WEB3:a16z ：詳解Web3安全領域常見的攻擊類型和經驗教訓_WEBAI幣

原文作者：RiyazFaizullabhoy與MattGleason

原文標題：《a16z.com/2022/04/23/web3-security-crypto-hack-attack-lessons/">Web3Security:AttackTypesandLessonsLearned》

原文編譯：胡韜，鏈捕手

web3的大量安全性取決于區塊鏈做出承諾和對人為干預具有彈性的特殊能力。但是最終性的相關特征——交易通常是不可逆的——使得這些軟件控制的網絡成為攻擊者的誘人目標。事實上，隨著區塊鏈——作為web3基礎的去中心化計算機網絡——及其伴隨的技術和應用程序積累價值，它們越來越成為攻擊者夢寐以求的目標。

盡管web3與早期的互聯網迭代有所不同，但我們已經觀察到與以前的軟件安全趨勢的共同點。在許多情況下，最大的問題與以往一樣。通過研究這些領域，防御者——無論是開發商、安全團隊還是日常加密用戶——可以更好地保護自己、他們的項目和錢包免受潛在的竊賊的侵害。下面我們根據經驗提出一些常見的主題和預測。

跟著資金

攻擊者通常旨在最大化投資回報。他們可以花費更多的時間和精力來攻擊具有更多“總價值鎖定”或TVL的協議，因為潛在的回報更大。

a16z政策負責人：美SEC應與加密貨幣公司合作:金色財經報道，a16z政策負責人Brian Quintenz發文表示，美國證券交易委員會（SEC）今天的行動延續了不負責任的逐級監管模式，傷害了企業家、投資者和消費者，同時有可能扼殺創新并將負責任的公司從美國趕走。Coinbase十多年來一直是一個負責任的行業參與者，曾幫助在美國開辟了Web3。作為一家上市公司，它曾多次嘗試在美國證券交易委員會注冊，并長期呼吁進行監管，但監管機構沒有任何動作。強制執行不能替代指導意見。通過對第三方的執法行動，對特定代幣是否是證券進行訴訟是不恰當的，對保護消費者或為市場提供明確性沒有什么作用。相反，SEC應該與市場參與者合作，使規則現代化并澄清其應用的范圍。[2023/6/7 21:20:40]

資源最豐富的黑客組織更經常瞄準高價值系統。新穎的攻擊也更頻繁地針對這些珍貴的目標。

低成本攻擊永遠不會消失，我們預計它們在可預見的未來會變得更加普遍。

修補漏洞

隨著開發人員從久經考驗的攻擊中學習，他們可能會將web3軟件的狀態提高到“默認安全”的程度。通常，這涉及收緊應用程序編程接口或API，?以使人們更難錯誤地引入漏洞。

雖然安全始終是一項正在進行中的工作，但防御者和開發人員可以通過消除攻擊者的大部分低成本果實來提高攻擊成本。

a16z合伙人Chris Dixon：因投資Coinbase而未投資FTX，離岸交易所不受監管本身就是隱患:12月19日消息，a16z 合伙人 Chris Dixon 近日在 The Block 的播客 The Scoop 中談到為什么 a16z 從未投資過 FTX等話題。主持人問 Chris Dixon躲過 FTX 是技巧還是運氣，對此，Chris Dixon 表示，自己只和 SBF 在線上會議上有過對談，并無深交。之所以沒有投資 FTX 主要是因為投資了 Coinbase，而和 Coinbase 合作的經驗告訴他，合規、安全要比靈魂和創新更重要，所以，FTX 這種離岸加密交易所不受監管本身就是一種隱患。

為什么 FTX、Phoenix 等交易所會選擇將總部設立在巴哈馬群島？誰來審計他們？Chris Dixon 說道，沒有投資 FTX 并非完全出于運氣，a16z 在投資領域積累了十多年的經驗，會在投資前做大量的工作，并且認真思考什么是真正的技術創新。[2022/12/19 21:54:14]

隨著安全實踐的改進和工具的成熟，以下攻擊的成功率可能會大幅下降：治理攻擊、價格預言機操縱和重入漏洞。

無法確保“完美”安全性的平臺將不得不使用漏洞緩解措施來降低損失的可能性。這可能會通過減少其成本收益分析的“收益”或上行空間來阻止攻擊者。

PartyDAO完成1640萬美元融資，a16z領投:6月10日消息，NFT競標平臺PartyBid運營團隊PartyDAO完成1640萬美 元融資，a16z領投，參投方包括Standard . Crypto、Compound Crypto、Dragonfly Capital、Uniswap Ventures以及Loot創始人 Dom Hofmann。[2022/6/10 4:15:34]

分類攻擊

對不同系統的攻擊可以根據它們的共同特征進行分類。定義特征包括攻擊的復雜程度、攻擊的自動化程度以及可以采取哪些預防措施來防御它們。

以下是我們在過去一年中最大的黑客攻擊中看到的攻擊類型的非詳盡列表。我們還包括了我們對當今威脅形勢的觀察以及我們預計未來web3安全性的發展方向。

APT操作：頂級掠食者

通常稱為高級持續威脅(APT)的專家對手是安全的惡魔。他們的動機和能力差異很大，但他們往往富有而且堅持不懈。不幸的是，他們很可能會一直在身邊。不同的APT運行許多不同類型的操作，但這些威脅參與者往往最有可能直接攻擊公司的網絡層以實現其目標。?

我們知道一些高級團體正在積極瞄準web3項目，我們懷疑還有其他人尚未確定。最受關注的APT背后的人往往生活在與美國和歐盟沒有引渡條約的地方，這使得他們更難因其活動而受到起訴。最著名的APT之一是Lazarus，這是一個朝鮮組織，美國聯邦調查局最近稱其進行了迄今為止最大的加密黑客攻擊。

Web開發人員管理平臺Convex完成2600萬美元融資，a16z領投:金色財經報道，Web 開發人員管理平臺 Convex 宣布完成 2600 萬美元 A 輪融資，本輪融資由 a16z 領投，a16z 普通合伙人 Martin Casado 將加入 Convex 董事會。天使投資人包括 GitHub 前 CEO Nat Friedman、Alphabet 董事會成員 Ram Shriram，以及 Creative Artists Agency 創始人 Michael Ovitz 等。Convex 預計將在接下來幾周時間內向更多開發者開放測試版。

Convex 是面向 Web 開發人員的全球狀態管理平臺，旨在讓世界各地的開發人員無需任何后端工程即可構建復雜、動態、全局狀態的應用程序。[2022/4/28 2:35:09]

例子：

Ronin驗證器被攻擊

輪廓

誰：民族國家、資金雄厚的犯罪組織和其他先進的有組織的團體。例子包括Ronin黑客。?

復雜性：高。

可自動化性：低

對未來的期望：只要APT能夠將其活動貨幣化或實現各種目的，它們就會保持活躍。

以用戶為目標的網絡釣魚：社會工程學

a16z投資的stablecoin協議Angle將于10月底上線歐元stablecoin:10月5日消息，Angle將發行的穩定幣被稱為agToken，首個發行的穩定幣將是歐元穩定幣agEUR，之后將支持美元穩定幣agUSD。agToken將以預言機的價格進行發行，所以鑄造時有幾乎無限的流動性，而且與傳統的AMM相比，即使是大額的agToken也不會出現滑點。agToken總是可以以1:1的比例對協議中的抵押品進行贖回，開始時將支持USDC和DAI作為抵押品，后續將很快支持wETH和wBTC，并且理論上任何代幣和資產都可以作為抵押品被接受。該項目在以太坊上的歐元穩定幣目前正在測試，主網代碼正在審計中，預計將在10月底上線。[2021/10/5 17:25:19]

網絡釣魚是一個眾所周知的普遍問題。網絡釣魚者試圖通過各種渠道發送誘餌消息來誘捕他們的獵物，這些渠道包括即時通訊、電子郵件、Twitter、電報、Discord和被黑網站。如果你瀏覽垃圾郵件郵箱，你可能會看到數百次企圖誘騙你泄露密碼等信息或竊取你的錢財。?

現在web3允許人們直接交易資產，例如代幣或NFT，幾乎可以立即確定，網絡釣魚活動正在針對其用戶。對于知識或技術專業知識很少的人來說，這些攻擊是通過竊取加密貨幣來賺錢的最簡單方法。即便如此，對于有組織的團體來說，它們仍然是一種有價值的方法來追蹤高價值目標，或者對于高級團體來說，通過例如網站接管來發動廣泛的、抽干錢包的攻擊。?

例子

直接針對用戶的OpenSea網絡釣魚活動

針對前端應用程序的BadgerDAO網絡釣魚攻擊

輪廓

誰：從腳本初學者到有組織的團體的任何人。

復雜性：低-中。

可自動化性：中等-高。

對未來的期望：網絡釣魚的成本很低，網絡釣魚者往往會適應并繞過最新的防御措施，因此我們預計這些攻擊的發生率會上升。可以通過增加教育和意識、更好的過濾、改進的警告橫幅和更強大的錢包控制來改進用戶防御。

供應鏈漏洞：最薄弱的環節

當汽車制造商發現車輛中的缺陷部件時，他們會發出安全召回。在軟件供應鏈中也不例外。

第三方軟件庫引入了很大的攻擊面。在web3之前，這一直是跨系統的安全挑戰，例如去年12月影響廣泛的Web服務器軟件的log4j漏洞利用。攻擊者將掃描互聯網以查找已知漏洞，以找到他們可以利用的未修補問題。

導入的代碼可能不是由項目自己的工程團隊編寫的，但其維護至關重要。團隊必須監控其軟件組件的漏洞，確保部署更新，并及時了解他們所依賴的項目的動力和健康狀況。web3軟件漏洞利用的真實和即時成本使得負責任地將這些問題傳達給用戶具有挑戰性。關于團隊如何或在何處以一種不會意外使用戶資金面臨風險的方式相互交流這些信息，目前還沒有定論。?

例子

Wormhole橋攻擊

Multichain?漏洞

輪廓

誰：有組織的團體，例如APT、獨立黑客和內部人士。

復雜性：中等。

可自動化性：中等。

對未來的期望：隨著軟件系統的相互依賴性和復雜性的增加，供應鏈漏洞可能會增加。在為web3安全開發出良好的、標準化的漏洞披露方法之前，機會主義的黑客攻擊也可能會增加。

治理攻擊：選舉掠奪者

這是上榜的第一個特定于加密行業的問題。web3中的許多項目都包含治理方面，代幣持有者可以在其中提出改變網絡的提案并對其進行投票。雖然這為持續發展和改進提供了機會，但它也打開了一個后門，可以引入惡意提案，如果實施可能會破壞網絡。

攻擊者設計了新的方法來規避控制、征用領導權和掠奪國庫。攻擊者可以拿出大量的“閃電貸”來獲得足夠的選票，就像最近發生DeFi項目Beanstalk上的事件一樣。導致提案自動執行的治理投票更容易被攻擊者利用。然而，如果提案的制定存在時間延遲或需要多方手動簽署，則可能更難實施。

例子

Beanstalk資金轉移事件

輪廓

誰：從有組織的團體(APT)到獨立黑客的任何人。

復雜性：從低到高，取決于協議。

可自動化性：從低到高，取決于協議。?

對未來的期望：這些攻擊高度依賴于治理工具和標準，尤其是當它們與監控和提案制定過程有關時。

定價預言機攻擊：市場操縱者

準確地為資產定價是困難的。在傳統交易領域，通過市場操縱人為抬高或壓低資產價格是非法的，你可能會因此受到罰款或逮捕。在DeFi市場中，隨機的用戶能夠“閃電交易”數億或數十億美元并導致價格突然波動，這個問題很明顯。

許多web3項目依賴于“預言機”——提供實時數據的系統，是鏈上無法找到的信息來源。例如，預言機通常用于確定兩種資產之間的交換定價。但攻擊者已經找到方法來欺騙這些所謂的真相來源。

隨著預言機標準化的進展，鏈下和鏈上世界之間將會有更安全的橋梁，我們可以期待市場對操縱嘗試變得更有彈性。運氣好的話，有朝一日這類攻擊可能會幾乎完全消失。

例子

Cream?市場操縱

輪廓

誰：有組織的團體(APT)、獨立黑客和內部人士。

復雜程度：中等。

自動化：高。

對未來的期望：隨著準確定價方法變得更加標準，可能會降低。

新漏洞：未知未知

“Zero-day”漏洞攻擊——之所以這樣命名，是因為它們在出現時就是只公開了0天的漏洞——是信息安全領域的熱點問題，在web3安全領域也不例外。因為它們是突然出現的，所以它們是最難防御的攻擊。

如果有的話，web3讓這些昂貴的、勞動密集型的攻擊更容易貨幣化，因為人們一旦被盜就很難追回加密資金。攻擊者可以花費大量時間仔細研究運行鏈上應用程序的代碼，以找到一個可以證明他們所有努力的錯誤。同時，一些曾經新穎的漏洞繼續困擾著毫無戒心的項目；著名的重入漏洞曾發生在早期的以太坊項目?TheDAO上，如今繼續在其它地方重新出現。

目前尚不清楚該行業將能夠多快或輕松地適應對這些類型的漏洞進行分類，但對審計、監控和工具等安全防御的持續投資將增加攻擊者試圖攻擊這些漏洞的成本。

例子

PolyNetwork的跨鏈交易漏洞

Qubit的無限鑄幣漏洞

輪廓

誰：有組織的團體(APT)、獨立黑客和內部人士。

復雜性：中等-高。

可自動化性：低。

對未來的期望：更多的關注會吸引更多的白帽，并使發現新漏洞的“進入門檻”更高。同時，隨著web3采用的增長，黑帽黑客尋找新漏洞的動機也在增加。就像在許多其他安全領域一樣，這很可能仍然是一場貓捉老鼠的游戲。

Tags：WEBWEB3APTFTXWEBAI幣web3游戲平臺apt幣挖礦APP下載安裝Punk Vault (NFTX)

火幣交易所