web3的大量安全性依赖于区块链做出承诺和对人为干预具有弹性?的特殊能力。但最终性的相关特征——交易通常是不可逆的——使得这些软件控制的网络成为攻击者的诱人目标。事实上,随着区块链——作为web3基础的分布式计算机网络——及其伴随的技术和应用程序的增值,它们越来越成为攻击者梦寐以求的目标。
尽管web3与互联网的早期迭代有所不同,但我们已经观察到与以前的软件安全趋势的共同点。在许多情况下,最大的问题与以往一样。通过研究这些领域,防御者——无论是开发者、安全团队还是日常加密用户——可以更好地保护自己、他们的项目和他们的钱包免受潜在的窃贼的侵害。下面我们根据我们的经验提出一些常见的攻击类型和预测。
跟着钱
攻击者通常旨在最大化投资回报。他们可以花费更多的时间和精力来攻击具有更多“总价值锁定”或TVL的协议,因为潜在的回报更大。
资源最丰富的黑客团体更经常瞄准高价值系统。最新的攻击技术也将更频繁地针对这些有价值的目标。
低成本攻击永远不会消失,我们预计它们在可预见的未来会变得更加普遍
修补漏洞
随着开发人员从久经考验的攻击中学习,他们可能会将web3软件的状态提高到“默认安全”的程度。通常,这涉及收紧应用程序编程接口或API,?以使人们更难错误地引入漏洞。
金色热搜榜:HC居于榜首:根据金色财经排行榜数据显示,过去24小时内,HC搜索量高居榜首。具体前五名单如下:HC、HOT、UTK、ELF、QTUM。[2020/9/10]
虽然安全始终是一项正在进行中的工作——可以肯定的是,没有什么是防黑客的——防御者和开发人员可以通过消除攻击者的大部分唾手可得的果实来提高攻击成本。
随着安全实践的改进和工具的成熟,以下攻击的成功率可能会大幅下降:治理攻击、价格预言机操纵和重入漏洞。
无法确保“完美”安全性的平台将不得不使用漏洞缓解措施来降低损失的可能性。这可能会通过减少其成本收益分析的“收益”或上行空间来阻止攻击者。
分类攻击
对不同系统的攻击可以根据它们的共同特征进行分类。定义特征包括攻击的复杂程度、攻击的自动化程度以及可以采取哪些预防措施来防御它们。
以下是我们在过去一年中最大的黑客攻击中看到的攻击类型的非详尽列表。我们还包括了我们对当今威胁形势的观察以及我们预计未来web3安全性的发展方向。
APT操作:顶级掠食者
专家级对手,通常被称为高级持久威胁,是安全的恶魔。他们的动机和能力差异很大,但他们往往很富裕,正如这个绰号所暗示的那样,他们坚持不懈;不幸的是,他们可能永远在身边。不同的APT运行许多不同类型的运营,但这些威胁行为者往往最不可能直接攻击公司的网络层来实现其目标。
金色午报 | 6月17日午间重要动态一览:7:00-12:00关键词:Filecoin、中兴通讯、河北沧州、波卡
1. 中兴通讯联合中国移动等发布《区块链+边缘计算白皮书》。
2. Filecoin官方:测试网将于6月19日上午8点重置。
3. IDC:到2024年中国分布式存储市场规模将达24.6亿美元。
4. 农业农村部:充分利用现代信息手段,提供区块链等前沿课程。
5. 河北沧州将建华为云服务器集群,引入分布式存储技术搭建。
6. 数据:比特币和以太坊实际波动率大幅下降。
7. 波卡将在48小时之内启动NPoS阶段。
8. 数据:持有至少0.1 ETH的地址数量已超3百万个。[2020/6/17]
我们知道一些高级团体正在积极瞄准web3项目,我们怀疑还有其他人尚未确定。最受关注的APT背后的人往往生活在与美国和欧盟没有引渡条约的地方,这使得他们更难因其活动而受到起诉。最著名的APT之一是Lazarus,这是一个朝鲜组织,联邦调查局最近将其归因于进行了迄今为止最大的加密黑客攻击。
举例:Ronin验证器被破解
简要概括:
谁:民族国家、资金雄厚的犯罪组织和其他先进的有组织的团体。例子包括Ronin黑客。?
复杂性:高。
金色晨迅 | Telegram正评估是否推迟上市TON 澳门建立证券市场正处于研究阶段:1.Telegram:正在评估是否需要推迟原定于10月31日上市的TON。
2.CFTC前主席:今年监管机构将增加对加密货币领域的参与。
3.MakerDAO发起新的行政投票,欲将稳定费率下调至9.5%。
4.交易所手续费统计:各交易所最多相差4倍,BitMEX期货交易有补贴。
5.Ripple将xRapid、xVia和xCurrent三种产品整合到RippleNet。
6.Willy Woo:比特币表现具有季节性,5月最强劲,3月最疲软。
7.国际清算银行邀请20多家央行代表齐聚阿根廷探讨稳定币等话题。
8.国务院:支持在深圳开展数字货币研究与移动支付等创新应用。
9.澳门证券交易所方案已上报中央,在澳建立证券市场正处于研究阶段。[2019/10/14]
可自动化性:低
对未来的期望:只要APT能够将其活动货币化或实现各种目的,它们就会保持活跃。
以用户为目标的网络钓鱼:社会工程师
网络钓鱼是一个众所周知的普遍问题。网络钓鱼者试图通过各种渠道发送诱饵消息来诱捕他们的猎物,这些渠道包括即时通讯、电子邮件、Twitter、电报、Discord和被黑网站。如果您浏览垃圾邮件邮箱,您可能会看到数百次企图诱使您泄露密码等信息或窃取您的钱财。?
分析 | 金色盘面:ETH/USDT跌幅扩大 阻力关注280:金色盘面综合分析:ETH/USDT继续扩大跌幅,目前无明显支撑参考,耐心等待恐慌情绪宣泄完毕,上方短线阻力暂时关注280[2018/8/14]
现在web3允许人们直接交易资产,例如代币或NFT,几乎可以立即确定,网络钓鱼活动正在针对其用户。这些攻击是知识或技术专长很少的人通过窃取加密货币来赚钱的最简单方法。即便如此,对于有组织的团体来说,它们仍然是一种有价值的方法来追踪高价值目标,或者对于高级团体来说,通过例如网站接管来发动广泛的、耗尽钱包的攻击。?
举例:
直接针对用户的OpenSea网络钓鱼活动
最终包含应用程序的BadgerDAO网络钓鱼攻击
简要概括:
谁:从脚本小子到有组织的团体的任何人。
复杂性:低-中。
可自动化性:中等-高。
对未来的期望:网络钓鱼的成本很低,网络钓鱼者往往会适应并绕过最新的防御措施,因此我们预计这些攻击的发生率会上升。可以通过提高教育和意识、更好的过滤、改进的警告横幅和更强大的钱包控制来改进用户防御。
供应链漏洞:最薄弱的环节
金色财经现场报道 陈伟星:区块链的价值基于共识,的确很多人赚到了钱:金色财经现场报道,在GMIC全球区块链峰会“艾问·陈伟星”环节,在被问到区块链世界真的那么好赚钱这个问题时,陈伟星表示:关于割韭菜的问题,一方面的确有人做坏事,搞搞欺诈;另一方面也的确存在共识。例如比特币就是一种真的共识,所以它的欺诈就很小,并且产生了很大的市值。共识是区块链里特别不容易被理解的东西,现在区块链世界里的确有很多钱,比特币、以太坊或许只是猜想,但市值真的出现了。即便那么多人实际上并没有创造出真正的财富,但却分享了加密货币市场5000亿美元的市值,所以确实有很多人赚到了钱。[2018/4/27]
当汽车制造商发现车辆中的缺陷部件时,他们会发出安全召回;在软件供应链中也不例外。
第三方软件库引入了很大的攻击面。在web3之前,这一直是跨系统的安全挑战,例如去年12月影响广泛的Web服务器软件的log4j漏洞利用。攻击者将扫描互联网以查找已知漏洞,以找到他们可以利用的未修补漏洞。
导入的代码可能不是项目方自己的技术团队编写的,但其维护至关重要。团队必须监控其软件组件的漏洞,确保部署更新,并及时了解他们所依赖的项目的发展势头和健康状况。web3软件漏洞利用的真实和即时成本使得负责任地将这些问题传达给图书馆用户具有挑战性。关于团队如何或在何处以一种不会意外使用户资金面临风险的方式相互交流这些信息的结论仍未确定。?
举例:
跨链桥项目Wormhole被盗
Multichain合约漏洞攻击
简要概括:
谁:有组织的团体,例如APT、个人和内部人士。
复杂性:中等。
可自动化性:中等。
对未来的期望:随着软件系统的相互依赖和复杂性的增加,供应链漏洞可能会增加。在为web3安全开发出良好的、标准化的漏洞披露方法之前,机会主义的黑客攻击也可能会增加。
治理攻击:选举窃取者
这是第一个上榜的特定于加密货币的问题。web3中的许多项目都包含治理方面,代币持有者可以在其中提出改变网络的提案并对其进行投票。虽然这为持续发展和改进提供了机会,但它也为引入恶意提案打开了后门,如果实施这些提案可能会破坏网络。
攻击者设计了新的方法来规避控制、征用领导权和掠夺国库。曾经是一个理论上的问题,现在已经证明了治理攻击。攻击者可以拿出大量的“闪电贷”来摇摆选票,就像最近发生在去中心化金融项目Beanstalk上一样。导致提案自动执行的治理投票更容易被攻击者利用;然而,如果提案的制定存在时间延迟或需要多方手动签署,则可能更难实现。
举例:算法稳定币Beanstalk?Farms遭遇黑客攻击事件
简要概括:
谁:从有组织的团体(APT)到任何人。
复杂性:从低到高,取决于协议。
可自动化性:从低到高,取决于协议。?
对未来的期望:这些攻击高度依赖于治理工具和标准,特别是因为它们与监控和提案制定过程有关。
定价预言机攻击:市场操纵者
准确地为资产定价是困难的。在传统交易领域,通过市场操纵人为抬高或降低资产价格是非法的,这些人可能会因此受到罚款或逮捕。DeFi给随机的人提供了“闪电贷”数亿或数十亿美元的可能行,从而导致价格突然波动,在这一领域,问题就凸显出来了。
许多web3项目依赖于“预言机”——提供实时数据的系统,并且是链上无法找到的信息来源。例如,预言机通常用于确定两种资产之间的交换定价。但是攻击者已经找到了这些假定真相的来源的方法。
随着预言机标准化的进展,链下和链上世界之间将会有更安全的桥梁,我们可以期待市场对操纵尝试变得更有弹性。运气好的话,有朝一日这类攻击可能会几乎完全消失。
举例:DeFi协议Cream?Finance闪电贷攻击
简要概括:
谁:有组织的团体(APT)、个人和内部人士。
复杂程度:中等。
自动化程度:高。
对未来的期望:随着准确定价方法变得更加标准,可能会降低。
新漏洞:不知之不知
零日漏洞,是指被发现后立即被恶意利用的安全漏洞。之所以如此命名,是因为它们在出现时就已为人所知——是信息安全领域的热点问题,在web3安全领域也不例外。因为它们来得突然,所以它们是最难防御的攻击。
如果有什么不同的话,web3让这些昂贵的劳动密集型攻击变得更容易货币化,因为人们一旦被盗就很难追回加密资金。攻击者可以花费大量时间仔细研究运行链上应用程序的代码,以找到一个错误以证明他们的努力。同时,一些曾经新颖的漏洞继续困扰着毫无戒心的项目:著名的重入漏洞TheDAO是早期的以太坊企业,今天继续在其他地方重新浮出水面。
目前尚不清楚该行业将能够多快或轻松地适应对这些类型的漏洞进行分类,但对审计、监控和工具等安全防御的持续投资将增加攻击者试图利用这些漏洞的成本。
举例:
Poly的跨链交易漏洞
Qubit的无限铸币漏洞
简要概括:
谁:有组织的团体(APT)、内部人士。
复杂性:中等-高。
可自动化性:低。
对未来的期望:更多的关注会吸引更多的白帽,并使发现新漏洞的“进入门槛”更高。同时,随着web3采用的增长,黑帽黑客寻找新漏洞的动机也在增加。就像在许多其他安全领域一样,这很可能仍然是一场猫捉老鼠的游戏。
文章源自:a16z?RiyazFaizullabhoy以及MattGleason,金色财经进行全文翻译。原文链接:《Web3Security:AttackTypesandLessonsLearned》
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。