亮点一览
Web3生态系统面临着许多安全挑战,既有从Web2因袭的挑战,又有新型攻击向量提出的挑战。
因此,实施能确保Web3生态系统安全的最佳实践至关重要,包括智能合约审计、区块链分析、实时监控等。
币安已为Web3社区的安全基础架构,开发多款关键服务和产品,包括以多方计算(MPC)为基础的托管型解决方案、钱包管理系统等。
Web3为我们提供了用各种新原则重新设计互联网并重建各种平台的机会。虽为新兴行业,但Web3已面临新型网络威胁,上至智能合约漏洞下至跑路骗局都包括在内。
币安孵化器很高兴能请到行业领导者和内部专家,分享他们对Web3安全环境及其最佳实践的见解,帮助用户和项目创始人更好地驾驭这个不断演进的生态系统。
Web3安全行业概览
Web3相关威胁快速演进。不法分子总是用最经济、有效的方式进行攻击,比如在前端使用恶意智能合约。Web2既有的许多威胁类型在Web3中继续肆虐,例如网络钓鱼、SIM卡盗刷、恶意软件孢子和机器人攻击等。
遗憾的是,与Web2拥有的安全解决方案相比,防止Web3中此类黑客攻击的安全工具并不多。Web2企业可使用防病毒软件、防火墙、云安全套件,还有访问网络专用的VPN或Zero Trust等工具。而在Web3环境中,大多数项目只使用单层安全解决方案,这对于阻止攻击远远不够。
正如PwC报告所述,区块链技术有望推动全球国内生产总值(GDP)增长25倍以上,到2030年达到1.76万亿美元(占全球国内生产总值的1.4%)。但区块链普及后,随之而来的是盗窃事件频发。
黑客利用智能合约的漏洞,2021年造成超过13亿美元的损失(比2020年增长了250%),2022年5个月内损失已达18亿美元(比2021年增长了138%)。DeFi增长(锁定总价值增加了16倍)和交叉链数量增加固然让人欣喜,但新漏洞导致盗窃和黑客攻击增加也让人痛心。
来源:CertiK。
来源:DeFi Pulse。
2022年年初至今,亏损总额已飙至2,338,910,183美元,令人错愕,记录在案的攻击事件大约有377起;今年前7个月,黑客入侵已造成20多亿美元的损失。尽管大多数DeFi公司部署智能合约前,都请审计公司审查并验证智能合约代码,但智能合约仍无法避免四大黑客攻击骗局:黑客攻击、闪电贷攻击、卷款潜逃和NFT击鼓传花。
黑客攻击
今年最大黑客事件当属Ronin Network遭受的攻击,损失金额高达6.24亿美元。黑客从Sky Mavis员工入手,以公司名义通过LinkedIn与他们联系,与感兴趣的人交谈进行钓鱼攻击。
后发现攻击系朝鲜黑客团体Lazarus所为,他们设法把含有恶意软件的文件发给高级工程师,该工程师用公司的笔记本电脑打开了文件。黑客因而得以访问并破坏大量验证者节点,从而窃走资金。
最近一次恶性事件是2022年8月加密货币桥公司Nomad遭受的攻击。攻击者利用Nomad Bridge的弱点,幌骗其在无适当授权的情况下发送存储代币,最后从区块链协议卷走大约1.9亿美元。此次事件后,Nomad对协议进行了升级。
2022年2月,Neodyme审核并批准了Wormhole Bridge。但该项目还是遭到黑客攻击,并蒙受超过3.2亿美元的损失。
闪电贷攻击
闪电贷攻击骤降,从2022年4月的历史最高位3.005亿美元降至2022年8月的700,000美元,降幅近100%。最严重的攻击是2022年8月XStable遭受的攻击,攻击者操纵价格卷走了大约366,975美元。
XStable协议自此一蹶不振。迄今为止,最大闪电贷攻击是Beanstalk DeFi遭受的攻击,该项目协议在2022年4月被盗走1.82亿美元。
卷款遣逃
跑路诈骗也明显下降,从2022年7月的3870万美元下降到2022年8月的1000万美元,下降了74%。最大卷款遣逃诈骗当属土耳其加密货币交易平台Thodex,交易停牌后诈骗超过400,000名Thodex投资者约26亿美元后跑路。
NFT
2022年8月,一个假的Twitter账号模仿We All Survived Death项目,卖出155件山寨NFT,价值11.7 ETH。在另一起诈骗事件中,黑客盗走四件无聊猿NFT和一件Otherdeed NFT,总价值289.7 ETH(当时约合455,000美元)。
这些攻击事件说明,部署前进行智能合约审计很重要。项目创始人应对攻击事件保持警惕,采取预防措施保护用户。
来源:CertiK。
动态分析:威慑网络威胁
智能合约部署和跨链桥越来越普遍,Web3安全环境将变得越来越复杂。有鉴于此,高级人工智能(AI)支持的链上报警,已成为检测和预防实时威胁的可靠方式。
在上述各黑客攻击案例中,尽管智能合约代码审核尚未超过六个月,但它们仍遭到攻击。因此,项目创始人应为项目的整个生命周期,添加额外安全层。
CertiK首席商务官Jason Jiang说:“大约60%的项目在产品发布前不进行审核”。鉴于大多数智能合约代码是开源的,并且基本上是不可改变的,因此应对这个趋势予以注重。一个系统漏洞就可能导致1000多万美元的损失。
Ancilia首席执行官Huagang Xie强调指出,在项目设计阶段就嵌入安全措施非常重要。项目创始人应在项目设计阶段,查阅经实践检验的各种库,洞悉安全威胁形势并运用最佳实践复核智能合约代码。
项目审计完成后,必须进行实时监控。创始人应着重了解项目进展、智能合约的互动对象、项目可能遭受的攻击以及可能随之而来的风险。Ancilia网站甚至贴出了孙子的名言:“知己知彼,百战不殆。”
Salus Security运营总监Nicholas Chiu说,“项目创始人招聘Web3开发人员时,应确保开发人员敬畏安全,因为他们设计的代码决定了用户的资产和信息是否安全”。
币安遏制Web3安全挑战的相关措施
币安已为Web3社区的安全基础架构开发多款关键服务和产品,包括以多方计算(MPC)为基础的托管解决方案和钱包管理系统。除此之外,币安还提供自动化智能合约扫描、风险评分、有奖捉虫计划、攻击补救、BNB Chain红色警报等服务。我们团队认识到安全工作任务艰巨,在项目和系统日益流行的今天,安全工作的任务就更是艰巨。项目创始人面临的关键安全挑战包括:
确保根本IT基础架构(如域名和网络环境)的安全,使其免遭攻击。
将智能合约逻辑和代码可能遭受的漏洞攻击最小化。
降低钱包和资金的风险,同时对业务实行必要的治理和内部控制。
币安的风险管理计划扩展至在币安上架的所有项目。提高上架项目安全的举措,包括请CertiK对智能合约进行免费审计并采纳其给出的安全建议。除此之外,币安团队还将继续发布知识性文章,帮助项目负责人更好地防止DNS攻击。
币安2017年成立,自成立以来一直努力应对行业发展面临的各种安全挑战。以下是我们想要分享的一些安全提示:
确保所有团队成员,而不仅仅是安全部门的人员,都接受安全基础知识方面的培训。
找出系统中最薄弱的环节,比如运营团队的权限过多。
定期审查系统和团队,努力适应Web3安全环境的各种变化。
使用零信任体系并按需授予访问权限,来确保钱包密钥管理、管理服务器和代码权限的安全,从而将攻击风险降至最低。
币安孵化器首次AMA协作
最近,我们邀请思想领袖和行业专家,分享保护加密货币的最佳实践和设置。错过直播的人可通过此链接收看录播。
关于CertiK
CertiK是安全排名平台,通过形式验证和人工智能技术,分析并监控区块链协议和DeFi项目。该团队已协助币安上架项目,发现它们链上智能合约代码存在的漏洞。
最近,CertiK推出了更多功能来加强Skynet产品,让CertiK报警服务链上链下都能用。这些功能包括事件深度分析、社会情绪分析和流动性健康跟踪。
Web3是新型技术堆栈,CertiK通过提供至关重要的安全服务来应对各种挑战。到目前为止,CertiK的安全率已达99.9%以上,确保近3000亿美元加密货币资产的安全,为超过3200位客户提供服务,并进行了250多次月度审计。
关于Ancilia
Ancilia是威胁行为实时检测和防御平台。该平台收集链上和链下数据,并通过威胁检测引擎提供深度分析。与现有解决方案相比,该平台可为Web3项目的整个生命周期提供保护。
其部分关键特性包括,智能合约安全分析、恶意和异常活动检测、资产监控和保护、治理过程监控、外部数据质量监控和保障以及恶意活动防范。
Ancilia专业研究通过自适应机器学习、持续监控、快速违规检测等方式确保信息资产的安全,目前正在进行封测。
关于Salus安全性
Salus Security是区块链网络安全服务供应商,提供自动化智能合约审计和人工专家审计服务。Salus提供领先的区块链安全解决方案,让客户的技术和基础架构成为受信技术和基础架构,从而帮助客户领航各自行业并释放Web3潜力。
Salus在传统和区块链安全领域都具备丰富经验,能够应对业内最复杂的安全问题,旨在让今天人人享用的安全服务,保护未来的数字经济。
结论:Web3的安全卫生
确保Web3环境安全的责任,落在为全球数百万用户提供服务的加密货币公司肩上。应通过信誉良好的域名管理供应商开展项目,并定期进行智能合约审计,以确保最大安全性。
用户应不点击可疑链接、定期清理DNS缓存、定期扫描清除设备中的有害程序,通过这些措施确保资金安全。
确保所有私钥存储安全。
勿用计算机剪贴板复制密钥,同时勿在任何云软件上备份钱包。
选择信誉最好的平台,让来自交易对手的风险最小化。
安装安全工具例如反病毒软件和防钓鱼软件,来确保操作系统安全。
用承载小额资金的Burner钱包,在去中心化应用(DApp)上铸造NFT或开展交易。
币安孵化器是币安风投和加速器部门,致力于继续投资加密货币安全项目,为Web3行业提供更多保护。为了让区块链和Web3实现可持续发展,建立安全的生态系统是重中之重。我们希望其他项目可从本文得到启示,并关注最关键的方面——保护我们的用户。
推荐阅读: