WEB:Web3 安全風險令人生畏？應該如何應對？_fio幣web3

Web3和區塊鏈的世界是否像聽起來那樣令人生畏？拜登競選活動的首席事件響應官、前英特爾事件響應總監JackieSingh采訪了Web3安全從業人員，以了解他們對保護Web3技術的挑戰和機遇的看法。

去年12月，當我在S.T.O.P公司的合伙人Jason意外收到加入NFT市場初創公司擔任高級軟件工程師的邀請時，我一開始很緊張。

決定在一個新行業從事可能不穩定的工作似乎令人生畏，尤其是作為一個有小孩的家庭。

盡管最近加密貨幣市場出現了波動，但我的擔憂隨著時間的推移而消失。Jason的職業生涯轉向Web3，也讓我更加了解了他的工作，包括所有用戶的無許可使用、通過Github設計開源代碼、與第三方開發者公開合作以及與NFT藝術家建立合作伙伴關系。與他之前在傳統金融領域的工作相比，這是一個令人耳目一新的變化！

實話說，我知道Web3社區具有強大的凝聚力，但作為一名信息安全專業人士，我也對廣泛的詐騙、“技術解決方案主義”的風險以及阻礙Web3崛起的大規模違法行為存有疑問。

“許多Web3開發人員在他們的開發過程中優先考慮安全性，以防止漏洞，這很好，但還有更多工作要做，”網絡安全公司Mandiant的高級主管RobertWallace在一份自述文件中寫道，“預防是前提，但檢測和審計也是必要的。很高興看到更多關于Web3中的威脅檢測和響應方面的研究。”

Ontology將進行主網v2.4.4升級，提醒節點及時升級避免同步暫停:8月9日消息，本體（Ontology）發布升級公告，Ontology主網v2.4.4和共識節點將進行升級，該升級修復溢出錯誤以及優化治理自動化執行。Ontology提醒所有節點和DApp在取塊高度16490000之前完成升級，以避免同步暫停。用戶和質押者將不受此升級的影響。[2023/8/9 21:34:07]

多年來，Wallace與他的顧問團隊一起應對了多家Web3公司的安全事件。他指出，利用智能合約的黑客已經帶來了迄今為止最大的一些有關“DeFi”的黑客攻擊。

“另一個挑戰是對Web3開發人員的攻擊，這些開發人員可能沒有安全團隊時刻監視系統，”Wallace說，“這可能會引發密鑰被盜，導致Web3公司甚至是中心化交易所發生巨額盜竊。”

我邀請了三位在Web3安全方面有經驗的專家分享他們的一些見解，并解讀他們的日常工作。

MilesNolan是網絡安全公司KudelskiSecurity的高級區塊鏈安全分析師，該公司目前也將區塊鏈包含在業務范圍內。

您和您的團隊在KudelskiSecurity做什么？

Miles：

我在Kudelski的應用程序安全團隊中擔任區塊鏈安全分析師。我們主要審計Web3應用程序和智能合約代碼的漏洞。我個人從事智能合約審計/審查工作。

美聯儲半年度貨幣政策報告：持續提高聯邦基金利率目標是必要的:金色財經報道，美聯儲半年度貨幣政策報告顯示，自6月份以來，金融狀況進一步收緊，比一年前明顯收緊；持續提高聯邦基金利率目標是必要的；仍然堅定地致力于使通脹率回到2%；美國國債和其他主要市場的市場流動性仍低于疫情前水平；要讓通脹率回到2%，可能需要一段時間的低于趨勢水平的增長，以及勞動力市場走軟；預期顯示高通脹并未走向根深蒂固；勞動力市場仍然極度緊張，相對于疫情前的預期水平，勞動力供應嚴重不足。[2023/3/4 12:41:28]

您是如何開始使用Web3的？

Miles：

我在大學三年級時產生了興趣。我獲得了「管理信息系統」學位。那是在2017年，比特幣出現了瘋狂的“牛市”，DeFi開始小范圍出現。我對技術和金融的熱情加上瘋狂地炒作讓我跳入了這個領域，并吸收了我能學到的任何知識。

對你來說，每天的工作是怎樣的？

Miles：

我是該領域大多數人所說的“智能合約審計員”。我大部分時間都在審查智能合約代碼中的漏洞。在一個典型的工作日，我會在一天的第一個小時里審查/編寫與我正在審計的項目無關的代碼，這有助于我熱身。我將在接下來的一個小時里查看與我正在使用的區塊鏈相關的文檔。Web3中的事情每天都在變化，所以我必須保持了解。在一天的剩余時間里，我會一直審查智能合約代碼中的各種錯誤。

安全團隊：跨鏈DEX聚合器Transit Swap因任意外部調用問題被黑，被盜資金規模超2300萬美元:10月2日消息，據慢霧安全團隊情報，2022年10月2號跨鏈DEX聚合器TransitSwap項目遭到攻擊，導致用戶資產被非預期的轉出。慢霧安全團隊分析評估此次被盜資金規模超過2300萬美元，黑客地址為0x75F2...FD46和0xfa71...90fb。接著對此次攻擊過程進行了分析：

1. 當用戶在Transit Swap進行swap時，會先通過路由代理合約(0x8785bb...)根據不同的兌換類型選擇不同的路由橋合約。隨后路由橋合約(0x0B4727...)會通過權限管理合約(0xeD1afC...)的 claimTokens 函數將用戶待兌換的代幣轉入路由橋合約中。因此在代幣兌換前用戶需要先對權限管理合約(0xeD1afC...)進行授權。

2. 而 claimTokens 函數是通過調用指定代幣合約的 transferFrom 函數進行轉賬的。其接收的參數都由上層路由橋合約(0x0B4727...)傳入，本身沒有對這些參數進行任何限制只檢查了調用者必須為路由代理合約或路由橋合約。

3. 路由橋合約(0x0B4727...)在接收到用戶待兌換的代幣后會調用兌換合約進行具體的兌換操作，但兌換合約的地址與具體的函數調用數據都由上層路由代理合約(0x8785bb...)傳入，路由橋合約并未對解析后的兌換合約地址與調用數據進行檢查。

4. 而代理合約(0x8785bb...)對路由橋合約(0x0B4727...)傳入的參數也都來自于用戶傳入的參數。且代理合約(0x8785bb...)僅是確保了用戶傳入的 calldata 內各數據長度是否符合預期與所調用的路由橋合約是在白名單映射中的地址，未對 calldata 數據進行具體檢查。

5. 因此攻擊者利用路由代理合約、路由橋合約與權限管理合約均未對傳入的數據進行檢查的缺陷。通過路由代理合約傳入構造后的數據調用路由橋合約的 callBytes 函數。callBytes 函數解析出攻擊者指定的兌換合約與兌換數據，此時兌換合約被指定為權限管理合約地址，兌換數據被指定為調用 claimTokens 函數將指定用戶的代幣轉入攻擊者指定的地址中。實現了竊取所有對權限管理合約進行授權的用戶的代幣。

此次攻擊的主要原因在于 Transit Swap 協議在進行代幣兌換時并未對用戶傳入的數據進行嚴格檢查，導致了任意外部調用的問題。攻擊者利用此任意外部調用問題竊取了用戶對Transit Swap授權的代幣。

截止到目前，黑客已將 2,500 BNB 轉移到 Tornado Cash，剩余資金分散保留在黑客地址中。經過黑客痕跡分析發現，黑客存在從 LATOKEN 等平臺存提款的痕跡。慢霧 MistTrack 將持續跟進被盜資金的轉移以及黑客痕跡的分析。[2022/10/2 18:37:27]

您在該領域面臨哪些挑戰？

DeFi項目ChangeX完成約200萬美元融資:金色財經消息，DeFi 項目 ChangeX 宣布完成約 200 萬美元融資，旨在提供加密貨幣交易、質押和 DeFi 借貸服務，最終構建成一個加密資產管理一站式商店。據悉，ChangeX 已組建了一個全新的顧問委員會，顧問成員來自軟銀、美林、摩根大通和花旗銀行等知名金融機構。（cryptonewsbtc）[2022/7/28 2:43:54]

Miles：?

Web3的發展速度非常快，當我第一次加入時，感覺就像我一直在追趕。

區塊鏈或其他Web3技術是否提供了任何特定的技術能力，使信息安全任務更容易或更困難？

Miles：

雖然有很多優點需要強調，但我必須指出一個痛點。區塊鏈引入了一個競爭環境，攻擊者實際上可以通過執行漏洞來獲利。在Web2世界中，攻擊者可以關閉一項主要服務、竊取一些數據、出售惡意軟件/0-days等，雖然這可能是有利可圖，并且會給其他方造成資金損失，但不值得花時間和冒險實施這些類型的惡意行為。但是在Web3世界中，攻擊者可以從一個漏洞中竊取3億美元以上的資金。所以分布式賬本技術固有地為安全專業人員帶來了這些新的風險來應對。

KatelynPerna是BlockFi的安全戰略和數字資產托管副總裁，BlockFi是一家總部位于美國的加密貨幣交易平臺，提供包括貸款和加密信用卡在內的各種金融產品。

goblintown.wtf系列NFT交易額突破5000萬美元:金色財經報道，據nftgo最新數據顯示，“哥布林”goblintown.wtf 系列 NFT交易額已突破 5000 萬美元，截至目前為 5067 萬美元，交易額排名前三的分別是goblintown #6485（77.75 ETH）、goblintown #8995（69.42 ETH）和goblintown #9249（31.04 ETH）。[2022/6/2 3:58:25]

您能給我們介紹一下您目前的角色嗎？

Katelyn：

作為BlockFi的安全戰略和數字資產托管副總裁，我負責構建我們的安全計劃。

安全戰略和數字資產托管團隊主要負責確保BlockFi原生加密技術的安全性。團隊擁有非常獨特和專業的技能人才組合，涵蓋網絡安全、區塊鏈技術、加密貨幣安全和托管，涵蓋了幾乎所有的數字資產。我們專注于加密貨幣安全、密碼學、密鑰管理、鏈上協議和Web3安全。

你的團隊關注什么？

Katelyn：

一直以來，我的日常工作主要集中在加密貨幣方面，可以是分析資產和各種鏈上協議，構建資產存儲、托管和密鑰管理的技術和解決方案，分析智能合約漏洞。

你是如何開始使用Web3的？是什么引起了你的興趣？

Katelyn：

在Web3/區塊鏈之前，我的背景是傳統的網絡安全。我第一次了解加密貨幣是在2016年，很快就被迷住了。當時我在為大型科技和銀行公司從事網絡工作，我很快意識到傳統金融服務方面需要改進。

我看到了區塊鏈技術和加密貨幣在科技和銀行業方面的巨大潛力，可以讓社會通過更少的第三方中介來管理他們自己的數據和資金，我想成為其中的一員。然而，建立新的資金、平臺和文化并不容易，更何況很難安全、可靠地做到這一點。當我們專注于將權力和控制權交到用戶手中時，我最感興趣的是各種可能性以及不同的“社會面貌”。我告訴自己，我將在接下來的5年里從事區塊鏈/加密貨幣領域的工作，然后看看情況如何。

你在該領域面臨哪些挑戰？

Katelyn：

其中一個挑戰是這是一項完全新興的技術。區塊鏈和加密貨幣出現的時間并不長，想想管理數十億美元的資金會給這些公司的安全帶來巨大的責任。

總的來說，我認為技術人才，尤其是安全方面的人才目前在Web3領域很稀缺。

進一步的挑戰包括：

用戶和機構在Web3領域普遍缺乏教育和意識，造成了技術和安全方面的巨大知識差距。

確保管理數十億美元所需的真正安全。沒有捷徑。安全性可能因資產和底層協議而異。這需要進行嚴格的調查和盡職的審查。

區塊鏈互操作性和安全性具有挑戰性，尤其是在智能合約邏輯和密鑰管理方面。以可擴展的方式管理節點和保護節點也是一項重大挑戰。

區塊鏈或其他Web3技術是否提供了任何特定的技術能力，使信息安全更容易或更困難？

Katelyn：

從Web2到Web3的轉變帶來了圍繞安全、隱私的思維方式的巨大轉變。

在Web2，我們要讓某人為我們做所有事情——我們所需要管理的只是一個密碼，也許還有2FA。

Web3并非如此。如果你不知道自己在Web2中做什么，Web3會更糟。自己管理自己的資產和數據，即成為自己的“銀行”，聽起來不錯，但你必須學會這些工作：必須了解如何管理錢包、私鑰，并且必須考慮安全性。

對于CeFi或機構，這個工作需要提高10倍！

此外，Web3生態系統的空投詐騙和有針對性的網絡釣魚行為依然會繼續發展。

你會對不喜歡區塊鏈技術的信息安全專業人士說些什么？

Katelyn：

區塊鏈技術其實并不是新事物，它只是以不同的方式融合了一些已經存在了幾十年的不同技術。

Web3支持更多的自主權和去中心化應用程序。這是一件好事。因為任何一家公司都不應該擁有用戶的所有數據或金錢或任何東西。

安全始終是推動因素。

技術可以做很多事情，作為信息安全人員，我們應該盡最大努力確保它可以盡可能安全地被使用。

你會給對Web3感興趣的信息安全專業人員提供的最重要的一條建議是什么？

Katelyn：

永遠不要只從表面上評判任何東西。僅僅因為有人說它是真的，并不能使它成為真的。沒有人知道所有的答案，也沒有人知道所有的一切。挑戰自己和遇到的每一個人。Web3行業需要信息安全。

BobbyTonic是一家數字支付公司的安全工程師。過去，他曾是安全公司TrailofBits的顧問，在那里他領導了執行復雜安全審計的團隊。

Web3組織面臨的最大挑戰是什么？

Bobby：

在擔任現職之前，我與各種各樣的Web3組織都有過接觸。我發現他們經常面臨與傳統組織類似的挑戰。在這些挑戰中，了解系統中使用的技術的復雜性以及能夠確保其應用程序設計的正確性是最值得注意的兩個。

對于Web3組織而言，未能成功應對這些挑戰可能會產生災難性后果，因為攻擊者通常可以隨時查看其系統和應用程序的源代碼。

因此，Web3組織開發其應用程序及其基礎架構并將其提交給第三方安全研究公司進行審查已成為一種共識。這樣做可以向客戶承諾，應用程序的設計和實施已經過對抗性測試，并表明該組織對其未來客戶的盡職與負責。

當今Web3最需要哪些信息安全研究？

Bobby：

在我看來，對于成熟的Web3，信息安全最有影響力的研究是測試Web3系統和應用程序。我們作為第三方安全人員，代替開發人員關注設計上的安全環節，這樣會節省時間，并加快后續的開發工作。

此外，Web3通常要求開發人員為被測系統實現樣板，導致他們需要花費時間建立測試系統，而不是用工具實際開發測試。我們在各種各樣的測試技術中看到了這一點，比如模糊化、屬性測試。這些問題極大地勸阻了大多數希望在日常開發工作中使用這些測試技術的開發人員。

并不是開發人員不想使用這些測試技術，或者他們不知道它們的存在，而是在使用它們時存在很多“摩擦”！

風險提示：

根據央行等部門發布的《關于進一步防范和處置虛擬貨幣交易炒作風險的通知》，本文內容僅用于信息分享，不對任何經營與投資行為進行推廣與背書，請讀者嚴格遵守所在地區法律法規，不參與任何非法金融行為。

來源：金色財經

Tags：WEBWEB3區塊鏈加密貨幣web3.0幣種怎么提現fio幣web3區塊鏈的未來發展前景分析加密貨幣怎么賺錢

USDT