a16z:详解Web3安全领域常见的攻击类型和经验教训
web3 的大量安全性取决于区块链承诺和灵活的人为干预的特殊能力。但最终的相关特征——交易通常是不可逆转的——使这些软件控制的网络成为攻击者的诱人目标。事实上,区块链web3基本的分散计算机网络及其伴随的技术和应用程序积累价值,越来越成为攻击者的梦想。
尽管 web3 不同于早期的互联网迭代,但我们观察到了软件安全趋势的共同点。在许多情况下,最大的问题和以前一样。通过研究这些领域,防御者,无论是开发商、安全团队还是日常加密用户,都可以更好地保护自己,他们的项目和钱包免受潜在小偷的侵害。让我们根据经验提出一些常见的主题和预测。
跟随资本攻击者通常旨在最大化投资回报。他们可以花更多的时间和精力来攻击更多的总价值锁定或 TVL 的协议,因为潜在的回报更大。资源最丰富的黑客组织经常瞄准高价值系统。新颖的攻击也更频繁地针对这些珍贵的目标。低成本攻击(如在线钓鱼)永远不会消失,我们预计它们将在可预见的未来变得更加普遍。随着开发人员从经验丰富的攻击中学习,他们可能会修复这些漏洞web3 软件的状态提高到默认安全的程度。通常,这涉及收紧应用程序编程接口或API,为了让人们更难错误地引入漏洞。虽然安全一直是一项正在进行的工作,但防御者和开发人员可以通过消除攻击者的大部分低成本果实来增加攻击成本。随着安全实践的改进和工具的成熟,以下攻击的成功率可能会显著降低:控制攻击、价格预测操作和重新进入漏洞。(以下内容更多。)不能保证完美安全的平台完美安全的平台必须使用漏洞来减少损失的可能性。这可能会通过减少其成本收入分析的收入或上升空间来阻止攻击者。分类攻击对不同系统的攻击可以根据其共同特征进行分类。定义特征包括攻击的复杂性、攻击的自动化以及可以采取哪些预防措施来防止它们。以下是我们在去年最大的黑客攻击中看到的攻击类型的非详细列表。我们还包括我们对当前威胁形势的观察和对未来的预期 web3 安全发展方向。
APT操作:顶级掠食者通常称为高级持续威胁 (APT)专家的对手是安全的恶魔。他们的动机和能力差别很大,但他们往往很富有,很执着。不幸的是,他们很可能一直在身边。不同的 APT 经营许多不同类型的操作,但这些威胁参与者最有可能直接攻击公司的网络层来实现其目标。
我们知道一些高级团体正在积极瞄准 web3 项目,我们怀疑还有其他人还没有确定。 最受关注APT 背后的人经常生活在与美国和欧盟没有引渡条约的地方,这使得他们更难被起诉。最著名的 APT 之一是 Lazarus,这是一个朝鲜组织,美国联邦调查局最近表示,它进行了迄今为止最大的加密黑客攻击。
例子:Ronin验证器被攻击攻击轮廓:民族国家、资金雄厚的犯罪组织和其他先进的组织。例子包括Ronin黑客(Lazarus,它与朝鲜有着广泛的联系)。复杂性:高(仅适用于资源丰富的群体,通常在不被起诉的国家)。自动化:低(仍主要使用一些自定义工具)对未来的期望:只要 APT 如果能够货币化其活动或实现各种政治目标,它们将保持活跃。以用户为目标的钓鱼:社会工程网络钓鱼是一个众所周知的常见问题。网络钓鱼者试图通过各种渠道发送诱饵信息,包括即时通讯、电子邮件、Twitter、电报、Discord 和黑网站。如果你浏览垃圾邮件览垃圾邮件邮件,你可能会看到数百次试图欺骗你泄露密码或窃取你的钱。
现在 web3 允许人们直接交易资产,例如代币或NFT,几乎可以立即确定,在线钓鱼活动是针对其用户的。对于知识或技术知识较少的人来说,这些攻击是通过窃取加密货币来赚钱的最简单的方法。即便如此,对于有组织的团体来说,它们仍然是一种有价值的方法来跟踪高价值的目标,或者对于高级团体,如网站接管来发动广泛的攻击,干钱包。
例子直接针对用户OpenSea网络钓鱼活动针对前端应用BadgerDAO谁是网络钓鱼攻击轮廓:从脚本初学者到有组织的团体。复杂性:低-中等(攻击可以是低质量的喷雾或超针对性,取决于攻击者的努力)。自动化:中等-高(大部分工作都可以自动化)。对未来的期望:在线钓鱼的成本非常低,在线钓鱼者经常适应并绕过最新的防御措施,所以我们预计这些攻击的发生率将会增加。用户防御可以通过增加教育和意识、更好的过滤、改进的警告横幅和更强大的钱包控制来改善。供应链漏洞:最薄弱的环节当汽车制造商发现车辆中的缺陷部件时,他们会发出安全召回。软件供应链也不例外。
在 web3 以前,这一直是跨系统的安全挑战,比如去年 12 月影响广泛的 Web 服务器软件log4j 利用漏洞。攻击者将扫描互联网以找到已知的漏洞,以找到他们可以使用的未修复的问题。
导入的代码可能不是由项目本身的工程团队编写的,但其维护至关重要。团队必须监控软件组件的漏洞,确保部署更新,并及时了解项目的动机和健康状况。web3 软件漏洞的真实性和即时成本使负责任地向用户传达这些问题具有挑战性。目前还没有最终结论团队如何或在哪里以一种不会意外使用户资金面临风险的方式相互交流这些信息。
例子Wormhole桥攻击Multichain谁:有组织的群体,如 APT、独立黑客和内部人士。复杂性:中等(需要技术知识和一些时间)。可自动化:中等(可自动扫描故障软件组件;但当发现新漏洞时,需要手动构建漏洞攻击程序)。对未来的期望:供应链漏洞可能会随着软件系统的相互依赖和复杂性的增加而增加web3 在安全开发出良好、标准化的漏洞披露方法之前,机会主义黑客攻击也可能增加。治理攻击:选举掠夺者这是加密行业定于加密行业的问题。web3 中的许多项目都包含治理方面,代币持有者可以在其中提出改变网络的提案并对其进行投票。虽然这为持续发展和改进提供了机会,但它也打开了一个后门,可以引入恶意提案,如果实施可能会破坏网络。
攻击者设计了避免控制、征用领导权和掠夺国库的新方法。攻击者可以拿出大量的闪电贷款来获得足够的选票,就像最近发生的 一样DeFi项目 Beanstalk 上面的事件是一样的。因此,自动执行的治理投票更容易被攻击者使用。然而,如果该提案被推迟或需要手动签署(例如,多个签名钱包),则可能更难实施。
例子Beanstalk谁是资金转移事件的轮廓:从有组织的群体 (APT) 任何独立黑客的人。复杂性:从低到高取决于协议。自动化:从低到高取决于协议。对未来的期望:这些攻击高度依赖于治理工具和标准,特别是当它们与监控和提案制定过程有关时。定价预测器攻击:市场运营商很难准确定价资产。在传统交易领域,通过市场操纵人工提高或降低资产价格是非法的,你可能会被罚款或逮捕DeFi 很明显,随机用户可以闪电交易数亿或数十亿美元,导致价格突然波动。
许多 web3 项目依赖于提供实时数据的预测器系统,是链上找不到的信息源。例如,预测器通常用于确定两种资产之间的交换定价。但攻击者已经找到了欺骗这些所谓真相的方法。
随着预测器标准化的进展,链下和链上世界之间将会有更安全的桥梁,我们可以期待市场尝试变得更加灵活。如果你幸运的话,有一天这种攻击可能几乎完全消失了。
例子Cream谁是市场操纵轮廓:有组织的 (APT)、独立黑客和内部人士。复杂程度:中等(需要技术知识)。自动化:高(大多数攻击可能涉及自动化检测可利用问题)。对未来的期望:随着准确定价方法变得更加标准,可能会降低。新漏洞:未知未知“Zero-day漏洞攻击——之所以这样命名,是因为它们出现时只披露了0天的漏洞——是信息安全领域的热点问题, web3 安全领域也不例外。它们是最难防御的攻击,因为它们突然出现。
若有,web3 使这些昂贵的劳动密集型攻击更容易货币化,因为一旦人们被盗,就很难收回加密资金。攻击者可以花很多时间仔细研究操作链上的应用程序代码,以找到一个错误来证明他们所有的努力。与此同时,一些新的漏洞继续困扰着无忧无虑的项目;早期以太坊项目发生了著名的重新进入漏洞TheDAO 上,现在继续出现在其他地方。
目前尚不清楚该行业将能够快速或轻松地适应这些类型的漏洞,但对审计、监控和工具等安全防御的持续投资将增加攻击者试图攻击这些漏洞的成本。
例子Poly Network跨链交易漏洞Qubit谁是无限铸币漏洞 (APT)、独立黑客(不太可能)和内部人士。复杂性:中等-高(需要技术知识,但并不是所有的漏洞都太复杂,人们无法理解)。自动化:低(发现新漏洞需要时间和精力,不太可能自动化。一旦发现,在其他系统中更容易扫描类似的问题)。对未来的期望:更多的关注会吸引更多的白帽,提高发现新漏洞的进入门槛。同时, web3随着 的增长,黑帽黑客寻找新漏洞的动机也在增加。就像许多其他安全领域一样,这可能仍然是一场猫捉老鼠的游戏。- 免责声明
- 世链财经作为开放的信息发布平台,所有资讯仅代表作者个人观点,与世链财经无关。如文章、图片、音频或视频出现侵权、违规及其他不当言论,请提供相关材料,发送到:2785592653@qq.com。
- 风险提示:本站所提供的资讯不代表任何投资暗示。投资有风险,入市须谨慎。
- 世链粉丝群:提供最新热点新闻,空投糖果、红包等福利,微信:juu3644。