a16z：Web3 的 6 大攻擊類型和經驗教訓_VEN

web3 的安全性在很大程度上取決于區塊鏈做出承諾的特殊能力和對人類干預的彈性。但相關的最終性特征 -- 交易通常是不可逆的 -- 使這些軟件控制的網絡成為攻擊者的誘人目標。事實上，隨著區塊鏈 -- 作為 web3 基礎的分布式計算機網絡 -- 及其伴隨的技術和應用不斷積累價值，它們成為了攻擊者越來越垂涎的目標。

盡管 web3 與早期的互聯網不同，但我們已經觀察到了與以前的軟件安全趨勢的共同之處。在許多情況下，最大的問題仍然和以前一樣。通過研究這些領域，防御者 -- 無論是建設者、安全團隊，還是日常的加密用戶 -- 可以更好地保護他們自己、項目和錢包免受潛在黑客的侵害。下面我們將介紹一些共同的主題和基于我們經驗的預測。

追逐金錢

攻擊者通常以投資回報最大化為目標。他們可以花費更多的時間和精力來攻擊具有更多“總價值鎖定”（TVL）的協議，因為潛在的回報更大。

資源最豐富的黑客組織更經常地攻擊高價值系統。最具價值的新型攻擊也更頻繁地瞄準這些有價值的目標。

低成本攻擊 -- 如網絡釣魚 -- 永遠不會消失，而且我們預計在可預見的未來，它們會變得更加普遍。

彌補漏洞

隨著開發人員從經過驗證的攻擊中學習，他們可能會改善 Web3 軟件的狀態，使其變得“默認安全”。通常情況下，這涉及到收緊應用程序接口，或 API，使人們更難錯誤引入漏洞。

a16z前合伙人Katie Haun數月前曾斥資4100萬美元在硅谷購置豪宅:11月30日消息， a16z前合伙人Katie Haun曾斥資4100萬美元在硅谷購置了一處房產。此筆物業的收購是在大約6個月之前通過場外交易完成的，也就是在FTX崩潰和加密市場崩盤之前。該豪宅位于位于美國舊金山的阿瑟頓，阿瑟頓是一座離市中心40分鐘左右路程的郊區小鎮，也被稱為硅谷富人住宅區。該豪宅占地近8,000平方英尺。

Haun目前是Coinbase的董事會成員，并在斯坦福商學院教授加密貨幣課程。此前今年3月份消息，Katie Haun領導的風投機構Haun Ventures已為兩個專注于加密貨幣的風投基金籌集了15億美元。（房地產八卦網站Dirt）[2022/11/30 21:12:03]

雖然安全問題始終是一項進展中的工作 -- 而且可以肯定的是，沒有什么東西是可以防黑客的 -- 但防御者和開發者可以通過消除攻擊者容易實現的目標來提高攻擊成本。

隨著安全實踐的改進和工具的成熟，以下攻擊的成功率可能會大幅下降：治理攻擊、價格預言機操縱和重入錯誤。（下面會更詳盡闡述）。

無法確保“完美”安全性的平臺將不得不使用漏洞緩解措施來降低損失的可能性。這可以通過減少其成本效益分析的“好處”或上行部分來阻止攻擊者。

對攻擊進行分類

對不同系統的攻擊可以根據其共同特征進行分類。定義的特征包括攻擊的復雜程度，攻擊的自動化程度，以及可以采取什么預防措施來防御它們。

NFT組織PROOF完成5000萬美元A輪融資，a16z領投:金色財經報道，NFT組織Proof周二宣布完成5000萬美元A輪融資，a16z領投，其他參與者包括Collab+Currency、Flamingo DAO、SVAngel、Vayner Fund和Seven SevenSix。Seven SevenSix在4月份為Proof領投了1000萬美元的融資。PROOF發布了到今年年底的計劃，包括對CC0系列的支持，即將推出的MoonbirdsDAO的更新，以及PROOF的第三個NFT系列：MoonbirdsMythics。MoonbirdsMythics是一個2萬個PFP系列，預計將于2023年推出。PROOFWeb3社交平臺也即將推出，測試版將使PROOF創作者、Moonbirds和Oddities的持有者能夠創建由收藏家策劃的畫廊。該平臺將整合PROOF生態系統特有的內容和行動，包括研究報告、播客、DAO提案等。[2022/8/31 12:59:29]

以下是我們在過去一年最大的黑客攻擊中看到的攻擊類型的一個非詳盡的列表。此外，還囊括了我們對當今威脅形勢的觀察，以及我們對 web3 安全未來發展的期望。

專家對手，通常被稱為高級持續性威脅（APTs），是安全領域的惡魔。他們的動機和能力千差萬別，但他們往往很有錢，而且正如其名稱所暗示的那樣，具有持久性；不幸的是，他們很可能會一直存在。不同的 APTs 運行許多不同類型的操作，但這些威脅行為者往往最可能直接攻擊公司的網絡層以實現其目標。

創業者會員社區Launch House完成1200萬美元A輪融資，a16z領投:金色財經報道，創業者會員社區 Launch House 宣布完成1200 萬美元 A 輪融資，a16z領投，本輪融資的其他投資者包括 Creative Arts Agency 聯合創始人 Michael Ovitz、6th Man Ventures 投資者兼 The Block 創始人 Mike Dudas、加密播客 Bankless 聯合主持人 Ryan Sean Adams 等。

Launch House是硅谷創業者社區 hacker house的改進版，有抱負的企業家申請為期一個月的“駐留計劃”之一，主題包括“Web 3”、“元宇宙”或“女性創始人”，申請通過后，創業者會被邀請住在紐約市或洛杉磯的時髦住宅中，Launch House 還支持通過虛擬空間Gather的虛擬群組進行互動。a16z 普通合伙人 Andrew Chen 將遠程工作、Z 世代的崛起、初創公司籌款新趨勢列為推動 Launch House 進入“新分布式硅谷的第三空間”的因素。（coindesk）[2022/2/2 9:26:48]

我們知道一些先進的團體正在積極針對 web3 項目，我們懷疑還有一些人尚未被發現。最令人關注的 APTs 背后的人往往居住在與美國和歐盟沒有引渡條約的地方，使他們更難因其活動而被起訴。最知名的 APTs 之一是 Lazarus，這是一個朝鮮團體，聯邦調查局最近認為它進行了迄今為止最大的加密黑客攻擊。

Angle Labs完成500萬美元種子輪融資 a16z領投:金色財經報道，DeFi初創公司Angle Labs完成500萬美元種子輪融資，由a16z領投，FabricVC、Wintermute、DivergenceVentures、GlobalFoundersCapital、Alven、JulienBouteloup和FrédéricMontagnon等參投。本輪融資旨在幫助AngleLabs將其協議推向市場，發展Angle核心團隊和社區，并促進agTokens（Angle穩定幣）在去中心化金融中的采用和集成。（Coindesk）[2021/9/28 17:13:07]

例子：

Ronin 驗證器黑客

概況

誰：民族國家、資金雄厚的犯罪組織和其他先進的有組織團體。例子包括 Ronin 黑客（Lazarus，與朝鮮有廣泛聯系）。

復雜程度：高（僅適用于資源豐富的團體，通常在不會起訴的國家）。

自動化程度：低（主要是手動操作，有一些定制的工具）。

對未來的期望：只要 APT 能夠使其活動盈利或達到各種目的，他們就會繼續活躍。

網絡釣魚是一個眾所周知、無處不在的問題。釣魚者試圖通過各種渠道發送誘餌信息來誘捕他們的獵物，包括即時通訊工具、電子郵件、Twitter、Telegram、Discord 和被黑的網站。如果你瀏覽你的垃圾郵件信箱，你可能會看到數以百計封郵件，誘使你泄露信息，如密碼，或竊取你的金錢。

收藏家組織FingerprintsDAO完成新一輪融資， a16z參投:9月2日消息，收藏家組織FingerprintsDAO宣布完成新一輪融資，a16z、Union Square Ventures、Variant、Divergence Ventures、The LAO Official、ConsenSys Mesh、Pixel Vault參投，并成為FingerprintsDAO的社區成員，以幫助其更容易地推廣并實現更快的可擴展性和更強大的品牌。

注：FingerprintsDAO是一個面向收藏家、策展人和制作人的組織，致力于策劃和收集以極富創意的方式使用智能合約創作的藝術品，并生成對應的區塊鏈指紋。[2021/9/2 22:54:06]

現在，web3 允許人們直接交易資產，如代幣或 NFT，且幾乎是即時的最終結果，網絡釣魚活動正在針對 web3 用戶。這些攻擊是沒有什么知識或技術專長的人竊取加密貨幣牟利的最簡單方法。即便如此，它們仍然是有組織的團體追求高價值目標的重要方法，或者是高級團體通過網站接管等方式發動廣泛的、消耗錢包的攻擊。

例子

直接針對用戶的?OpenSea 網絡釣魚活動

BadgerDAO 網絡釣魚攻擊

誰：任何人，從腳本新手到有組織的團體。

復雜程度：中低（攻擊可以是低質量的“噴灑式”，也可以是超目標的，取決于攻擊者所做的努力）。

自動化程度：中高（大部分工作可以自動化）。

對未來的期望：網絡釣魚很簡單，而且網絡釣魚者傾向于適應 -- 并繞過 -- 最新的防御系統，因此我們預計這些攻擊的發生率會上升。用戶可以通過加強教育和意識、更好的過濾、改進的警告標語和更強大的錢包控制來更好的防御攻擊。

當汽車制造商發現車輛中存在有缺陷的部件時，他們會發布安全召回；這在軟件供應鏈中也是一樣的。

第三方軟件庫會引入巨大的攻擊面。在 web3 之前，這早已是整個系統的安全挑戰，例如去年 12 月的 log4 j 漏洞，影響了大規模的網絡服務器軟件。攻擊者會在互聯網上掃描已知的漏洞，找到他們可以利用的未修補的問題。

導入的代碼可能不是你自己的工程團隊寫的，但它的維護是至關重要的。團隊必須監控其軟件的組成部分是否存在漏洞，確保部署更新，并隨時了解他們所依賴的項目的勢頭和健康狀況。利用 web3 軟件漏洞的真實和即時成本使得負責任地將這些問題傳達給用戶成為一種挑戰。關于團隊如何或在哪里以一種不會意外地將用戶資金置于風險中的方式相互交流這些信息，目前還沒有定論。

Wormhole 橋黑客

Multichain 漏洞披露黑客

誰：有組織的團體，如 APTs，單獨行動者，和內部人員。

復雜程度：中等（需要技術知識和一些時間）。

自動化程度：中等（掃描發現有問題的軟件組件可以自動化；但當發現新的漏洞時，需要手動構建利用程序）。

對未來的期望：隨著軟件系統的相互依賴性和復雜性的提高，供應鏈的漏洞可能會增加。在為 Web3 安全開發出良好的、標準化的漏洞披露方法之前，機會性的黑客攻擊也可能會增加。

這是第一個上到該表單的加密具體問題。web3 中的許多項目都包括治理，其中代幣持有者可以提出并投票決定改變網絡的建議。雖然這提供了一個持續發展和改進的機會，但它也為引入惡意建議打開了一扇后門，這些建議一旦實施，可能會破壞網絡。

攻擊者已經設計了新的方法來規避控制，征用領導權，并掠奪財富。治理攻擊曾經是一種理論上的擔憂，但現在已被證明可行。攻擊者可以通過大規模的“閃電貸”來影響投票，就像最近發生在去中心化金融（DeFi）項目 Beanstalk 上的那樣。導致提案自動執行的治理投票更容易被攻擊者利用；而如果提案的頒布有時間延遲或需要多方的手動簽署（例如，通過多簽錢包），則較難成功。

Beanstalk 資金盜用

誰：任何人，從有組織的團體（APTs）到獨立行為者。

復雜程度：從低到高，取決于協議。（許多項目都有活躍的論壇、Twitter 和 Discord 上的社區，以及授權儀表板，可以很容易地暴露出更多的業余嘗試）。

自動化程度：從低到高，取決于協議。

對未來的期望：這些攻擊高度依賴于治理工具和標準，特別是與監測和提案頒布過程有關的。

準確地為資產定價是很難的。在傳統的交易領域，通過操縱市場人為地抬高或壓低資產價格是非法的，你可能因此被罰款和/或逮捕。在 DeFi 中，它使得隨機個人有能力“閃電交易”數億或數十億美元，造成價格的突然波動，而且這個問題很明顯。

許多 web3 項目依靠“預言機”-- 提供實時數據的系統，是鏈下信息的來源。例如，“預言機”經常被用來確定兩種資產之間的交換價格。但攻擊者已經找到了愚弄這些所謂真相來源的方法。

隨著預言機標準化的進展，鏈下和鏈上世界之間將有更安全的橋梁可用，我們可以期待市場對操縱企圖變得更具彈性。如果運氣好的話，有一天這類攻擊有可能會完全消失。

Cream 市場操縱

誰：有組織的團體（APTs）、個人行為者和內部人員。

復雜程度：中等（需要技術知識）。

自動化程度：高（大多數攻擊可能涉及自動化檢測可利用的問題）。

對未來的期望：隨著準確定價的方法變得更加標準，這類攻擊可能會減少。

“零日”漏洞 -- 又叫零時差攻擊，是指被發現后立即被惡意利用的安全漏洞 -- 是信息安全領域的一個熱點問題，在 Web3 安全領域也不例外。因為它們是突然出現的，所以是最難抵御的攻擊。

如果有的話，web3 使這些昂貴的、勞動密集型的攻擊更容易獲益，因為一旦加密貨幣資金被盜，人們就很難將其追回。攻擊者可以花大量時間研究運行在鏈上應用程序的代碼，找到一個可以證明他們所有努力的漏洞。同時，一些曾經新穎的漏洞繼續困擾著毫無戒心的項目；曾使早期以太坊企業 TheDAO 喪生的重入漏洞，今天依舊在其他地方重新出現。

目前還不清楚這個行業能夠多快或多容易地適應這些類型的漏洞，但對安全防御的持續投資，如審計、監控和工具，將增加攻擊者尋求利用這些漏洞的成本。

Poly 跨鏈交易漏洞

Qubit 無限鑄幣漏洞

誰：有組織的團體（APTs），單一行動者（不太可能），以及內部人員。

復雜程度：中高（需要技術知識，但并非所有的漏洞都復雜到人們無法理解）。

自動化程度：低（發現新的漏洞需要時間和精力，不可能自動化；一旦發現，掃描其他系統的類似問題就比較容易）。

對未來的期望：更多的關注吸引了更多的白帽，使發現新漏洞的“門檻”更高。同時，隨著 web3 應用的增加，黑客們尋找新漏洞的動機也在增加。這可能仍然是一場貓鼠游戲，就像它在許多其他安全領域一樣。?

本文來自?a16z，作者為 Riyaz Faizullabhoy 和 Matt Gleason，以下由 DeFi 之道編譯。

Tags：WEBWEB3VENAUNWEB幣web3.0幣種在中國合法嗎bitvenus交易所那國的Diolaunch

BNB