本文来自a16z,作者为 Riyaz Faizullabhoy 和 Matt Gleason,以下由 DeFi 之道编译。 web3 的安全性在很大程度上取决于区块链做出承诺的特殊能力和对人类干预的弹性。但相关的最终性特征 -- 交易通常是不可逆的 -- 使这些软件控制的网络成为攻击者的诱人目标。事实上,随着区块链 -- 作为 web3 基础的分布式计算机网络 -- 及其伴随的技术和应用不断积累价值,它们成为了攻击者越来越垂涎的目标。 尽管 web3 与早期的互联网不同,但我们已经观察到了与以前的软件安全趋势的共同之处。在许多情况下,最大的问题仍然和以前一样。通过研究这些领域,防御者 -- 无论是建设者、安全团队,还是日常的加密用户 -- 可以更好地保护他们自己、项目和钱包免受潜在黑客的侵害。下面我们将介绍一些共同的主题和基于我们经验的预测。 追逐金钱
弥补漏洞
对攻击进行分类
以下是我们在过去一年最大的黑客攻击中看到的攻击类型的一个非详尽的列表。此外,还囊括了我们对当今威胁形势的观察,以及我们对 web3 安全未来发展的期望。 APT:顶级掠食者专家对手,通常被称为高级持续性威胁(APTs),是安全领域的恶魔。他们的动机和能力千差万别,但他们往往很有钱,而且正如其名称所暗示的那样,具有持久性;不幸的是,他们很可能会一直存在。不同的 APTs 运行许多不同类型的操作,但这些威胁行为者往往最可能直接攻击公司的网络层以实现其目标。 我们知道一些先进的团体正在积极针对 web3 项目,我们怀疑还有一些人尚未被发现。最令人关注的 APTs 背后的人往往居住在与美国和欧盟没有引渡条约的地方,使他们更难因其活动而被起诉。最知名的 APTs 之一是 Lazarus,这是一个朝鲜团体,联邦调查局最近认为它进行了迄今为止最大的加密黑客攻击。 例子:
概况
针对用户的网络钓鱼:社会工程师网络钓鱼是一个众所周知、无处不在的问题。钓鱼者试图通过各种渠道发送诱饵信息来诱捕他们的猎物,包括即时通讯工具、电子邮件、Twitter、Telegram、Discord 和被黑的网站。如果你浏览你的垃圾邮件信箱,你可能会看到数以百计封邮件,诱使你泄露信息,如密码,或窃取你的金钱。 现在,web3 允许人们直接交易资产,如代币或 NFT,且几乎是即时的最终结果,网络钓鱼活动正在针对 web3 用户。这些攻击是没有什么知识或技术专长的人窃取加密货币牟利的最简单方法。即便如此,它们仍然是有组织的团体追求高价值目标的重要方法,或者是高级团体通过网站接管等方式发动广泛的、消耗钱包的攻击。 例子
概况
供应链的脆弱性:最薄弱的一环当汽车制造商发现车辆中存在有缺陷的部件时,他们会发布安全召回;这在软件供应链中也是一样的。 第三方软件库会引入巨大的攻击面。在 web3 之前,这早已是整个系统的安全挑战,例如去年 12 月的 log4 j 漏洞,影响了大规模的网络服务器软件。攻击者会在互联网上扫描已知的漏洞,找到他们可以利用的未修补的问题。 导入的代码可能不是你自己的工程团队写的,但它的维护是至关重要的。团队必须监控其软件的组成部分是否存在漏洞,确保部署更新,并随时了解他们所依赖的项目的势头和健康状况。利用 web3 软件漏洞的真实和即时成本使得负责任地将这些问题传达给用户成为一种挑战。关于团队如何或在哪里以一种不会意外地将用户资金置于风险中的方式相互交流这些信息,目前还没有定论。 例子
概况
治理攻击:选举窃取者这是第一个上到该表单的加密具体问题。web3 中的许多项目都包括治理,其中代币持有者可以提出并投票决定改变网络的建议。虽然这提供了一个持续发展和改进的机会,但它也为引入恶意建议打开了一扇后门,这些建议一旦实施,可能会破坏网络。 攻击者已经设计了新的方法来规避控制,征用领导权,并掠夺财富。治理攻击曾经是一种理论上的担忧,但现在已被证明可行。攻击者可以通过大规模的“闪电贷”来影响投票,就像最近发生在去中心化金融(DeFi)项目 Beanstalk 上的那样。导致提案自动执行的治理投票更容易被攻击者利用;而如果提案的颁布有时间延迟或需要多方的手动签署(例如,通过多签钱包),则较难成功。 例子
概况
定价预言机攻击:市场操纵者准确地为资产定价是很难的。在传统的交易领域,通过操纵市场人为地抬高或压低资产价格是非法的,你可能因此被罚款和/或逮捕。在 DeFi 中,它使得随机个人有能力“闪电交易”数亿或数十亿美元,造成价格的突然波动,而且这个问题很明显。 许多 web3 项目依靠“预言机”-- 提供实时数据的系统,是链下信息的来源。例如,“预言机”经常被用来确定两种资产之间的交换价格。但攻击者已经找到了愚弄这些所谓真相来源的方法。 随着预言机标准化的进展,链下和链上世界之间将有更安全的桥梁可用,我们可以期待市场对操纵企图变得更具弹性。如果运气好的话,有一天这类攻击有可能会完全消失。 例子
概况
新颖漏洞:未知的不确定因素“零日”漏洞 -- 又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞 -- 是信息安全领域的一个热点问题,在 Web3 安全领域也不例外。因为它们是突然出现的,所以是最难抵御的攻击。 如果有的话,web3 使这些昂贵的、劳动密集型的攻击更容易获益,因为一旦加密货币资金被盗,人们就很难将其追回。攻击者可以花大量时间研究运行在链上应用程序的代码,找到一个可以证明他们所有努力的漏洞。同时,一些曾经新颖的漏洞继续困扰着毫无戒心的项目;曾使早期以太坊企业 丧生的重入漏洞,今天依旧在其他地方重新出现。目前还不清楚这个行业能够多快或多容易地适应这些类型的漏洞,但对安全防御的持续投资,如审计、监控和工具,将增加攻击者寻求利用这些漏洞的成本。 例子
概况
|