區塊鏈:金色觀察｜a16z全面解析Web3 安全性：攻擊類型和經驗教訓_AAptitude

web3 的大量安全性依賴于區塊鏈做出承諾和對人為干預具有彈性?的特殊能力。但最終性的相關特征——交易通常是不可逆的——使得這些軟件控制的網絡成為攻擊者的誘人目標。事實上，隨著區塊鏈——作為web3基礎的分布式計算機網絡——及其伴隨的技術和應用程序的增值，它們越來越成為攻擊者夢寐以求的目標。

盡管 web3 與互聯網的早期迭代有所不同，但我們已經觀察到與以前的軟件安全趨勢的共同點。在許多情況下，最大的問題與以往一樣。通過研究這些領域，防御者——無論是開發者、安全團隊還是日常加密用戶——可以更好地保護自己、他們的項目和他們的錢包免受潛在的竊賊的侵害。下面我們根據我們的經驗提出一些常見的攻擊類型和預測。

攻擊者通常旨在最大化投資回報。他們可以花費更多的時間和精力來攻擊具有更多“總價值鎖定”或 TVL 的協議，因為潛在的回報更大。

資源最豐富的黑客團體更經常瞄準高價值系統。最新的攻擊技術也將更頻繁地針對這些有價值的目標。

低成本攻擊（如網絡釣魚）永遠不會消失，我們預計它們在可預見的未來會變得更加普遍

隨著開發人員從久經考驗的攻擊中學習，他們可能會將 web3 軟件的狀態提高到“默認安全”的程度。通常，這涉及收緊應用程序編程接口或API，?以使人們更難錯誤地引入漏洞。

雖然安全始終是一項正在進行中的工作——可以肯定的是，沒有什么是防黑客的——防御者和開發人員可以通過消除攻擊者的大部分唾手可得的果實來提高攻擊成本。

分析 | 金色盤面：漲跌幅榜分析:金色盤面綜合分析： 我們看今天市值前100位幣種漲跌幅榜的情況，市值居前25位的幣種僅有3只上漲，市場整體呈現下跌態勢，在BTC方向趨勢不明的情況下，資金追高意愿不強，短線觀望為主。[2018/8/21]

隨著安全實踐的改進和工具的成熟，以下攻擊的成功率可能會大幅下降：治理攻擊、價格預言機操縱和重入漏洞。（下面有更多關于這些的內容。）

無法確保“完美”安全性的平臺將不得不使用漏洞緩解措施來降低損失的可能性。這可能會通過減少其成本收益分析的“收益”或上行空間來阻止攻擊者。

對不同系統的攻擊可以根據它們的共同特征進行分類。定義特征包括攻擊的復雜程度、攻擊的自動化程度以及可以采取哪些預防措施來防御它們。

以下是我們在過去一年中最大的黑客攻擊中看到的攻擊類型的非詳盡列表。我們還包括了我們對當今威脅形勢的觀察以及我們預計未來 web3 安全性的發展方向。

APT操作：頂級掠食者

專家級對手，通常被稱為高級持久威脅（APT），是安全的惡魔。他們的動機和能力差異很大，但他們往往很富裕，正如這個綽號所暗示的那樣，他們堅持不懈；不幸的是，他們可能永遠在身邊。不同的APT運行許多不同類型的運營，但這些威脅行為者往往最不可能直接攻擊公司的網絡層來實現其目標。

金色財經現場報道 越南司法部Le Ngoc Giang： 區塊鏈增加了透明度并且降低成本和欺詐:金色財經現場報道，在火幣Pro舉辦的越南Blockchain Festival千人大會上，越南司法部、法律政策專家Le Ngoc Giang先生以《越南區塊鏈行業發展之路》為主題進行了演講，他指出： 區塊鏈增加了透明度并且降低成本和欺詐。可以通過數據控制和優化來實現區塊鏈的解決方案，通過可信支付布局區塊鏈。但挑戰是消費者數據的質量和數量仍然很低，在發展中地區，仍然依賴于使用技術手段的舊技術并且可能有20億人沒有銀行賬戶。我們仍處于區塊鏈的早期階段，其優勢在于，區塊鏈使得很多不可能成為可能，而且不需要第三方破壞數據的完整性。區塊鏈本身不是解決方案，但它可以解決問題。對于企業來說，要積極主動而不是被動構建。對于政策制定者來說，要給新技術空間，但要清楚風險所在。[2018/5/24]

我們知道一些高級團體正在積極瞄準 web3 項目，我們懷疑還有其他人尚未確定。最受關注的 APT 背后的人往往生活在與美國和歐盟沒有引渡條約的地方，這使得他們更難因其活動而受到起訴。最著名的 APT 之一是 Lazarus，這是一個朝鮮組織，聯邦調查局最近將其歸因于進行了迄今為止最大的加密黑客攻擊。

舉例：Ronin 驗證器被破解

簡要概括：

誰：民族國家、資金雄厚的犯罪組織和其他先進的有組織的團體。例子包括Ronin黑客（Lazarus，與朝鮮有廣泛聯系）。?

金色財經獨家分析 如推出央行數字貨幣 考量因素遠不限于技術:今日《經濟日報》刊文分析展望央行推出數字貨幣的可能，其中指出了技術因素的同時揭示了數字貨幣對整個金融體系的變革。數字貨幣將從根本上改變貨幣生產、傳輸、交易的流程，對支付體將是一次重大改革，在降低成本的同時，對于可能造成的管控是需要新的體系配套，金色財經認為這才是目前央行數字貨幣推行的關鍵問題。金色財經分析，日前各國對于數字貨幣也頻頻發聲，日本因可能對現有金融體系的影響、韓國因為與法律體系可能的沖突都表示未有發行央行數字貨幣的計劃；瑞士也因央行數字貨幣對金融體系影響的擔憂持謹慎態度。但同時，我們也看到像泰國這樣支持央行數字貨幣發行的國家，R3也表示，某種形式的加密貨幣或將推出，相關與各國央行的對話也正在進行，總體看，相關組織、機構不僅應該注重解決技術問題，更應該為配套政策提供切實可行的建議。[2018/4/20]

復雜性：高（僅適用于資源豐富的群體，通常在不會起訴的國家/地區）。

可自動化性：低（仍然主要是使用一些自定義工具進行手動操作）

對未來的期望：只要 APT 能夠將其活動貨幣化或實現各種目的，它們就會保持活躍。

以用戶為目標的網絡釣魚：社會工程師

網絡釣魚是一個眾所周知的普遍問題。網絡釣魚者試圖通過各種渠道發送誘餌消息來誘捕他們的獵物，這些渠道包括即時通訊、電子郵件、Twitter、電報、Discord 和被黑網站。如果您瀏覽垃圾郵件郵箱，您可能會看到數百次企圖誘使您泄露密碼等信息或竊取您的錢財。?

金色財經獨家分析 俄羅斯封殺事件暴露出監管與去中心化和平共處仍需探索:俄羅斯政府對Telegram采取了更嚴厲的封禁措施。據俄羅斯當地媒體報道，俄羅斯電信監管機構已經封鎖了超過200萬個谷歌和亞馬遜云服務下的IP地址。俄羅斯聯邦安全局曾多次要求Telegram交出私鑰，使得他們能夠查看存儲在用戶之間加密聊天記錄。但由于Telegram多次拒絕這一請求，俄羅斯國家電信監管機構最終發出通知，禁止在俄羅斯境內訪問Telegram。金色財經獨家分析，我們其實很難說Telegram嚴守數據的行為是有罪的，它的做法也是出于自身的本分與義務。但難道政府的監管就錯了嗎，亦不是，是政府監管與區塊鏈技術的“去中心化”還未找到一個中間點來達到兩者的平衡。或者說，兩者和平的共生方式還處于探索階段。[2018/4/18]

現在 web3 允許人們直接交易資產，例如代幣或NFT，幾乎可以立即確定，網絡釣魚活動正在針對其用戶。這些攻擊是知識或技術專長很少的人通過竊取加密貨幣來賺錢的最簡單方法。即便如此，對于有組織的團體來說，它們仍然是一種有價值的方法來追蹤高價值目標，或者對于高級團體來說，通過例如網站接管來發動廣泛的、耗盡錢包的攻擊。?

直接針對用戶的OpenSea網絡釣魚活動

最終包含應用程序的BadgerDAO網絡釣魚攻擊

誰：從腳本小子（script kiddie，以黑客自居的初學者）到有組織的團體的任何人。

金色財經現場報道 LaneAxis首席執行官Rick Burnett：將整個運輸合約放到區塊鏈上:金色財經前方記者實時報道，4月12日舉辦的第二屆全球金融科技與區塊鏈中國峰會2018上，LaneAxis首席執行官Rick Burnett做了主題為“直接發貨人和承運人：區塊鏈如何改變物流運輸業”的演講，他表示，卡車依然占80%的運輸額，整個卡車業仍然存在很多第三方物流，由中間商代理運輸流程，中間商占15%-30%的運輸成本，在美國有超過7000家卡車運輸企業，多數為小企業，整個網絡非常不透明，其中涉及大量的人工工作，大量物流工作外包，而通過區塊鏈技術，將物流運輸業服務嵌入到區塊鏈之中，將整個合約放到區塊鏈上，并驗證訂單有效性，這樣就能夠減少中間的人工環節，用技術保證交易的實時成交，所有的信息都記錄到區塊鏈上，并且這些信息都不會被篡改。[2018/4/12]

復雜性：低-中（攻擊可以是低質量的“噴霧式”或超針對性的，具體取決于攻擊者付出的努力）。

可自動化性：中等-高（大部分工作可以自動化）。

對未來的期望：網絡釣魚的成本很低，網絡釣魚者往往會適應并繞過最新的防御措施，因此我們預計這些攻擊的發生率會上升。可以通過提高教育和意識、更好的過濾、改進的警告橫幅和更強大的錢包控制來改進用戶防御。

供應鏈漏洞：最薄弱的環節

當汽車制造商發現車輛中的缺陷部件時，他們會發出安全召回；在軟件供應鏈中也不例外。

第三方軟件庫引入了很大的攻擊面。在 web3 之前，這一直是跨系統的安全挑戰，例如去年 12 月影響廣泛的 Web 服務器軟件的log4j 漏洞利用。攻擊者將掃描互聯網以查找已知漏洞，以找到他們可以利用的未修補漏洞。

導入的代碼可能不是項目方自己的技術團隊編寫的，但其維護至關重要。團隊必須監控其軟件組件的漏洞，確保部署更新，并及時了解他們所依賴的項目的發展勢頭和健康狀況。web3 軟件漏洞利用的真實和即時成本使得負責任地將這些問題傳達給圖書館用戶具有挑戰性。關于團隊如何或在何處以一種不會意外使用戶資金面臨風險的方式相互交流這些信息的結論仍未確定。?

跨鏈橋項目Wormhole被盜

Multichain 合約漏洞攻擊

誰：有組織的團體，例如 APT、個人和內部人士。

復雜性：中等（需要技術知識和一些時間）。

可自動化性：中等（掃描以發現有缺陷的軟件組件可以自動化；但是當發現新漏洞時，需要手動構建漏洞利用）。

對未來的期望：隨著軟件系統的相互依賴和復雜性的增加，供應鏈漏洞可能會增加。在為 web3 安全開發出良好的、標準化的漏洞披露方法之前，機會主義的黑客攻擊也可能會增加。

治理攻擊：選舉竊取者

這是第一個上榜的特定于加密貨幣的問題。web3 中的許多項目都包含治理方面，代幣持有者可以在其中提出改變網絡的提案并對其進行投票。雖然這為持續發展和改進提供了機會，但它也為引入惡意提案打開了后門，如果實施這些提案可能會破壞網絡。

攻擊者設計了新的方法來規避控制、征用領導權和掠奪國庫。曾經是一個理論上的問題，現在已經證明了治理攻擊。攻擊者可以拿出大量的“閃電貸”來搖擺選票，就像最近發生在去中心化金融項目 Beanstalk 上一樣。導致提案自動執行的治理投票更容易被攻擊者利用；然而，如果提案的制定存在時間延遲或需要多方手動簽署（例如，通過多重簽名錢包），則可能更難實現。

舉例：算法穩定幣Beanstalk?Farms遭遇黑客攻擊事件

誰：從有組織的團體 (APT) 到任何人。

復雜性：從低到高，取決于協議。（許多項目都有活躍的論壇、Twitter 和 Discord 上的社區，以及可以輕松暴露更多業余嘗試的委派儀表板。）

可自動化性：從低到高，取決于協議。?

對未來的期望：這些攻擊高度依賴于治理工具和標準，特別是因為它們與監控和提案制定過程有關。

定價預言機攻擊：市場操縱者

準確地為資產定價是困難的。在傳統交易領域，通過市場操縱人為抬高或降低資產價格是非法的，這些人可能會因此受到罰款或逮捕。 DeFi 給隨機的人提供了“閃電貸”數億或數十億美元的可能行，從而導致價格突然波動，在這一領域，問題就凸顯出來了。

許多 web3 項目依賴于“預言機”——提供實時數據的系統，并且是鏈上無法找到的信息來源。例如，預言機通常用于確定兩種資產之間的交換定價。但是攻擊者已經找到了欺騙這些假定真相的來源的方法。

隨著預言機標準化的進展，鏈下和鏈上世界之間將會有更安全的橋梁，我們可以期待市場對操縱嘗試變得更有彈性。運氣好的話，有朝一日這類攻擊可能會幾乎完全消失。

舉例：DeFi 協議Cream?Finance閃電貸攻擊

誰：有組織的團體 (APT)、個人和內部人士。

復雜程度：中等（需要技術知識）。

自動化程度：高（大多數攻擊可能涉及自動化檢測可利用問題）。

對未來的期望：隨著準確定價方法變得更加標準，可能會降低。

新漏洞：不知之不知

零日漏洞（Zero - day ），是指被發現后立即被惡意利用的安全漏洞。之所以如此命名，是因為它們在出現時就已為人所知——是信息安全領域的熱點問題，在 web3 安全領域也不例外。因為它們來得突然，所以它們是最難防御的攻擊。

如果有什么不同的話，web3 讓這些昂貴的勞動密集型攻擊變得更容易貨幣化，因為人們一旦被盜就很難追回加密資金。攻擊者可以花費大量時間仔細研究運行鏈上應用程序的代碼，以找到一個錯誤以證明他們的努力。同時，一些曾經新穎的漏洞繼續困擾著毫無戒心的項目：著名的重入漏洞TheDAO是早期的以太坊企業，今天繼續在其他地方重新浮出水面。

目前尚不清楚該行業將能夠多快或輕松地適應對這些類型的漏洞進行分類，但對審計、監控和工具等安全防御的持續投資將增加攻擊者試圖利用這些漏洞的成本。

Poly的跨鏈交易漏洞

Qubit的無限鑄幣漏洞

誰：有組織的團體 (APT)、內部人士。

復雜性：中等-高（需要技術知識，但并非所有漏洞都太復雜、無法理解）。

可自動化性：低（發現新漏洞需要時間和精力，而且不太可能自動化；一旦發現，在其他系統中掃描類似問題會更容易）。

對未來的期望：更多的關注會吸引更多的白帽，并使發現新漏洞的“進入門檻”更高。同時，隨著 web3 采用的增長，黑帽黑客尋找新漏洞的動機也在增加。就像在許多其他安全領域一樣，這很可能仍然是一場貓捉老鼠的游戲。

文章源自：a16z?Riyaz Faizullabhoy 以及 Matt Gleason，金色財經進行全文翻譯。原文鏈接：《Web3 Security: Attack Types and Lessons Learned》

Tags：區塊鏈WEBWEB3APT區塊鏈dapp開發pdfWeb3 InuWeb3游戲AAptitude

PEPE