人脱贫」的最终目标.
1900/1/1 0:00:00难道人类社会的发展是个循环往复的过程吗?如果说时尚是个圈,那么现在元宇宙社交的发展也看到了循环的趋势。大陆互联网企业奇虎360也将业务触手伸向了风头正盛的元宇宙.
1900/1/1 0:00:001.灰度正与SEC合作积极 BTC现货ETF不远了?据Bitcoin?Magazine报道,灰度CEO表示.
1900/1/1 0:00:00头条▌周小川:数字人民币跨境支付会注重零售,不是轻易当武器来用4月16日消息,中国金融学会会长,中国人民银行原行长周小川在2022清华五道口全球金融论坛表示,数字货币.
1900/1/1 0:00:00北京时间 4 月26 日,推特接受了马斯克提出的以?440?亿美元收购该公司的报价,让世界首富距离掌控这家社交媒体平台又近了一步.
1900/1/1 0:00:00