月亮链 月亮链
Ctrl+D收藏月亮链

WEB:金色观察|a16z全面解析Web3 安全性:攻击类型和经验教训_aptos币行情

作者:

时间:1900/1/1 0:00:00

web3 的大量安全性依赖于区块链做出承诺和对人为干预具有弹性?的特殊能力。但最终性的相关特征——交易通常是不可逆的——使得这些软件控制的网络成为攻击者的诱人目标。事实上,随着区块链——作为web3基础的分布式计算机网络——及其伴随的技术和应用程序的增值,它们越来越成为攻击者梦寐以求的目标。

尽管 web3 与互联网的早期迭代有所不同,但我们已经观察到与以前的软件安全趋势的共同点。在许多情况下,最大的问题与以往一样。通过研究这些领域,防御者——无论是开发者、安全团队还是日常加密用户——可以更好地保护自己、他们的项目和他们的钱包免受潜在的窃贼的侵害。下面我们根据我们的经验提出一些常见的攻击类型和预测。

攻击者通常旨在最大化投资回报。他们可以花费更多的时间和精力来攻击具有更多“总价值锁定”或 TVL 的协议,因为潜在的回报更大。

资源最丰富的黑客团体更经常瞄准高价值系统。最新的攻击技术也将更频繁地针对这些有价值的目标。

低成本攻击(如网络钓鱼)永远不会消失,我们预计它们在可预见的未来会变得更加普遍

随着开发人员从久经考验的攻击中学习,他们可能会将 web3 软件的状态提高到“默认安全”的程度。通常,这涉及收紧应用程序编程接口或API,?以使人们更难错误地引入漏洞。

虽然安全始终是一项正在进行中的工作——可以肯定的是,没有什么是防黑客的——防御者和开发人员可以通过消除攻击者的大部分唾手可得的果实来提高攻击成本。

金色午报|1月12日午间重要动态一览:7:00-12:00关键词:ETF、渣打银行、LooksRare

1.富达加拿大公司将为两只传统ETF增加比特币敞口;

2.数据:加密对冲基金在2021年的平均回报率为214%;

3.渣打银行2022年全球市场展望:看好金融科技、区块链等行业;

4.哪吒汽车申请“哪吒元宇宙”、“哪铁宇宙”商标;

5.Web3基金会公布第12次资助计划;

6.NFT市场LooksRare日交易量逾2.75亿美元超越OpenSea;

7.巴林中央银行完成JPMCoin数字支付试验;

8.IMF:加密资产与股票同步波动将对金融稳定造成风险;[2022/1/12 8:43:49]

随着安全实践的改进和工具的成熟,以下攻击的成功率可能会大幅下降:治理攻击、价格预言机操纵和重入漏洞。(下面有更多关于这些的内容。)

无法确保“完美”安全性的平台将不得不使用漏洞缓解措施来降低损失的可能性。这可能会通过减少其成本收益分析的“收益”或上行空间来阻止攻击者。

对不同系统的攻击可以根据它们的共同特征进行分类。定义特征包括攻击的复杂程度、攻击的自动化程度以及可以采取哪些预防措施来防御它们。

以下是我们在过去一年中最大的黑客攻击中看到的攻击类型的非详尽列表。我们还包括了我们对当今威胁形势的观察以及我们预计未来 web3 安全性的发展方向。

行情 | 金色热搜榜:PAI再次上榜 ONT居于末位:根据金色财经独家数据显示,在过去24小时内,PAI再次上榜,位列第八。ONT较前一日下降幅度较大,目前位列第十。

具体前十名单如下:BTC、ETH、ETC、ADA、DASH、XRP、QTUM、PAI、USDT、ONT。[2018/8/16]

APT操作:顶级掠食者

专家级对手,通常被称为高级持久威胁(APT),是安全的恶魔。他们的动机和能力差异很大,但他们往往很富裕,正如这个绰号所暗示的那样,他们坚持不懈;不幸的是,他们可能永远在身边。不同的APT运行许多不同类型的运营,但这些威胁行为者往往最不可能直接攻击公司的网络层来实现其目标。

我们知道一些高级团体正在积极瞄准 web3 项目,我们怀疑还有其他人尚未确定。最受关注的 APT 背后的人往往生活在与美国和欧盟没有引渡条约的地方,这使得他们更难因其活动而受到起诉。最著名的 APT 之一是 Lazarus,这是一个朝鲜组织,联邦调查局最近将其归因于进行了迄今为止最大的加密黑客攻击。

举例:Ronin 验证器被破解

简要概括:

谁:民族国家、资金雄厚的犯罪组织和其他先进的有组织的团体。例子包括Ronin黑客(Lazarus,与朝鲜有广泛联系)。?

复杂性:高(仅适用于资源丰富的群体,通常在不会起诉的国家/地区)。

金色快评 | 银行态度转弯 加密货币打开传统金融大门:韩国联合通讯社报道称韩国商业银行到2017年12月份为止持有的加密货币达20亿美元,韩国受监管的金融机构所持的数字资产占其经纪业务资产总额的8%。银行作为传统金融机构持有加密货币一事似乎是一个信号,意味着传统金融业对加密货币这一新鲜事物的逐步接纳。时间回到2017年9月,摩根大通CEO Jamie Dimon称数字货币是“局”,“比郁金香泡沫更糟糕”,并称这不会有好结果,终将破灭。他的这一态度代表着一批传统金融领域人士对于加密货币行业的态度,他们质疑加密货币,并不看好其发展。甚至于到今天依然有银行不愿意为加密货币行业相关的企业提供银行服务,但是我们也能看到随着加密货币行业的发展越来越来的传统金融机构对其敞开了怀抱,据《华尔街日报》报道,美国Silvergate银行的资产总额从9.78亿美元增长到19亿美元以上,主要是缘于对250多家加密货币公司的业务支持。韩国第二大商业银行Shinhan Bank在2017年末宣布支持加密货币资产交易,为用户提供虚拟银行账户及系统为企业进行无缝对接。总部位于纽约的商业银行大都会银行(Metropolitan Bank)透露,该行超过15%的存款与加密货币投资者客户相关,该行也愿意继续支持加密货币资产交易者。加密货币所涉及到的应用场景正逐渐吸引到传统金融业者的目光。[2018/7/9]

可自动化性:低(仍然主要是使用一些自定义工具进行手动操作)

金色财经现场报道 STBChain CEO刘海峰:智能合约对于区块链公司是一项非常大的挑战:金色财经现场报道,在4月3日举办的2018年世界区块链峰会现场,STBChain CEO刘海峰表示:“区块链里有一个很重要的概念,就是智能合约。目前来看,在做软件开发的时候很多状况下都无法把逻辑制定的特别完美,可能会存在一定的逻辑问题与bug,然而智能合约再发出之后便无法修改,仿若泼出去的水,无法再收回。而去中心化指的是移除了一个中心化的服务器,在智能合约的影响下可以让数据可以在各节点进行存储。从而确保了信息的安全性与不可篡改性,所以可以说智能合约非常重要,但由于其特性是后续无法更改,所以智能合约对于各区块链公司来讲,都是一个很大的挑战。”[2018/4/3]

对未来的期望:只要 APT 能够将其活动货币化或实现各种目的,它们就会保持活跃。

以用户为目标的网络钓鱼:社会工程师

网络钓鱼是一个众所周知的普遍问题。网络钓鱼者试图通过各种渠道发送诱饵消息来诱捕他们的猎物,这些渠道包括即时通讯、电子邮件、Twitter、电报、Discord 和被黑网站。如果您浏览垃圾邮件邮箱,您可能会看到数百次企图诱使您泄露密码等信息或窃取您的钱财。?

现在 web3 允许人们直接交易资产,例如代币或NFT,几乎可以立即确定,网络钓鱼活动正在针对其用户。这些攻击是知识或技术专长很少的人通过窃取加密货币来赚钱的最简单方法。即便如此,对于有组织的团体来说,它们仍然是一种有价值的方法来追踪高价值目标,或者对于高级团体来说,通过例如网站接管来发动广泛的、耗尽钱包的攻击。?

金色财经讯:韩国央行行长Lee Ju-yeol周一被问及是否有可能接受加密货币作为法定货币时,他否认了这一说法,认为加密货币是一种商品。[2017/10/26]

直接针对用户的OpenSea网络钓鱼活动

最终包含应用程序的BadgerDAO网络钓鱼攻击

谁:从脚本小子(script kiddie,以黑客自居的初学者)到有组织的团体的任何人。

复杂性:低-中(攻击可以是低质量的“喷雾式”或超针对性的,具体取决于攻击者付出的努力)。

可自动化性:中等-高(大部分工作可以自动化)。

对未来的期望:网络钓鱼的成本很低,网络钓鱼者往往会适应并绕过最新的防御措施,因此我们预计这些攻击的发生率会上升。可以通过提高教育和意识、更好的过滤、改进的警告横幅和更强大的钱包控制来改进用户防御。

供应链漏洞:最薄弱的环节

当汽车制造商发现车辆中的缺陷部件时,他们会发出安全召回;在软件供应链中也不例外。

第三方软件库引入了很大的攻击面。在 web3 之前,这一直是跨系统的安全挑战,例如去年 12 月影响广泛的 Web 服务器软件的log4j 漏洞利用。攻击者将扫描互联网以查找已知漏洞,以找到他们可以利用的未修补漏洞。

导入的代码可能不是项目方自己的技术团队编写的,但其维护至关重要。团队必须监控其软件组件的漏洞,确保部署更新,并及时了解他们所依赖的项目的发展势头和健康状况。web3 软件漏洞利用的真实和即时成本使得负责任地将这些问题传达给图书馆用户具有挑战性。关于团队如何或在何处以一种不会意外使用户资金面临风险的方式相互交流这些信息的结论仍未确定。?

跨链桥项目Wormhole被盗

Multichain 合约漏洞攻击

谁:有组织的团体,例如 APT、个人和内部人士。

复杂性:中等(需要技术知识和一些时间)。

可自动化性:中等(扫描以发现有缺陷的软件组件可以自动化;但是当发现新漏洞时,需要手动构建漏洞利用)。

对未来的期望:随着软件系统的相互依赖和复杂性的增加,供应链漏洞可能会增加。在为 web3 安全开发出良好的、标准化的漏洞披露方法之前,机会主义的黑客攻击也可能会增加。

治理攻击:选举窃取者

这是第一个上榜的特定于加密货币的问题。web3 中的许多项目都包含治理方面,代币持有者可以在其中提出改变网络的提案并对其进行投票。虽然这为持续发展和改进提供了机会,但它也为引入恶意提案打开了后门,如果实施这些提案可能会破坏网络。

攻击者设计了新的方法来规避控制、征用领导权和掠夺国库。曾经是一个理论上的问题,现在已经证明了治理攻击。攻击者可以拿出大量的“闪电贷”来摇摆选票,就像最近发生在去中心化金融项目 Beanstalk 上一样。导致提案自动执行的治理投票更容易被攻击者利用;然而,如果提案的制定存在时间延迟或需要多方手动签署(例如,通过多重签名钱包),则可能更难实现。

举例:算法稳定币Beanstalk?Farms遭遇黑客攻击事件

谁:从有组织的团体 (APT) 到任何人。

复杂性:从低到高,取决于协议。(许多项目都有活跃的论坛、Twitter 和 Discord 上的社区,以及可以轻松暴露更多业余尝试的委派仪表板。)

可自动化性:从低到高,取决于协议。?

对未来的期望:这些攻击高度依赖于治理工具和标准,特别是因为它们与监控和提案制定过程有关。

定价预言机攻击:市场操纵者

准确地为资产定价是困难的。在传统交易领域,通过市场操纵人为抬高或降低资产价格是非法的,这些人可能会因此受到罚款或逮捕。 DeFi 给随机的人提供了“闪电贷”数亿或数十亿美元的可能行,从而导致价格突然波动,在这一领域,问题就凸显出来了。

许多 web3 项目依赖于“预言机”——提供实时数据的系统,并且是链上无法找到的信息来源。例如,预言机通常用于确定两种资产之间的交换定价。但是攻击者已经找到了这些假定真相的来源的方法。

随着预言机标准化的进展,链下和链上世界之间将会有更安全的桥梁,我们可以期待市场对操纵尝试变得更有弹性。运气好的话,有朝一日这类攻击可能会几乎完全消失。

举例:DeFi 协议Cream?Finance闪电贷攻击

谁:有组织的团体 (APT)、个人和内部人士。

复杂程度:中等(需要技术知识)。

自动化程度:高(大多数攻击可能涉及自动化检测可利用问题)。

对未来的期望:随着准确定价方法变得更加标准,可能会降低。

新漏洞:不知之不知

零日漏洞(Zero - day ),是指被发现后立即被恶意利用的安全漏洞。之所以如此命名,是因为它们在出现时就已为人所知——是信息安全领域的热点问题,在 web3 安全领域也不例外。因为它们来得突然,所以它们是最难防御的攻击。

如果有什么不同的话,web3 让这些昂贵的劳动密集型攻击变得更容易货币化,因为人们一旦被盗就很难追回加密资金。攻击者可以花费大量时间仔细研究运行链上应用程序的代码,以找到一个错误以证明他们的努力。同时,一些曾经新颖的漏洞继续困扰着毫无戒心的项目:著名的重入漏洞TheDAO是早期的以太坊企业,今天继续在其他地方重新浮出水面。

目前尚不清楚该行业将能够多快或轻松地适应对这些类型的漏洞进行分类,但对审计、监控和工具等安全防御的持续投资将增加攻击者试图利用这些漏洞的成本。

Poly的跨链交易漏洞

Qubit的无限铸币漏洞

谁:有组织的团体 (APT)、内部人士。

复杂性:中等-高(需要技术知识,但并非所有漏洞都太复杂、无法理解)。

可自动化性:低(发现新漏洞需要时间和精力,而且不太可能自动化;一旦发现,在其他系统中扫描类似问题会更容易)。

对未来的期望:更多的关注会吸引更多的白帽,并使发现新漏洞的“进入门槛”更高。同时,随着 web3 采用的增长,黑帽黑客寻找新漏洞的动机也在增加。就像在许多其他安全领域一样,这很可能仍然是一场猫捉老鼠的游戏。

文章源自:a16z?Riyaz Faizullabhoy 以及 Matt Gleason,金色财经进行全文翻译。原文链接:《Web3 Security: Attack Types and Lessons Learned》

标签:WEBWEB3加密货币APTWebchainMETAWEB3PA币忽悠别人做加密货币局aptos币行情

比特币交易所热门资讯
ZKP:金色观察|Paradigm:零知识证明挖矿或媲美PoW挖矿市场_FFT

零知识密码学是过去 50 年计算机科学中最显着的创新之一。零知识证明 (ZKP) 提供了独特的属性,使其成为各种区块链扩展和隐私解决方案的重要组成部分,包括像StarkNet这样的 ZK rol.

1900/1/1 0:00:00
NFT:引入退款机制的 ERC721R 到底能为 NFT 带来什么?_怎么做区块链

原文标题:《ERC721R 不是万金油,但是会有千千万万个 「ERC721R」 出来!》4 月 11 日,「ERC721R」的 NFT 代币标准发布.

1900/1/1 0:00:00
数字人:警惕 借“数字人民币”_APP

随着数字人民币试点落地天津,我市反诈民警提醒市民,警惕以“数字人民币”为名的新型。“近期,在某些省市发现,子将矛头指向了数字人民币。”我市反诈民警拆解数字人民币新术.

1900/1/1 0:00:00
NFT:金色观察 | Coinbase NFT为特定客户推出测试版 未来将扩展到其他国家_OIN

Coinbase NFT已经以测试版形式上线。它目前支持基于以太坊的NFT和ETH支付。Coinbase 的产品副总裁 Sanchan Saxena指出,即将推出完整的法币入口.

1900/1/1 0:00:00
NFT:NFT:离我们最近的元宇宙单元_元宇宙

随着越来越多的资本和品牌入局,“元宇宙”的热度也被追捧到了新高。那么什么是元宇宙,普通人又该如何理解与融入呢?元宇宙(Metaverse)是利用科技手段进行链接与创造的,与现实世界映射和交互的虚.

1900/1/1 0:00:00
元宇宙:元宇宙火热 其和历史遗迹的融合会成为旅游业的新未来吗?_有可能10倍的元宇宙

我国是历史悠久的文明古国,拥有极其丰富的历史遗迹。各类历史遗迹既是中华优秀传统文化的重要载体,也是旅游业可持续发展的重要基础.

1900/1/1 0:00:00