原文作者:RiyazFaizullabhoy与MattGleason
原文标题:《a16z.com/2022/04/23/web3-security-crypto-hack-attack-lessons/">Web3Security:AttackTypesandLessonsLearned》
原文编译:胡韬,链捕手
web3的大量安全性取决于区块链做出承诺和对人为干预具有弹性的特殊能力。但是最终性的相关特征——交易通常是不可逆的——使得这些软件控制的网络成为攻击者的诱人目标。事实上,随着区块链——作为web3基础的去中心化计算机网络——及其伴随的技术和应用程序积累价值,它们越来越成为攻击者梦寐以求的目标。
尽管web3与早期的互联网迭代有所不同,但我们已经观察到与以前的软件安全趋势的共同点。在许多情况下,最大的问题与以往一样。通过研究这些领域,防御者——无论是开发商、安全团队还是日常加密用户——可以更好地保护自己、他们的项目和钱包免受潜在的窃贼的侵害。下面我们根据经验提出一些常见的主题和预测。
跟着资金
攻击者通常旨在最大化投资回报。他们可以花费更多的时间和精力来攻击具有更多“总价值锁定”或TVL的协议,因为潜在的回报更大。
a16z Crypto政策负责人:美SEC主席一直在监管方面“踢皮球”:金色财经报道,a16z Crypto 的政策负责人、前 CFTC 专员 Brian Quintenz 周五在2023共识大会中表示,美国证券交易委员会(SEC)主席 Gary Gensler 一直在监管方面“踢皮球”。他说:“我们已经看到SEC主席认为,除了比特币之外,所有加密货币都在他的管辖范围内,需要遵守他们的规则。一场地盘争夺战涉及两方(SEC和CFTC),而现在,我认为球场上的一方正在跑到另一端并开始‘踢皮球’,CFTC 在这场争夺战中失去了位置”。
Quintenz 表示需要立法解决方案,他说:“如果没有一个愿意接受该技术并制定适合该技术并以适当方式保护消费者的规则的监管机构,国会就必须介入”。[2023/4/29 14:34:17]
资源最丰富的黑客组织更经常瞄准高价值系统。新颖的攻击也更频繁地针对这些珍贵的目标。
低成本攻击永远不会消失,我们预计它们在可预见的未来会变得更加普遍。
修补漏洞
随着开发人员从久经考验的攻击中学习,他们可能会将web3软件的状态提高到“默认安全”的程度。通常,这涉及收紧应用程序编程接口或API,?以使人们更难错误地引入漏洞。
报告:a16z去年投资11家区块链公司,占其金融科技领域投资笔数的22%:2月27日消息,据CB Insights统计报告,a16z去年在金融科技领域共投资了49家公司,其三大投资方向分别为支付、区块链和数字贷款。其中,a16z去年投资11家区块链公司,包括Aztec、dynamic、Lido、Phantom等,占其对金融科技领域投资笔数的22%。[2023/2/27 12:31:27]
虽然安全始终是一项正在进行中的工作,但防御者和开发人员可以通过消除攻击者的大部分低成本果实来提高攻击成本。
随着安全实践的改进和工具的成熟,以下攻击的成功率可能会大幅下降:治理攻击、价格预言机操纵和重入漏洞。
无法确保“完美”安全性的平台将不得不使用漏洞缓解措施来降低损失的可能性。这可能会通过减少其成本收益分析的“收益”或上行空间来阻止攻击者。
分类攻击
对不同系统的攻击可以根据它们的共同特征进行分类。定义特征包括攻击的复杂程度、攻击的自动化程度以及可以采取哪些预防措施来防御它们。
以下是我们在过去一年中最大的黑客攻击中看到的攻击类型的非详尽列表。我们还包括了我们对当今威胁形势的观察以及我们预计未来web3安全性的发展方向。
Palmer宣布完成1000万美元融资,a16z合伙人Anish Acharya领投:金色财经报道,跨境支付初创公司Palmer宣布完成1000万美元融资,a16z普通合伙人Anish Acharya以800万美元的出资额领投。种子轮融资的其他参与者包括 Motivate VC、PS27 Ventures 和 Bridgeport Partners,以及来自 RRE Ventures 和 Transcard 的 SAFE 转换。一批战略性个人投资者也参与了最新的融资。Payall 此前通过种子前融资和 SAFE 融资筹集了 820 万美元。[2022/9/15 6:59:01]
APT操作:顶级掠食者
通常称为高级持续威胁(APT)的专家对手是安全的恶魔。他们的动机和能力差异很大,但他们往往富有而且坚持不懈。不幸的是,他们很可能会一直在身边。不同的APT运行许多不同类型的操作,但这些威胁参与者往往最有可能直接攻击公司的网络层以实现其目标。?
我们知道一些高级团体正在积极瞄准web3项目,我们怀疑还有其他人尚未确定。最受关注的APT背后的人往往生活在与美国和欧盟没有引渡条约的地方,这使得他们更难因其活动而受到起诉。最著名的APT之一是Lazarus,这是一个朝鲜组织,美国联邦调查局最近称其进行了迄今为止最大的加密黑客攻击。
Clockwork Labs完成2200万美元A轮融资,a16z领投:金色财经报道,区块链游戏公司Clockwork Labs宣布完成2200万美元A轮融资,Andreessen Horowitz(a16z)领投,Supercell、Baszucki、Roblox 创始人兼首席执行官 David Baszucki、CCP Games 首席执行官 Hilmar Petursson 和 Unity 联合创始人 David Helgason 等私人投资者参投。Clockwork Labs将利用这笔最新融资开发其社区沙盒大型多人在线角色扮演游戏 BitCraft,并为游戏、Web应用程序和Web3 APP革命性新数据库技术提供支持。[2022/6/17 4:33:49]
例子:
Ronin验证器被攻击
轮廓
谁:民族国家、资金雄厚的犯罪组织和其他先进的有组织的团体。例子包括Ronin黑客。?
复杂性:高。
可自动化性:低
对未来的期望:只要APT能够将其活动货币化或实现各种目的,它们就会保持活跃。
以用户为目标的网络钓鱼:社会工程学
网络钓鱼是一个众所周知的普遍问题。网络钓鱼者试图通过各种渠道发送诱饵消息来诱捕他们的猎物,这些渠道包括即时通讯、电子邮件、Twitter、电报、Discord和被黑网站。如果你浏览垃圾邮件邮箱,你可能会看到数百次企图诱你泄露密码等信息或窃取你的钱财。?
NFT平台Autograph宣布完成1.7亿美元B轮融资,a16z 和Kleiner Perkins领投:1月20日消息,由美国足球运动员Tom Brady创建的体育和娱乐NFT平台Autograph宣布完成1.7亿美元B轮融资,Andreessen Horowitz (a16z) 和风投公司Kleiner Perkins领投,01A、Lightspeed Partner的Nicole Quinn和前a16z高管Katie Haun等参投。
Haun将与a16z的普通合伙人Arianna Simpson、Kleiner Perkins的合伙人Ilya Fushman一起加入Autograph董事会。目前Autograph董事会成员包括Autograph联合创始人Richard Rosenblatt和Tom Brady、The Weeknd的Abel Tesfaye和Sam Bankman-Fried等。 (TheBlock)[2022/1/20 9:00:23]
现在web3允许人们直接交易资产,例如代币或NFT,几乎可以立即确定,网络钓鱼活动正在针对其用户。对于知识或技术专业知识很少的人来说,这些攻击是通过窃取加密货币来赚钱的最简单方法。即便如此,对于有组织的团体来说,它们仍然是一种有价值的方法来追踪高价值目标,或者对于高级团体来说,通过例如网站接管来发动广泛的、抽干钱包的攻击。?
例子
直接针对用户的OpenSea网络钓鱼活动
针对前端应用程序的BadgerDAO网络钓鱼攻击
轮廓
谁:从脚本初学者到有组织的团体的任何人。
复杂性:低-中。
可自动化性:中等-高。
对未来的期望:网络钓鱼的成本很低,网络钓鱼者往往会适应并绕过最新的防御措施,因此我们预计这些攻击的发生率会上升。可以通过增加教育和意识、更好的过滤、改进的警告横幅和更强大的钱包控制来改进用户防御。
供应链漏洞:最薄弱的环节
当汽车制造商发现车辆中的缺陷部件时,他们会发出安全召回。在软件供应链中也不例外。
第三方软件库引入了很大的攻击面。在web3之前,这一直是跨系统的安全挑战,例如去年12月影响广泛的Web服务器软件的log4j漏洞利用。攻击者将扫描互联网以查找已知漏洞,以找到他们可以利用的未修补问题。
导入的代码可能不是由项目自己的工程团队编写的,但其维护至关重要。团队必须监控其软件组件的漏洞,确保部署更新,并及时了解他们所依赖的项目的动力和健康状况。web3软件漏洞利用的真实和即时成本使得负责任地将这些问题传达给用户具有挑战性。关于团队如何或在何处以一种不会意外使用户资金面临风险的方式相互交流这些信息,目前还没有定论。?
例子
Wormhole桥攻击
Multichain?漏洞
轮廓
谁:有组织的团体,例如APT、独立黑客和内部人士。
复杂性:中等。
可自动化性:中等。
对未来的期望:随着软件系统的相互依赖性和复杂性的增加,供应链漏洞可能会增加。在为web3安全开发出良好的、标准化的漏洞披露方法之前,机会主义的黑客攻击也可能会增加。
治理攻击:选举掠夺者
这是上榜的第一个特定于加密行业的问题。web3中的许多项目都包含治理方面,代币持有者可以在其中提出改变网络的提案并对其进行投票。虽然这为持续发展和改进提供了机会,但它也打开了一个后门,可以引入恶意提案,如果实施可能会破坏网络。
攻击者设计了新的方法来规避控制、征用领导权和掠夺国库。攻击者可以拿出大量的“闪电贷”来获得足够的选票,就像最近发生DeFi项目Beanstalk上的事件一样。导致提案自动执行的治理投票更容易被攻击者利用。然而,如果提案的制定存在时间延迟或需要多方手动签署,则可能更难实施。
例子
Beanstalk资金转移事件
轮廓
谁:从有组织的团体(APT)到独立黑客的任何人。
复杂性:从低到高,取决于协议。
可自动化性:从低到高,取决于协议。?
对未来的期望:这些攻击高度依赖于治理工具和标准,尤其是当它们与监控和提案制定过程有关时。
定价预言机攻击:市场操纵者
准确地为资产定价是困难的。在传统交易领域,通过市场操纵人为抬高或压低资产价格是非法的,你可能会因此受到罚款或逮捕。在DeFi市场中,随机的用户能够“闪电交易”数亿或数十亿美元并导致价格突然波动,这个问题很明显。
许多web3项目依赖于“预言机”——提供实时数据的系统,是链上无法找到的信息来源。例如,预言机通常用于确定两种资产之间的交换定价。但攻击者已经找到方法来这些所谓的真相来源。
随着预言机标准化的进展,链下和链上世界之间将会有更安全的桥梁,我们可以期待市场对操纵尝试变得更有弹性。运气好的话,有朝一日这类攻击可能会几乎完全消失。
例子
Cream?市场操纵
轮廓
谁:有组织的团体(APT)、独立黑客和内部人士。
复杂程度:中等。
自动化:高。
对未来的期望:随着准确定价方法变得更加标准,可能会降低。
新漏洞:未知未知
“Zero-day”漏洞攻击——之所以这样命名,是因为它们在出现时就是只公开了0天的漏洞——是信息安全领域的热点问题,在web3安全领域也不例外。因为它们是突然出现的,所以它们是最难防御的攻击。
如果有的话,web3让这些昂贵的、劳动密集型的攻击更容易货币化,因为人们一旦被盗就很难追回加密资金。攻击者可以花费大量时间仔细研究运行链上应用程序的代码,以找到一个可以证明他们所有努力的错误。同时,一些曾经新颖的漏洞继续困扰着毫无戒心的项目;著名的重入漏洞曾发生在早期的以太坊项目?TheDAO上,如今继续在其它地方重新出现。
目前尚不清楚该行业将能够多快或轻松地适应对这些类型的漏洞进行分类,但对审计、监控和工具等安全防御的持续投资将增加攻击者试图攻击这些漏洞的成本。
例子
PolyNetwork的跨链交易漏洞
Qubit的无限铸币漏洞
轮廓
谁:有组织的团体(APT)、独立黑客和内部人士。
复杂性:中等-高。
可自动化性:低。
对未来的期望:更多的关注会吸引更多的白帽,并使发现新漏洞的“进入门槛”更高。同时,随着web3采用的增长,黑帽黑客寻找新漏洞的动机也在增加。就像在许多其他安全领域一样,这很可能仍然是一场猫捉老鼠的游戏。
親愛的用戶:為了給用戶帶來較好的交易深度與使用體驗,幣安將於2022年04月28日11:00移除以下交易對:ATOM/BIDR、FOR/BNB、QI/BNB、YFII/BNB注意:用戶還可以在幣.
1900/1/1 0:00:00尊敬的CloudExchange用户:CloudExchange即将上线MANA交易对,详情如下:币种名称:MANA币种全称:Decentraland发行量:2,193,963.
1900/1/1 0:00:00项目简称:ENJ项目全称:EnjinCoin发行时间:2018-03-24发行总量:10亿流通总量:8.782亿白皮书:https://enjincoin.
1900/1/1 0:00:00尊敬的XT.COM用戶:因DEL節點升級已完成,XT.COM現已恢復DEL充提業務。給您帶來的不便,請您諒解!感謝您對XT.COM的支持與信任!XT.COM團隊2022年4月26日https:/.
1900/1/1 0:00:00什么是网格交易??如何创建现货网格交易??名词解释?实例说明?常见问题?网格交易的风险???什么是网格交易??网格交易是一种量化交易策略,其运行逻辑是在一定的价格区间内不断自动低买高卖.
1900/1/1 0:00:00親愛的用戶:幣安理財每週三將為您推出一系列新的高收益活動。請繼續關注“幣安理財週三日”,您可以通過幣安寶、幣安Staking、流動性挖礦、雙幣投資等獲得高收益.
1900/1/1 0:00:00