web3 的安全性在很大程度上取決于區塊鏈做出承諾的特殊能力和對人類干預的彈性。但相關的最終性特征 -- 交易通常是不可逆的 -- 使這些軟件控制的網絡成為攻擊者的誘人目標。事實上,隨著區塊鏈 -- 作為 web3 基礎的分布式計算機網絡 -- 及其伴隨的技術和應用不斷積累價值,它們成為了攻擊者越來越垂涎的目標。
盡管 web3 與早期的互聯網不同,但我們已經觀察到了與以前的軟件安全趨勢的共同之處。在許多情況下,最大的問題仍然和以前一樣。通過研究這些領域,防御者 -- 無論是建設者、安全團隊,還是日常的加密用戶 -- 可以更好地保護他們自己、項目和錢包免受潛在黑客的侵害。下面我們將介紹一些共同的主題和基于我們經驗的預測。
追逐金錢
攻擊者通常以投資回報最大化為目標。他們可以花費更多的時間和精力來攻擊具有更多“總價值鎖定”(TVL)的協議,因為潛在的回報更大。
資源最豐富的黑客組織更經常地攻擊高價值系統。最具價值的新型攻擊也更頻繁地瞄準這些有價值的目標。
低成本攻擊 -- 如網絡釣魚 -- 永遠不會消失,而且我們預計在可預見的未來,它們會變得更加普遍。
彌補漏洞
隨著開發人員從經過驗證的攻擊中學習,他們可能會改善 Web3 軟件的狀態,使其變得“默認安全”。通常情況下,這涉及到收緊應用程序接口,或 API,使人們更難錯誤引入漏洞。
a16 Crypto首席安全官:黑客偽造“蘋果公司”來電對大量Web3名人進行網絡釣魚攻擊:11月26日消息,a16 Crypto首席安全官Nasse-nassyweazy.eth透露,目前有黑客偽造“蘋果公司”電話對大量Web3名人進行網絡釣魚攻擊。攻擊者偽造來電顯示為“Apple,Inc.”的號碼并索取iCloud“恢復密碼”,一旦得手就會竊取所有iCloud同步數據并要求受害者支付贖金。黑客還通過掃描文檔/圖片獲取加密錢包助記詞或密碼,然后注冊新地址轉移和出售受害者錢包內全部有價值的加密資產并清空錢包。[2022/11/26 20:47:39]
雖然安全問題始終是一項進展中的工作 -- 而且可以肯定的是,沒有什么東西是可以防黑客的 -- 但防御者和開發者可以通過消除攻擊者容易實現的目標來提高攻擊成本。
隨著安全實踐的改進和工具的成熟,以下攻擊的成功率可能會大幅下降:治理攻擊、價格預言機操縱和重入錯誤。(下面會更詳盡闡述)。
無法確保“完美”安全性的平臺將不得不使用漏洞緩解措施來降低損失的可能性。這可以通過減少其成本效益分析的“好處”或上行部分來阻止攻擊者。
對攻擊進行分類
對不同系統的攻擊可以根據其共同特征進行分類。定義的特征包括攻擊的復雜程度,攻擊的自動化程度,以及可以采取什么預防措施來防御它們。
以下是我們在過去一年最大的黑客攻擊中看到的攻擊類型的一個非詳盡的列表。此外,還囊括了我們對當今威脅形勢的觀察,以及我們對 web3 安全未來發展的期望。
去中心化資管平臺Syndicate融資600萬美元,a16z、OpenSea等參投:5月3日消息,去中心化資產管理平臺以及社交網絡Syndicate宣布完成600萬美元融資,a16z、South Park Commons、Carta Ledger、OpenSea、Circle Ventures、Polygon、United Talent Agency、CoinList、FalconX等超過50名投資方參投。
據悉,Syndicate允許任何人創建一個用于鏈上和鏈下投資的“Web3投資俱樂部”,包括為他們的俱樂部建立法律實體。
Syndicate聯合創始人Ian Lee表示:“有了這筆資金,我們計劃深化在重要領域的能力和合作關系,并且將在未來幾個月推出新的投資DAO基礎設施和工具,用于新的市場、用戶和用例。”該團隊目前有30多人,并計劃在未來幾個月增加到40人。
這一輪融資使該公司自2021年1月成立以來的總融資額達到2800萬美元。去年8月,Syndicate完成2000萬美元A輪融資,a16z領投,法國巴黎銀行集團支持的Atelier Ventures、Coinbase Ventures、Snoop Dogg Ventures等超150名投資者參投。(The Block)[2022/5/3 2:47:55]
a16z計劃為兩只新加密基金籌集45億美元:1月20日消息,據英國《金融時報》報道,硅谷風投機構AndreessenHorowitz(a16z)計劃為其新加密貨幣風險基金籌集35億美元,并為另一只專注于數字資產初創公司種子投資的獨立基金籌集10億美元。一位知情人士稱,a16z計劃在3月份之前敲定這兩只基金。[2022/1/20 9:02:03]
專家對手,通常被稱為高級持續性威脅(APTs),是安全領域的惡魔。他們的動機和能力千差萬別,但他們往往很有錢,而且正如其名稱所暗示的那樣,具有持久性;不幸的是,他們很可能會一直存在。不同的 APTs 運行許多不同類型的操作,但這些威脅行為者往往最可能直接攻擊公司的網絡層以實現其目標。
我們知道一些先進的團體正在積極針對 web3 項目,我們懷疑還有一些人尚未被發現。最令人關注的 APTs 背后的人往往居住在與美國和歐盟沒有引渡條約的地方,使他們更難因其活動而被起訴。最知名的 APTs 之一是 Lazarus,這是一個朝鮮團體,聯邦調查局最近認為它進行了迄今為止最大的加密黑客攻擊。
例子:
Ronin 驗證器黑客
概況
誰:民族國家、資金雄厚的犯罪組織和其他先進的有組織團體。例子包括 Ronin 黑客(Lazarus,與朝鮮有廣泛聯系)。
復雜程度:高(僅適用于資源豐富的團體,通常在不會起訴的國家)。
a16z合伙人Chris Dixon:20年代的重點在于VR、Web3和AI:12月30日消息,a16z合伙人Chris Dixon發推表示,21世紀10年代的重點在于移動、社交和云;而20年代的重點在于VR、web3和AI。[2021/12/30 8:14:30]
自動化程度:低(主要是手動操作,有一些定制的工具)。
對未來的期望:只要 APT 能夠使其活動盈利或達到各種目的,他們就會繼續活躍。
網絡釣魚是一個眾所周知、無處不在的問題。釣魚者試圖通過各種渠道發送誘餌信息來誘捕他們的獵物,包括即時通訊工具、電子郵件、Twitter、Telegram、Discord 和被黑的網站。如果你瀏覽你的垃圾郵件信箱,你可能會看到數以百計封郵件,誘使你泄露信息,如密碼,或竊取你的金錢。
現在,web3 允許人們直接交易資產,如代幣或 NFT,且幾乎是即時的最終結果,網絡釣魚活動正在針對 web3 用戶。這些攻擊是沒有什么知識或技術專長的人竊取加密貨幣牟利的最簡單方法。即便如此,它們仍然是有組織的團體追求高價值目標的重要方法,或者是高級團體通過網站接管等方式發動廣泛的、消耗錢包的攻擊。
例子
直接針對用戶的?OpenSea 網絡釣魚活動
隱私基礎設施Nym以2.7億美元估值完成1300萬美元融資,a16z領投:11月17日消息,隱私基礎設施Nym以2.7億美元估值完成1300萬美元的A輪融資,由a16z領投,DCG、Tayssir Capital、Huobi Ventures、HashKey、Fenbushi Capital等參投。Nym采用區塊鏈來將其混合網絡(mixnet)去中心化,網絡中的節點可以通過提供流量獲得代幣獎勵,節點也可能在需要時注入混淆的流量包,使其他人難以解析其中的信息。Nym首席執行官HarryHalpin在2018年成立該公司之前,曾與萬維網的發明者Tim Berners-Lee一起工作,Halpin認為Nym的解決方案可以對抗國家級別的大規模監控,與VPN或Tor不同。[2021/11/18 21:59:08]
BadgerDAO 網絡釣魚攻擊
誰:任何人,從腳本新手到有組織的團體。
復雜程度:中低(攻擊可以是低質量的“噴灑式”,也可以是超目標的,取決于攻擊者所做的努力)。
自動化程度:中高(大部分工作可以自動化)。
對未來的期望:網絡釣魚很簡單,而且網絡釣魚者傾向于適應 -- 并繞過 -- 最新的防御系統,因此我們預計這些攻擊的發生率會上升。用戶可以通過加強教育和意識、更好的過濾、改進的警告標語和更強大的錢包控制來更好的防御攻擊。
當汽車制造商發現車輛中存在有缺陷的部件時,他們會發布安全召回;這在軟件供應鏈中也是一樣的。
第三方軟件庫會引入巨大的攻擊面。在 web3 之前,這早已是整個系統的安全挑戰,例如去年 12 月的 log4 j 漏洞,影響了大規模的網絡服務器軟件。攻擊者會在互聯網上掃描已知的漏洞,找到他們可以利用的未修補的問題。
導入的代碼可能不是你自己的工程團隊寫的,但它的維護是至關重要的。團隊必須監控其軟件的組成部分是否存在漏洞,確保部署更新,并隨時了解他們所依賴的項目的勢頭和健康狀況。利用 web3 軟件漏洞的真實和即時成本使得負責任地將這些問題傳達給用戶成為一種挑戰。關于團隊如何或在哪里以一種不會意外地將用戶資金置于風險中的方式相互交流這些信息,目前還沒有定論。
Wormhole 橋黑客
Multichain 漏洞披露黑客
誰:有組織的團體,如 APTs,單獨行動者,和內部人員。
復雜程度:中等(需要技術知識和一些時間)。
自動化程度:中等(掃描發現有問題的軟件組件可以自動化;但當發現新的漏洞時,需要手動構建利用程序)。
對未來的期望:隨著軟件系統的相互依賴性和復雜性的提高,供應鏈的漏洞可能會增加。在為 Web3 安全開發出良好的、標準化的漏洞披露方法之前,機會性的黑客攻擊也可能會增加。
這是第一個上到該表單的加密具體問題。web3 中的許多項目都包括治理,其中代幣持有者可以提出并投票決定改變網絡的建議。雖然這提供了一個持續發展和改進的機會,但它也為引入惡意建議打開了一扇后門,這些建議一旦實施,可能會破壞網絡。
攻擊者已經設計了新的方法來規避控制,征用領導權,并掠奪財富。治理攻擊曾經是一種理論上的擔憂,但現在已被證明可行。攻擊者可以通過大規模的“閃電貸”來影響投票,就像最近發生在去中心化金融(DeFi)項目 Beanstalk 上的那樣。導致提案自動執行的治理投票更容易被攻擊者利用;而如果提案的頒布有時間延遲或需要多方的手動簽署(例如,通過多簽錢包),則較難成功。
Beanstalk 資金盜用
誰:任何人,從有組織的團體(APTs)到獨立行為者。
復雜程度:從低到高,取決于協議。(許多項目都有活躍的論壇、Twitter 和 Discord 上的社區,以及授權儀表板,可以很容易地暴露出更多的業余嘗試)。
自動化程度:從低到高,取決于協議。
對未來的期望:這些攻擊高度依賴于治理工具和標準,特別是與監測和提案頒布過程有關的。
準確地為資產定價是很難的。在傳統的交易領域,通過操縱市場人為地抬高或壓低資產價格是非法的,你可能因此被罰款和/或逮捕。在 DeFi 中,它使得隨機個人有能力“閃電交易”數億或數十億美元,造成價格的突然波動,而且這個問題很明顯。
許多 web3 項目依靠“預言機”-- 提供實時數據的系統,是鏈下信息的來源。例如,“預言機”經常被用來確定兩種資產之間的交換價格。但攻擊者已經找到了愚弄這些所謂真相來源的方法。
隨著預言機標準化的進展,鏈下和鏈上世界之間將有更安全的橋梁可用,我們可以期待市場對操縱企圖變得更具彈性。如果運氣好的話,有一天這類攻擊有可能會完全消失。
Cream 市場操縱
誰:有組織的團體(APTs)、個人行為者和內部人員。
復雜程度:中等(需要技術知識)。
自動化程度:高(大多數攻擊可能涉及自動化檢測可利用的問題)。
對未來的期望:隨著準確定價的方法變得更加標準,這類攻擊可能會減少。
“零日”漏洞 -- 又叫零時差攻擊,是指被發現后立即被惡意利用的安全漏洞 -- 是信息安全領域的一個熱點問題,在 Web3 安全領域也不例外。因為它們是突然出現的,所以是最難抵御的攻擊。
如果有的話,web3 使這些昂貴的、勞動密集型的攻擊更容易獲益,因為一旦加密貨幣資金被盜,人們就很難將其追回。攻擊者可以花大量時間研究運行在鏈上應用程序的代碼,找到一個可以證明他們所有努力的漏洞。同時,一些曾經新穎的漏洞繼續困擾著毫無戒心的項目;曾使早期以太坊企業 TheDAO 喪生的重入漏洞,今天依舊在其他地方重新出現。
目前還不清楚這個行業能夠多快或多容易地適應這些類型的漏洞,但對安全防御的持續投資,如審計、監控和工具,將增加攻擊者尋求利用這些漏洞的成本。
Poly 跨鏈交易漏洞
Qubit 無限鑄幣漏洞
誰:有組織的團體(APTs),單一行動者(不太可能),以及內部人員。
復雜程度:中高(需要技術知識,但并非所有的漏洞都復雜到人們無法理解)。
自動化程度:低(發現新的漏洞需要時間和精力,不可能自動化;一旦發現,掃描其他系統的類似問題就比較容易)。
對未來的期望:更多的關注吸引了更多的白帽,使發現新漏洞的“門檻”更高。同時,隨著 web3 應用的增加,黑客們尋找新漏洞的動機也在增加。這可能仍然是一場貓鼠游戲,就像它在許多其他安全領域一樣。?
本文來自?a16z,作者為 Riyaz Faizullabhoy 和 Matt Gleason,以下由 DeFi 之道編譯。
4.23世界讀書日 書太長了,不想讀…… 咱們這個圈里,充斥著專業名詞和中英混雜的文章實在難讀,金色財經抽絲剝繭,用簡潔易懂的語言,帶來這期「懶人讀本」.
1900/1/1 0:00:00NFT 類型(如虛擬土地、PFP 和游戲資產)是對 NFT 項目和系列進行評估的常用框架。但是,這些資產屬性中較少被論及,有時甚至讓人感到違反直覺的,是系列內的價格“等級”(即價位,下同),以及.
1900/1/1 0:00:00原文作者:CryptoOcean,H.Forest Ventures毫無疑問,Stepn 已成為 2022 年一季度加密貨幣市場上最火的應用,日前 Twitter 關注人數已突破 20w 大關.
1900/1/1 0:00:00DAO賽道的進化:阿桑奇、信徒、云國三大典型DAO分析 編者按 本文作者?徐徐有聲 是深度參與阿桑奇DAO等多個DAO運作的小女生,對DAO賽道理解深入.
1900/1/1 0:00:00近幾年,DeFi 的發展使得向邊際投資者幾乎免費提供某些金融服務成為可能。投資者可以依靠代碼來自動執行金融協議的條款和條件,而不是依賴支付代理、轉賬代理和集中清算和結算存管等中介機構.
1900/1/1 0:00:00幾周前,推特上有一個熱門話題:“ DAO 不需要 CEO,他們需要一個使命 ”這些評論充滿了褒貶不一的評論-一些人持嚴重不同意見,認為單一的CEO權力過于集中,而另一些人則認為.
1900/1/1 0:00:00