Web3 項目安全實踐要求_WEB3

前言

慢霧安全團隊開源--?Web3項目安全實踐要求，提供了詳細的實踐要求和建議來幫助Web3項目研發團隊識別和防范這些潛在的安全風險。Web3項目方可以參考本文提供的安全實踐要求，掌握相應的安全技能，提高Web3項目的安全性，以便更好地保護項目和用戶的資產安全。

Web3項目安全實踐要求包含如下的內容：

0x00背景概述

現今針對Web3項目的攻擊手法層出不窮，且項目之間的交互也越發復雜，在各個項目之間的交互經常會引入新的安全問題，而大部分Web3項目研發團隊普遍缺少的一線的安全攻防經驗，并且在進行Web3項目研發的時候重點關注的是項目整體的商業論證以及業務功能的實現，而沒有更多的精力完成安全體系的建設，因此在缺失安全體系的情況下很難保證Web3項目在整個生命周期的安全性。

通常項目方團隊為了確保Web3項目的安全會聘請優秀的區塊鏈安全團隊對其代碼進行安全審計，在進行安全審計的時候，才能夠更好地實現各種安全實踐要求，但是區塊鏈安全團隊的審計僅僅是短期的引導，并不能讓項目方團隊建立屬于自己的安全體系。

因此慢霧安全團隊開源了Web3項目安全實踐要求來持續性幫助區塊鏈生態中的項目方團隊掌握相應的Web3項目的安全技能，希望項目方團隊能夠基于Web3項目安全實踐要求建立和完善屬于自己的安全體系，在審計之后也能具備一定的安全能力。

0x01開發準備

需求分析文檔要求

1.?確保包含項目的詳盡描述

2.?確保包含項目解決的問題

3.?確保包含安全/隱私風險評估

中國移動：將與香港Web3.0協會在數據跨境流動、數據資產證券化等領域共同開展跨鏈數據業務:金色財經報道，中國移動香港公司近日宣布，中國移動已在福州新區完成閩港區塊鏈“中移閩鏈”和“中移香港鏈”的跨境跨鏈流通測試。此次測試由中國移動研究院、香港公司和福建公司三家聯合跨境完成，采用中國移動研究院自主研發的“中移鏈”跨鏈服務和跨鏈NFT智能合約技術方案。中國移動表示，未來將與福建實達集團、香港Web3.0協會在數據跨境流動、數據資產證券化等領域共同開展跨鏈數據業務。（人民網）[2023/6/27 22:03:16]

開發設計文檔要求

1.?確保包含項目的架構設計圖

2.?確保包含代碼中函數的功能描述

3.?確保包含代碼中合約之間的關聯關系描述

4.確保安全/隱私的要求被正確實施

業務流程文檔要求

1.?確保包含項目中每個業務流程的描述

2.?確保包含詳盡的業務流程圖

3.?確保包含詳盡的資金鏈路圖

0x02開發過程

智能合約安全編碼要求

1.確保包含盡可能基于OpenZeppelin等知名library進行開發

2.確保包含使用SafeMath或0.8.x的編譯器來避免絕大部分溢出問題

3.確保遵循函數命名規范，參考：soliditystyleguide

(https://docs.soliditylang.org/en/v0.8.14/style-guide.html)

4.確保函數和變量可見性采用顯性聲明

5.確保函數返回值被顯性賦值

6.確保函數功能和參數注釋完備

7.確保外部調用正確檢查返回值，包含：transfer，transferFrom，send，call，delegatecall等

Robinhood已向部分用戶開放其Web3錢包測試:9月27日消息，股票和加密貨幣交易平臺 Robinhood 正在向部分用戶開放其 Web3 錢包測試。該錢包基于 Polygon 網絡，借助 0x 聚合器，允許用戶通過錢包進行免費資產交易。[2022/9/27 22:34:26]

8.確保interface的參數類型返回值等實現是正確的

9.確保設置合約關鍵參數時有進行鑒權并使用事件進行記錄

10.確保可升級模型的新的實現合約的數據結構與舊的實現合約的數據結構是兼容的

11.確保代碼中涉及算數運算的邏輯充分考慮到精度問題，避免先除后乘導致可能的精度丟失的問題

12.確保call等lowlevel調用的目標地址和函數是預期內的

13.使用call等lowlevel調用的時候要根據業務需要限制Gas

14.編碼規范進行約束，遵循：先判斷，后寫入變量，再進行外部調用(Checks-Effects-Interactions)

15.確保業務上交互的外部合約是互相兼容的，如：通縮/通脹型代幣,ERC-777,ERC-677,ERC-721等可重入的代幣，參考：重入漏洞案例

(https://medium.com/amber-group/preventing-re-entrancy-attacks-lessons-from-history-c2d96480fac3)

16.確保外部調用充分考慮了重入的風險

17.避免使用大量循環對合約的storage變量進行賦值/讀取

18.盡可能避免權限過度集中的問題，特別是修改合約關鍵參數部分的權限，要做權限分離，并盡可能采用治理，timelock合約或多簽合約進行管理

19.合約的繼承關系要保持線性繼承，并確保繼承的合約業務上確實需要

20.避免使用鏈上的區塊數據作為隨機數的種子來源

趙長鵬發布五周年公開信：用戶量超過1.2億，希望成為Web3的門戶:7月14日消息，幣安創始人趙長鵬近日發布五周年公開信，其中表示幣安已經成為擁有一個為超過 1.2 億用戶服務的生態系統，并希望成為 Web3 的門戶，以及數十億人用來邁出進入這個新世界的第一步的工具集。

在具體產品方面，Binance Card 在兩年內發行了超過 170 萬張卡，Binance Pay 總交易量超過 120 億美元，涉及 1700 萬筆交易、7,000多家商家和數百萬用戶；Binance NFT 每周活躍用戶超過 60 萬，IGO 總交易量 10 億；Binance Earn 活躍用戶數量增長到 490 萬；Binance Labs 已在全球投資和孵化了 200 多個項目。[2022/7/15 2:14:17]

21.確保隨機數的獲取和使用充分考慮回滾攻擊的可能

22.盡量使用Chainlink的VRF來獲取可靠的隨機數，參考：ChainlinkVRF

(https://docs.chain.link/vrf/v2/introduction)

23.避免使用第三方合約的token數量直接計算LPToken價格，參考：如何正確獲取LP的價

(https://blog.alphaventuredao.io/fair-lp-token-pricing/)

24.通過第三方合約獲取價格的時候避免單一的價格來源，建議采用至少3個價格來源

25.盡可能在關鍵的業務流程中使用事件記錄執行的狀態用于對項目運行時的數據分析

26.預留全局與核心業務緊急暫停的開關，便于發生黑天鵝事件的時候及時止損

測試用例代碼要求

1.?確保包含業務流程/函數功能可用性測試

2.確保包含單元測試覆蓋率95%以上，核心代碼覆蓋率要達到100%

基礎安全配置要求

Playful Studios成立Web3子公司，并獲由Paradigm領投的4600萬美元融資:6月14日消息，游戲Wordswith Friends聯合創始人PaulBettner的獨立游戲工作室Playful Studios宣布成立Web3子公司The Wildcard Alliance，同時，The Wildcard Alliance還完成4600萬美元A輪融資，Paradigm領投，其他投資方包括Griffin Gaming Partners和SabrinaHahn等。

The Wildcard Alliance聯合創始人兼首席執行官PaulBettner表示，Wildcard首先關注的是樂趣，將打造下一代觀眾運動來歡迎整個社區的競爭者、收藏家、贊助商和粉絲一起娛樂。（prnewswire）[2022/6/14 4:26:26]

1.?確保官方郵箱使用知名服務商，如Gmail

2.確保官方郵箱賬號強制開啟MFA功能

3.確保使用知名域名服務商，如GoDaddy

4.確保域名服務商平臺的賬號開啟MFA安全配置

5.確保使用優秀的CDN服務提供商，如Akamai、Cloudflare

6.確保DNS配置開啟了DNSSec，在域名服務管理平臺上為管理賬號設置強口令并開啟MFA認證

7.確保全員的手機和電腦設備使用殺軟件，如卡巴斯基、AVG等

Web前端安全配置要求

1.?確保全站的HTTP通訊采用HTTPS

2.確保配置了HSTS，以防止中間人攻擊，如：DNShijacking，BGPhijacking，參考：HSTS配置介紹

(https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security)

3.確保配置了X-FRAME-OPTIONS，以防止Clickjacking攻擊，參考：X-FRAME-OPTIONS配置介紹

Web3.0基礎設施Deeper Network開放代幣IDO白名單申請:4月1日消息，Web3.0基礎設施Deeper Network（DPR）將分別于4月5日、4月8日在Ignition、Tokensoft平臺上進行IDO，價格分別為0.012美元和0.02美元。用戶可以在Deeper官網進行白名單申請。

Deeper Network成立于2018年6月，是一家硅谷的網絡安全公司，基于波卡Substrate框架，結合區塊鏈、網絡安全及網絡共享技術搭建了去中心化網絡。DPR代幣是Deeper Network為經濟激勵以及微支付服務而創建的。

Deeper Network投資機構包括Youbi Capital，Snz，SevenX，Parity，Digital Renaissance，Spark Digitalcapital，Consensuslab，AU21、499Block等。[2021/4/1 19:37:00]

(https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options)

4.確保配置了X-Content-Type-Options，以對抗瀏覽器sniff?為導致的?險，參考：X-Content-Type-Options配置介紹

(https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options)

5.確保配置了CSP策略，以防止XSS攻擊，參考：CSP內容安全策略介紹

(https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP)

6.確保與權限和用戶憑證相關的Cookie配置了HttpOnly,Secure,Expires,SameSite標志，參考：Cookie配置介紹

(https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies)

7.確保不同業務的子域嚴格劃分開，避免子域的XSS問題互相影響

8.確保引用的第三方資源使用了integrity屬性進行限制，避免第三方被黑導致項目方的站點受到影響，參考：SRI配置介紹

(https://developer.mozilla.org/zh-CN/docs/Web/Security/Subresource_Integrity)

9.確保正確配置CORS，僅允許指定origin域，協議和端口訪問項目的資源，參考：CORS配置介紹

(https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS)

10.確保業務中實現的addEventListener/postMessage有檢查消息的origin和target，參考：postMessage安全介紹?

(https://developer.mozilla.org/zh-CN/docs/Web/API/Window/postMessage)

后端環境安全配置要求

1.確保選用優秀的云服務器提供商，如：AWS、Google云等

2.確保項目使用到的云平臺管理賬號使用強口令并開啟MFA認證

3.確保項目代碼部署到服務器前對服務器進行安全加固，如：安裝HIDS，采用SSHKey進行登錄，設置SSH登錄alert，設置SSH登錄google-auth等

4.確保使用專業軟件監控服務、服務器可用性，如APM、Zabbix

5.確保使用專業的機構定期測試項目安全性，如SlowMist、TrailofBits等

0x03發布過程

需要有完備的安全上線發布流程，可以參考如下的內容進行細化:

代碼凍結要求

在預計的上線時間倒推2天，即上線2天前必須凍結代碼不再做任何代碼改動

單元測試要求

1.?確保單元測試覆蓋率95%以上，核心代碼覆蓋率100%

2.確保輸出單元測試的覆蓋率報告

回歸測試要求

在上線1天前執行單元測試并進行回歸測試

測試報告要求

上線前0.5天由開發及測試共同完成測試報告，如果不通過，則推遲上線時間，開發完成修改后重新進入代碼凍結階段

安全審計要求

1.?安全審計人員在代碼凍結后進入整體安全回歸，如發現任一漏洞或安全隱患，則推遲上線時間，開發完成修改后重新進入代碼凍結

2.安全審計需要至少三個團隊進行獨立的審計，可以采用1個內部團隊+?2個外部團隊

0x04運行期間

運行時安全監控

盡可能的通過關鍵業務流程中觸發的事件來發現項目運行時的安全問題，如：

1.合約關鍵權限/參數變更：監控管理角色發生變更的事件，管理角色修改合約關鍵參數的事件，及時發現私鑰可能被盜的情況

2.合約資金變化：監控價格變動及合約資金變動的情況，及時發現可能的閃電貸等攻擊

3.周期性對賬：周期性對鏈上的事件與交易進行對賬，及時發現可能的業務邏輯上的問題

運行環境安全加固

1.確保實施前端代碼所在服務器的安全加固，如：安裝HIDS(https://www.aliyun.com/product/aegis)，采用SSHKey?進行登錄，設置SSH登錄alert(https://medium.com/@alessandrocuda/ssh-login-alerts-with-sendmail-and-pam-3ef53aca1381)，設置SSH登錄google-auth(https://goteleport.com/blog/ssh-2fa-tutorial/)?等

2.確保DNS配置開啟了DNSSec，在域名服務管理平臺上為管理賬號設置強口令并開啟2次認證

3.確保項目使用到的云平臺管理賬號使用了強口令并開啟了2次認證

發布漏洞賞金計劃

發布漏洞賞金計劃或入駐知名的漏洞賞金平臺,?吸引社區白帽子為項目保駕護航;可以選擇?BugRap?(https://bugrap.io/),?code4rena?(https://code4rena.com/),?immunefi?(https://immunefi.com/)

成立名義應急小組

成立名義應急小組并對外提供聯系方式，由應急小組負責處理白帽子發現的問題或在黑天鵝事件爆發時主導團隊成員進行應急處置

0x05應急處置

完備的應急處置流程

盡可能地制定完備地應急處置流程，有條不紊地根據應急處置流程來處置黑天鵝事件

止損處置要求

1.?根據問題影響的范圍和危害程度，及時通過緊急暫停開關進行止損

2.通知社區成員發生黑天鵝事件，避免用戶繼續與項目進行交互導致虧損

黑客追蹤要求

1.迅速分析黑客的獲利地址，并留存PC/Web/服務器的訪問日志

2.對服務器進行快照，及時保留被黑現場

3.聯系專業的安全團隊協助進行追蹤，如:?MistTrack追蹤分析平臺?(https://misttrack.io/),?Chainalysis?(https://www.chainalysis.com/)

修復問題要求

1.與專業安全團隊討論問題的最佳修復方案

2.正確實施修復方案并請專業的安全團隊進行驗證

安全發布要求

執行發布過程要求，確保一切代碼的變更均有經過測試和安全審計

復盤分析要求

1.?披露驗尸報告并與社區成員同步修復方案及補救措施

2.驗尸報告需要同步問題的本質原因，問題的影響范圍，具體的損失，問題的修復情況，黑客的追蹤等相關進展

總結

安全是動態管理的過程，僅依賴于第三方安全團隊的短期審計并不能真正保障項目長期安全穩定地運行。因此，建立和完善Web3項目的安全體系是至關重要的，項目方團隊自身具備一定的安全能力才能更好的保障Web3項目安全穩定地運行。

除此之外，我們建議項目方團隊還應該積極參與安全社區，學習最新的安全攻防技術和經驗，與其他項目方團隊和安全專家進行交流和合作，共同提高整個生態的安全性。同時，加強內部安全培訓和知識普及，提高全員的安全意識和能力，也是建立和完善安全體系的重要步驟。

最后，Web3項目安全實踐要求目前屬于v0.1版本，并且還在持續的完善，如果你有更好的建議，歡迎提交反饋。

Tags：WEBHTTWEB3TPSweb3域名哪里注冊HTT幣web3游戲是什么意思tps幣圈

MATIC