原作者:RiyazFaizullabhoy與MattGleason
原標題:《Web3Security:AttackTypesandLessonsLearned》
編譯:胡韜,鏈捕手
web3的大量安全性取決于區塊鏈做出承諾和對人為干預具有彈性的特殊能力。但是最終性的相關特征——交易通常是不可逆的——使得這些軟件控制的網絡成為攻擊者的誘人目標。事實上,隨著區塊鏈——作為web3基礎的去中心化計算機網絡——及其伴隨的技術和應用程序積累價值,它們越來越成為攻擊者夢寐以求的目標。
盡管web3與早期的互聯網迭代有所不同,但我們已經觀察到與以前的軟件安全趨勢的共同點。在許多情況下,最大的問題與以往一樣。通過研究這些領域,防御者——無論是開發商、安全團隊還是日常加密用戶——可以更好地保護自己、他們的項目和錢包免受潛在的竊賊的侵害。下面我們根據經驗提出一些常見的主題和預測。
跟著資金
攻擊者通常旨在最大化投資回報。他們可以花費更多的時間和精力來攻擊具有更多“總價值鎖定”或TVL的協議,因為潛在的回報更大。
資源最豐富的黑客組織更經常瞄準高價值系統。新穎的攻擊也更頻繁地針對這些珍貴的目標。
低成本攻擊永遠不會消失,我們預計它們在可預見的未來會變得更加普遍。
a16z crypto敦促英國考慮更細致的監管框架:金色財經報道,a16z crypto 在給英國財政部的一封公開信中表示,“一刀切”的加密資產交易監管方法不符合財政部“相同風險,相同監管結果”的核心設計原則,英國應該考慮采用“更細致的方法”來監管數字資產,政策制定者和監管者需要對去中心化在 web3 系統中的運作方式形成“更統一”的理解。
這份公開信是對英國政府 2 月份首次發布的咨詢文件的回應。該風險投資公司認為,監管框架應包括“基于原則的分析”,考慮給定平臺或協議的結構是否已經減輕了可能的風險,法規不應不必要地阻礙項目去中心化。a16z crypto 敦促監管 DeFi 應用程序和業務,而不是協議或軟件。此外,允許通過旨在實現去中心化的協議免費分發代幣的規則將對開發人員具有吸引力。[2023/5/2 14:37:46]
修補漏洞
隨著開發人員從久經考驗的攻擊中學習,他們可能會將web3軟件的狀態提高到“默認安全”的程度。通常,這涉及收緊應用程序編程接口或API,?以使人們更難錯誤地引入漏洞。
雖然安全始終是一項正在進行中的工作,但防御者和開發人員可以通過消除攻擊者的大部分低成本果實來提高攻擊成本。
隨著安全實踐的改進和工具的成熟,以下攻擊的成功率可能會大幅下降:治理攻擊、價格預言機操縱和重入漏洞。
無法確保“完美”安全性的平臺將不得不使用漏洞緩解措施來降低損失的可能性。這可能會通過減少其成本收益分析的“收益”或上行空間來阻止攻擊者。
Character.AI以10億美元估值完成1.5億美元融資,a16z領投:3月24日消息,生成式AI初創公司Character.AI宣布以10億美元估值完成1.5億美元融資,a16z領投,GitHub前CEO Nat Friedman、Elad Gil、A Capital和SV Angel參投。
Character.AI表示新資金將使其能夠擴展“計算能力,從而產生具有高級推理和更高準確性的更復雜模型”。
此外,有消息稱Character.AI可能會探索加密(或更廣泛的Web3)和社交音頻市場,因為a16z一直是這兩個領域的重要參與者,但該公司截至目前尚未提供額外評論。(CNBC)[2023/3/24 13:23:23]
分類攻擊
對不同系統的攻擊可以根據它們的共同特征進行分類。定義特征包括攻擊的復雜程度、攻擊的自動化程度以及可以采取哪些預防措施來防御它們。
以下是我們在過去一年中最大的黑客攻擊中看到的攻擊類型的非詳盡列表。我們還包括了我們對當今威脅形勢的觀察以及我們預計未來web3安全性的發展方向。
APT操作:頂級掠食者
通常稱為高級持續威脅(APT)的專家對手是安全的惡魔。他們的動機和能力差異很大,但他們往往富有而且堅持不懈。不幸的是,他們很可能會一直在身邊。不同的APT運行許多不同類型的操作,但這些威脅參與者往往最有可能直接攻擊公司的網絡層以實現其目標。?
a16z普通合伙人Krishnan:“臨時幫助一下”馬斯克:金色財經報道,a16z普通合伙人Sriram Krishnan在社交媒體上發布了一張來自Twitter舊金山辦事處的照片,并寫道他正在與其他一些“偉大的人在一起臨時幫助一下Elon Musk”,Sriram Krishnan補充稱他和a16z相信Twitter是一家非常重要的公司,可以對世界產生巨大影響,而Elon Musk是實現這一目標的人。目前尚不清楚Sriram Krishnan和a16z將在Twitter公司扮演什么角色,他本人也拒絕對此事做進一步置評。(decrypt)[2022/11/1 12:04:31]
我們知道一些高級團體正在積極瞄準web3項目,我們懷疑還有其他人尚未確定。最受關注的APT背后的人往往生活在與美國和歐盟沒有引渡條約的地方,這使得他們更難因其活動而受到起訴。最著名的APT之一是Lazarus,這是一個朝鮮組織,美國聯邦調查局最近稱其進行了迄今為止最大的加密黑客攻擊。
例子:
Ronin驗證器被攻擊
輪廓
誰:民族國家、資金雄厚的犯罪組織和其他先進的有組織的團體。例子包括Ronin黑客。?
復雜性:高。
可自動化性:低
對未來的期望:只要APT能夠將其活動貨幣化或實現各種目的,它們就會保持活躍。
Merkle Manufactory完成3000萬美元融資,a16z領投:金色財經報道,Merkle Manufactory在由Andreessen Horowitz (a16z) 領投的一輪融資中籌集了3000 萬美元,將用于開發名為 Farcaster 的去中心化社交網絡協議。 Standard Crypto、Elad Gil、1confirmation、Scalar Capital、First Round Capital、Volt Capital等參投。據悉,Merkle Manufactory由前Coinbase高管 Dan Romero創立,并正在努力推出Farcaster,這是一種用于構建社交網絡的“充分去中心化”協議。(The Block)[2022/7/13 2:10:53]
以用戶為目標的網絡釣魚:社會工程學
網絡釣魚是一個眾所周知的普遍問題。網絡釣魚者試圖通過各種渠道發送誘餌消息來誘捕他們的獵物,這些渠道包括即時通訊、電子郵件、Twitter、電報、Discord和被黑網站。如果你瀏覽垃圾郵件郵箱,你可能會看到數百次企圖誘騙你泄露密碼等信息或竊取你的錢財。?
現在web3允許人們直接交易資產,例如代幣或NFT,幾乎可以立即確定,網絡釣魚活動正在針對其用戶。對于知識或技術專業知識很少的人來說,這些攻擊是通過竊取加密貨幣來賺錢的最簡單方法。即便如此,對于有組織的團體來說,它們仍然是一種有價值的方法來追蹤高價值目標,或者對于高級團體來說,通過例如網站接管來發動廣泛的、抽干錢包的攻擊。?
a16z:加密仍處于早期階段,相當于互聯網的1995年:5月17日消息,a16z發布2022年加密貨幣概括報告。該報告指出,加密貨幣正處于第四個價格創新(price-innovation)周期之中,加密貨幣的價格可能會不穩定,但對于創業者來說,Web3仍然比Web2好。
2021年,Web3為創作者帶來的人均收益達到174,000美元,遠超Web2平臺(例如Spotify:636美元/藝術家,YouTube:2.47美元/頻道。)
DeFi也提升了金融的包容性。以太坊仍在Web3上占據主導地位,但競爭對手正在增多,包括Solana、Polygon、BNBChain、Avalanche和Fantom等區塊鏈的開發人員正在尋求復制以太坊的成功。
該報告總結部分表示,加密仍處于早期階段,a16z估計目前以太坊擁有700萬到5000萬的活躍用戶,相當于互聯網的1995年。[2022/5/17 3:22:41]
例子
直接針對用戶的OpenSea網絡釣魚活動
針對前端應用程序的BadgerDAO網絡釣魚攻擊
輪廓
誰:從腳本初學者到有組織的團體的任何人。
復雜性:低-中。
可自動化性:中等-高。
對未來的期望:網絡釣魚的成本很低,網絡釣魚者往往會適應并繞過最新的防御措施,因此我們預計這些攻擊的發生率會上升。可以通過增加教育和意識、更好的過濾、改進的警告橫幅和更強大的錢包控制來改進用戶防御。
供應鏈漏洞:最薄弱的環節
當汽車制造商發現車輛中的缺陷部件時,他們會發出安全召回。在軟件供應鏈中也不例外。
第三方軟件庫引入了很大的攻擊面。在web3之前,這一直是跨系統的安全挑戰,例如去年12月影響廣泛的Web服務器軟件的log4j漏洞利用。攻擊者將掃描互聯網以查找已知漏洞,以找到他們可以利用的未修補問題。
導入的代碼可能不是由項目自己的工程團隊編寫的,但其維護至關重要。團隊必須監控其軟件組件的漏洞,確保部署更新,并及時了解他們所依賴的項目的動力和健康狀況。web3軟件漏洞利用的真實和即時成本使得負責任地將這些問題傳達給用戶具有挑戰性。關于團隊如何或在何處以一種不會意外使用戶資金面臨風險的方式相互交流這些信息,目前還沒有定論。?
例子
Wormhole橋攻擊
Multichain?漏洞
輪廓
誰:有組織的團體,例如APT、獨立黑客和內部人士。
復雜性:中等。
可自動化性:中等。
對未來的期望:隨著軟件系統的相互依賴性和復雜性的增加,供應鏈漏洞可能會增加。在為web3安全開發出良好的、標準化的漏洞披露方法之前,機會主義的黑客攻擊也可能會增加。
治理攻擊:選舉掠奪者
這是上榜的第一個特定于加密行業的問題。web3中的許多項目都包含治理方面,代幣持有者可以在其中提出改變網絡的提案并對其進行投票。雖然這為持續發展和改進提供了機會,但它也打開了一個后門,可以引入惡意提案,如果實施可能會破壞網絡。
攻擊者設計了新的方法來規避控制、征用領導權和掠奪國庫。攻擊者可以拿出大量的“閃電貸”來獲得足夠的選票,就像最近發生DeFi項目Beanstalk上的事件一樣。導致提案自動執行的治理投票更容易被攻擊者利用。然而,如果提案的制定存在時間延遲或需要多方手動簽署,則可能更難實施。
例子
Beanstalk資金轉移事件
輪廓
誰:從有組織的團體(APT)到獨立黑客的任何人。
復雜性:從低到高,取決于協議。
可自動化性:從低到高,取決于協議。?
對未來的期望:這些攻擊高度依賴于治理工具和標準,尤其是當它們與監控和提案制定過程有關時。
定價預言機攻擊:市場操縱者
準確地為資產定價是困難的。在傳統交易領域,通過市場操縱人為抬高或壓低資產價格是非法的,你可能會因此受到罰款或逮捕。在DeFi市場中,隨機的用戶能夠“閃電交易”數億或數十億美元并導致價格突然波動,這個問題很明顯。
許多web3項目依賴于“預言機”——提供實時數據的系統,是鏈上無法找到的信息來源。例如,預言機通常用于確定兩種資產之間的交換定價。但攻擊者已經找到方法來欺騙這些所謂的真相來源。
隨著預言機標準化的進展,鏈下和鏈上世界之間將會有更安全的橋梁,我們可以期待市場對操縱嘗試變得更有彈性。運氣好的話,有朝一日這類攻擊可能會幾乎完全消失。
例子
Cream?市場操縱
輪廓
誰:有組織的團體(APT)、獨立黑客和內部人士。
復雜程度:中等。
自動化:高。
對未來的期望:隨著準確定價方法變得更加標準,可能會降低。
新漏洞:未知未知
“Zero-day”漏洞攻擊——之所以這樣命名,是因為它們在出現時就是只公開了0天的漏洞——是信息安全領域的熱點問題,在web3安全領域也不例外。因為它們是突然出現的,所以它們是最難防御的攻擊。
如果有的話,web3讓這些昂貴的、勞動密集型的攻擊更容易貨幣化,因為人們一旦被盜就很難追回加密資金。攻擊者可以花費大量時間仔細研究運行鏈上應用程序的代碼,以找到一個可以證明他們所有努力的錯誤。同時,一些曾經新穎的漏洞繼續困擾著毫無戒心的項目;著名的重入漏洞曾發生在早期的以太坊項目?TheDAO上,如今繼續在其它地方重新出現。
目前尚不清楚該行業將能夠多快或輕松地適應對這些類型的漏洞進行分類,但對審計、監控和工具等安全防御的持續投資將增加攻擊者試圖攻擊這些漏洞的成本。
例子
PolyNetwork的跨鏈交易漏洞
Qubit的無限鑄幣漏洞
輪廓
誰:有組織的團體(APT)、獨立黑客和內部人士。
復雜性:中等-高。
可自動化性:低。
對未來的期望:更多的關注會吸引更多的白帽,并使發現新漏洞的“進入門檻”更高。同時,隨著web3采用的增長,黑帽黑客尋找新漏洞的動機也在增加。就像在許多其他安全領域一樣,這很可能仍然是一場貓捉老鼠的游戲。
Tags:WEBWEB3APTTERALFweb3Projectweb3.0幣狗狗幣apt幣價格今日行情Interlay
鏈捕手消息,近年來,比特幣越來越多地被傳統金融和投資界所接受,但被譽為“股神”的沃倫·巴菲特堅持對比特幣持懷疑立場,甚至不愿意花25美元購買全球所有比特幣.
1900/1/1 0:00:00作者:Xiang,W3.Hitchhiker 一、Web2.0架構 Web2.0應用以去中心交易所Binance為例,Binance允許用戶去交易各種代幣.
1900/1/1 0:00:00整理:念青,鏈捕手 “過去24小時都發生了哪些重要事件”?1、CoinbaseNFT市場測試版上線,計劃成為基于NFT的Web3社交市場CoinbaseNFT市場測試版上線.
1900/1/1 0:00:00鏈捕手消息,Web3創作者協作平臺Joyn?在其種子輪融資中籌集了350萬美元,IOSGVentures和GBVCapital領投.
1900/1/1 0:00:00整理:念青,鏈捕手 “過去12小時都發生了哪些重要事件”1、Meta正在探索用于元宇宙的虛擬貨幣扎克幣Meta已經制定了在其應用中引入虛擬貨幣、代幣和貸款服務的計劃.
1900/1/1 0:00:00鏈捕手消息,去中心化穩定幣協議Maker多名團隊成員在官方論壇發帖公開Maker增長戰略的具體規劃,提出建立超3億枚DAI的系統盈余,以增強Maker面對當前和未來風險的應變能力.
1900/1/1 0:00:00