web3的安全性在很大程度上取决于区块链做出承诺的特殊能力和对人类干预的弹性。但相关的最终性特征--交易通常是不可逆的--使这些软件控制的网络成为攻击者的诱人目标。事实上,随着区块链--作为web3基础的分布式计算机网络--及其伴随的技术和应用不断积累价值,它们成为了攻击者越来越垂涎的目标。
尽管web3与早期的互联网不同,但我们已经观察到了与以前的软件安全趋势的共同之处。在许多情况下,最大的问题仍然和以前一样。通过研究这些领域,防御者--无论是建设者、安全团队,还是日常的加密用户--可以更好地保护他们自己、项目和钱包免受潜在黑客的侵害。下面我们将介绍一些共同的主题和基于我们经验的预测。
追逐金钱
攻击者通常以投资回报最大化为目标。他们可以花费更多的时间和精力来攻击具有更多“总价值锁定”的协议,因为潜在的回报更大。
资源最丰富的黑客组织更经常地攻击高价值系统。最具价值的新型攻击也更频繁地瞄准这些有价值的目标。
低成本攻击--如网络钓鱼--永远不会消失,而且我们预计在可预见的未来,它们会变得更加普遍。
弥补漏洞
随着开发人员从经过验证的攻击中学习,他们可能会改善Web3软件的状态,使其变得“默认安全”。通常情况下,这涉及到收紧应用程序接口,或API,使人们更难错误引入漏洞。
虽然安全问题始终是一项进展中的工作--而且可以肯定的是,没有什么东西是可以防黑客的--但防御者和开发者可以通过消除攻击者容易实现的目标来提高攻击成本。
The Information:a16z首支Web3基金已部分兑现,收益率高达300%:10月21日消息,a16z规模为 3 个亿美元的第一支加密基金在去年的加密牛市中兑现了部分收益,目前已经返还给 LP 这一基金原始规模的 3 倍。该基金的其余部分仍然未兑现。但据知情人士透露, 理论上,这支基金的回报可能会高达 10 倍(尽管如果当前的加密熊市持续低迷,可能会让收益缩小)。(The Information)[2022/10/21 16:34:28]
随着安全实践的改进和工具的成熟,以下攻击的成功率可能会大幅下降:治理攻击、价格预言机操纵和重入错误。。
无法确保“完美”安全性的平台将不得不使用漏洞缓解措施来降低损失的可能性。这可以通过减少其成本效益分析的“好处”或上行部分来阻止攻击者。
对攻击进行分类
对不同系统的攻击可以根据其共同特征进行分类。定义的特征包括攻击的复杂程度,攻击的自动化程度,以及可以采取什么预防措施来防御它们。
以下是我们在过去一年最大的黑客攻击中看到的攻击类型的一个非详尽的列表。此外,还囊括了我们对当今威胁形势的观察,以及我们对web3安全未来发展的期望。
APT:顶级掠食者
a16团队成员等提出新的MakerDAO代币经济模型提案:金色财经报道,据MakerDAO论坛公告,a16z团队成员与RIpplewoodAdvisors成员@luca_pro共同提出新的MakerDAO代币经济模型提案。重点包括:(1)通过链下融资结构中的额外资本缓冲为MKR代币创建新用例;建立二级计息保险基金,作为二级盈余缓冲的补充层;对MakerDAO中的某些拍卖实施支持MKR的激励措施。(2)通过新的MKR质押奖励系统,提升投票参与度和一致性;为核心单位提供更大的运营灵活性,减少投票要求;通过社区拨款创建新的MakerDAO治理仪表板。以及(3)增加系统盈余缓冲等。[2022/3/24 14:14:22]
专家对手,通常被称为高级持续性威胁,是安全领域的恶魔。他们的动机和能力千差万别,但他们往往很有钱,而且正如其名称所暗示的那样,具有持久性;不幸的是,他们很可能会一直存在。不同的APTs运行许多不同类型的操作,但这些威胁行为者往往最可能直接攻击公司的网络层以实现其目标。
我们知道一些先进的团体正在积极针对web3项目,我们怀疑还有一些人尚未被发现。最令人关注的APTs背后的人往往居住在与美国和欧盟没有引渡条约的地方,使他们更难因其活动而被起诉。最知名的APTs之一是Lazarus,这是一个朝鲜团体,联邦调查局最近认为它进行了迄今为止最大的加密黑客攻击。
例子:
Ronin验证器黑客
概况
谁:民族国家、资金雄厚的犯罪组织和其他先进的有组织团体。例子包括Ronin黑客。
a16z高管:美国国会议员首次通过委员会全体听证会来强调Web3是互联网的未来:12月9日消息,今日在美国国会的加密听证会上,a16z 政策主管 Tomicah Tilleman 表示:这是国会议员首次通过委员会全体听证会这个平台来强调 Web3 是互联网的未来。这是关于去中心化技术的全国性讨论中一个历史性的转折点,委员会成员承认 Web3 平台有潜力解决许多他们关心的问题,包括汇款和金融普惠。迄今为止,所有与会者的发言都是合理且具备建设性的。到目前为止,一切顺利。
众议员 Patrick McHenry 接着向 Bitfury 首席执行官 Brian Brooks 提出了一个关于 Web 3 的问题,Brooks 随后概述了他如何定义 Web1、Web2 和 Web3 之间的区别。[2021/12/9 13:00:23]
复杂程度:高。
自动化程度:低。
对未来的期望:只要APT能够使其活动盈利或达到各种目的,他们就会继续活跃。
针对用户的网络钓鱼:社会工程师
网络钓鱼是一个众所周知、无处不在的问题。钓鱼者试图通过各种渠道发送诱饵信息来诱捕他们的猎物,包括即时通讯工具、电子邮件、Twitter、Telegram、Discord和被黑的网站。如果你浏览你的垃圾邮件信箱,你可能会看到数以百计封邮件,诱使你泄露信息,如密码,或窃取你的金钱。
消息人士:Axie Infinity正在以30亿美元估值进行1.5亿美元融资,a16z领投:10月5日消息,据媒体The Information从两位知情人士获得的信息,NFT游戏Axie Infinity的开发商SkyMavis正在进行约1.5亿美元的B轮融资,估值接近30亿美元,将由a16z领投,Paradigm也将参与投资。SkyMavis的上一次融资在今年5月,当时完成了750万美元A轮融资,由Libertus Capital领投,其他投资者包括Reddit联合创始人Alexis Ohanian、Mark Cuban等。[2021/10/5 17:24:37]
现在,web3允许人们直接交易资产,如代币或NFT,且几乎是即时的最终结果,网络钓鱼活动正在针对web3用户。这些攻击是没有什么知识或技术专长的人窃取加密货币牟利的最简单方法。即便如此,它们仍然是有组织的团体追求高价值目标的重要方法,或者是高级团体通过网站接管等方式发动广泛的、消耗钱包的攻击。
例子
直接针对用户的?OpenSea网络钓鱼活动
BadgerDAO网络钓鱼攻击
概况
谁:任何人,从脚本新手到有组织的团体。
复杂程度:中低。
自动化程度:中高。
对未来的期望:网络钓鱼很简单,而且网络钓鱼者倾向于适应--并绕过--最新的防御系统,因此我们预计这些攻击的发生率会上升。用户可以通过加强教育和意识、更好的过滤、改进的警告标语和更强大的钱包控制来更好的防御攻击。
a16z正在为其DeFi投资寻找代币委托人:金色财经报道,风险投资公司Andreessen Horowitz(a16z)正在为其DeFi投资寻找代币委托人,其DeFi投资包括去中心化交易所Uniswap和贷款协议Compound。根据a16z的Alex Kroeger的推文,已邀请有兴趣的参与者通过谷歌表单填写申请。根据申请,a16z还在为其在去中心化衍生品交易所dYdX和稳定币平台Maker和Fei中的份额寻求代表。据悉,代币委托是去中心化金融中的一个过程,治理代币的持有者将其相应的投票权外包给第三方,减少了早期投资者和创始人的投票权。A16z现有的Uniswap和Compound代币委托人包括大学组织、非营利组织、初创公司和社区领袖,如哈佛法学院的区块链和金融科技计划、Kiva、Gauntlet和Getty Hill。[2021/9/11 23:17:09]
供应链的脆弱性:最薄弱的一环
当汽车制造商发现车辆中存在有缺陷的部件时,他们会发布安全召回;这在软件供应链中也是一样的。
第三方软件库会引入巨大的攻击面。在web3之前,这早已是整个系统的安全挑战,例如去年12月的log4j漏洞,影响了大规模的网络服务器软件。攻击者会在互联网上扫描已知的漏洞,找到他们可以利用的未修补的问题。
导入的代码可能不是你自己的工程团队写的,但它的维护是至关重要的。团队必须监控其软件的组成部分是否存在漏洞,确保部署更新,并随时了解他们所依赖的项目的势头和健康状况。利用web3软件漏洞的真实和即时成本使得负责任地将这些问题传达给用户成为一种挑战。关于团队如何或在哪里以一种不会意外地将用户资金置于风险中的方式相互交流这些信息,目前还没有定论。
例子
Wormhole桥黑客
Multichain漏洞披露黑客
概况
谁:有组织的团体,如APTs,单独行动者,和内部人员。
复杂程度:中等。
自动化程度:中等。
对未来的期望:随着软件系统的相互依赖性和复杂性的提高,供应链的漏洞可能会增加。在为Web3安全开发出良好的、标准化的漏洞披露方法之前,机会性的黑客攻击也可能会增加。
治理攻击:选举窃取者
这是第一个上到该表单的加密具体问题。web3中的许多项目都包括治理,其中代币持有者可以提出并投票决定改变网络的建议。虽然这提供了一个持续发展和改进的机会,但它也为引入恶意建议打开了一扇后门,这些建议一旦实施,可能会破坏网络。
攻击者已经设计了新的方法来规避控制,征用领导权,并掠夺财富。治理攻击曾经是一种理论上的担忧,但现在已被证明可行。攻击者可以通过大规模的“闪电贷”来影响投票,就像最近发生在去中心化金融项目Beanstalk上的那样。导致提案自动执行的治理投票更容易被攻击者利用;而如果提案的颁布有时间延迟或需要多方的手动签署,则较难成功。
例子
Beanstalk资金盗用
概况
谁:任何人,从有组织的团体到独立行为者。
复杂程度:从低到高,取决于协议。。
自动化程度:从低到高,取决于协议。
对未来的期望:这些攻击高度依赖于治理工具和标准,特别是与监测和提案颁布过程有关的。
定价预言机攻击:市场操纵者
准确地为资产定价是很难的。在传统的交易领域,通过操纵市场人为地抬高或压低资产价格是非法的,你可能因此被罚款和/或逮捕。在DeFi中,它使得随机个人有能力“闪电交易”数亿或数十亿美元,造成价格的突然波动,而且这个问题很明显。
许多web3项目依靠“预言机”--提供实时数据的系统,是链下信息的来源。例如,“预言机”经常被用来确定两种资产之间的交换价格。但攻击者已经找到了愚弄这些所谓真相来源的方法。
随着预言机标准化的进展,链下和链上世界之间将有更安全的桥梁可用,我们可以期待市场对操纵企图变得更具弹性。如果运气好的话,有一天这类攻击有可能会完全消失。
例子
Cream市场操纵
概况
谁:有组织的团体、个人行为者和内部人员。
复杂程度:中等。
自动化程度:高。
对未来的期望:随着准确定价的方法变得更加标准,这类攻击可能会减少。
新颖漏洞:未知的不确定因素
“零日”漏洞--又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞--是信息安全领域的一个热点问题,在Web3安全领域也不例外。因为它们是突然出现的,所以是最难抵御的攻击。
如果有的话,web3使这些昂贵的、劳动密集型的攻击更容易获益,因为一旦加密货币资金被盗,人们就很难将其追回。攻击者可以花大量时间研究运行在链上应用程序的代码,找到一个可以证明他们所有努力的漏洞。同时,一些曾经新颖的漏洞继续困扰着毫无戒心的项目;曾使早期以太坊企业TheDAO丧生的重入漏洞,今天依旧在其他地方重新出现。
目前还不清楚这个行业能够多快或多容易地适应这些类型的漏洞,但对安全防御的持续投资,如审计、监控和工具,将增加攻击者寻求利用这些漏洞的成本。
例子
Poly跨链交易漏洞
Qubit无限铸币漏洞
概况
谁:有组织的团体,单一行动者,以及内部人员。
复杂程度:中高。
自动化程度:低。
对未来的期望:更多的关注吸引了更多的白帽,使发现新漏洞的“门槛”更高。同时,随着web3应用的增加,黑客们寻找新漏洞的动机也在增加。这可能仍然是一场猫鼠游戏,就像它在许多其他安全领域一样。?
本文来自?a16z,作者为RiyazFaizullabhoy和MattGleason,以下由DeFi之道编译。
今早一觉睡起来看群里大家都在讨论昨晚NBA带给科学家的狂欢,据说有人直接freemint了100个,按照现在0.4ETH的地板价也有一百万人民币了,原由是合约又出现了漏洞.
1900/1/1 0:00:00自2017年前后ICO市场的衰落,以及加密货币炒作约两年的冷静期以来,Crypto投资界迎来了回光返照时刻。开发人员和技术企业家创造了新的行业旨在引起投资者的兴趣.
1900/1/1 0:00:00希望我们不要生活在一个互联网的主要货币被称为「ApeCoin」的世界里。最近,ApeCoin董事会的一位成员联系了我,他们要求我对一些提案提供一些反馈,然后我在电话中提出了我的想法.
1900/1/1 0:00:00报告前言开门见山,我们团队在NFT法律服务行业一直处于龙头地位,服务头部客户,积累了丰富的实战经验,为反哺行业,避免数字藏品步网贷等昙花一现行业的后尘,特撰写40000字+法律风险研究报告.
1900/1/1 0:00:00加强诉源治理,推动矛盾纠纷源头化解必须加强非诉讼纠纷解决机制建设。当前,区块链技术为社会信用体系的建设及诉源治理提供了广阔的技术平台,运用智慧仲裁方式解决基于区块链技术的智能合约纠纷,不仅能够推.
1900/1/1 0:00:00美国联邦公开市场委员会当地时间周三公布最新利率决议,将基准利率上调50个基点至0.75%-1.00%区间,为2000年5月以来最大幅度加息,符合市场预期.
1900/1/1 0:00:00