SharkTeam:如何在「Web3 黑暗森林」中安全前行?

Foresight · 2023-09-26 19:50

Web3

钱包

Moonbeam

SharkTeam 在 Web3 安全服务过程中总结了几点基础但有用的安全建设方案,希望对大家有帮助。


原文标题:《SharkTeam:Web3 安全实践与创新》

撰文:SharkTeam


在 Web3 领域,安全漏洞、黑客攻击已愈发成为用户和投资者重点关注的领域。如何保障加密资产的安全,Web3 黑暗森林中又有哪些新的攻击模式产生,SharkTeam 将从一线进行分享和讨论。


我们先来看一下 2023 年 1 月到 8 月的安全事件数量和损失的数据统计。



由于熊市影响,加密领域的资产总量降低,因安全问题产生的损失同比去年下降了 59%。但这并不代表 Web3 领域的安全环境在变好,相反我们看到今年 1 月到 8 月,安全事件的数量达到 693 次,同比去年增加了 87%,平均每个月有近 90 起安全事件,其中频率最高的是 7 月份,发生了 187 起安全事件。


目前,智能合约安全漏洞、Rug Pull、Web2 类型的安全事件(钓鱼攻击、社会工程学)是 Web3 最主要的三大安全风险。



智能合约安全漏洞事件发生 85 起,其中 47% 是逻辑漏洞,主要原因是开发者安全意识薄弱,开发过程不够严谨,引入计算错误、业务逻辑错误等较低级的安全问题。此外,闪电贷攻击、权限管理等常见合约漏洞仍占比较高,均超过 10%。总体表明,项目方在进行合约开发的过程中缺少必须的安全意识和技能,导致常见漏洞和初级问题不断发生。



Rugpull 欺诈事件数量呈快速增长趋势,发生了 110 次。其中 73% 发生在 BNBChain 上,这与 BNBChain 上的交易成本低、用户基数大以及新出现的 Rugpull 黑色产业链有直接关系。



Web2 类型的安全事件也呈现高速增长的趋势,这类钓鱼攻击、社会工程学等黑客攻击手法在 Web2 时代已非常成熟,Web3 项目方和机构容易忽视,这类安全事件通常会窃取钱包账户授权或直接窃取助记词、私钥,盗取用户加密资产。


那么,从 Web3 普通用户的角度应该如何提高自己的安全能力呢?



首先,就是要重视去中心化钱包、私钥的安全,重视中心化交易账户和密码的安全,重视设备、软件、网络环境的安全。


此外,为了防范 Rugpull 欺诈类项目,要注意避免投机、侥幸心理,客观分析拟投资项目的基本面和数据表现,金融的本质是风控。


最后,时刻保持安全和防范意识,不要随意点击链接或随意授权,防范熟人作案。



从 Web3 项目方和机构角度,要保护好加密资产的安全需要做到如下几个方面:


首先,在项目设计和开发阶段,要有意识的引入威胁建模、安全编码、安全测试的机制和服务,让安全建设与业务开发同步进行。


此外,在上线前不仅要进行智能合约的安全审计,Web 端、Api 端、App 端都需要进行安全渗透测试,这些业务载体在黑客眼中都可能成为攻击的突破口。


最后,在项目运营期间就要建立明确的安全运营机制,例如攻击监测、应急响应计划等,在业务代码需要升级时要重新进行合约审计和渗透测试。在发生安全事件后,能第一时间感知到攻击并快速做出响应,及时对黑客进行身份追踪和资产冻结。


如上,是 SharkTeam 在 Web3 安全服务过程中总结的几点基础但有用的安全建设方案,希望对大家有帮助。但更重要的是,Web3 的攻防实际上正在不断升级,新的攻击方式也在不断出现,Web3 黑暗森林在不断进化,面对这种情况,我们又该怎样应对呢?未知攻焉知防,我们先看两个典型的例子。



RugPull 工厂:在 BNBChain 上我们发现了多个 Rugpull 工厂,并已形成了新型的链上欺诈黑色产业链。欺诈团队分工明确:


(1)情报收集:专门负责收集行业里的热门话题,例如近期热门的 Cyber、TIP、HTX 等。

(2)自动发币:基于热门事件,迅速发布同名 Token,我们监测到某个 Rugpull 工厂地址一个月可发布 70 至 80 个虚假 Token。

(3)虚假交易量:欺诈团伙对同名 Token 在链上进行频繁的买卖,制造交易量,提高隐蔽性,用户难以分辨真伪。

(4)钓鱼 / 资金盘:制作钓鱼网站或土狗骗局,骗取用户信任,获得用户授权或真实购买。

(5)收割:获得授权或收益后,程序会自动的将用户资产进行转移或自动 Rugpull。

(6)布局:获得的收益投入下一个 Rugpull 项目上,滚雪球一样,越滚越大。



新型 APT 攻击(Advanced Persistent Theft):Web3 黑暗森林中开始出现越来越多的高等级黑客,有些甚至是国家黑客。他们在 Web3 行业中获得的资金会经过一系列新型的洗钱模式变成现实资产,为后续不法行为提供资金。这一类黑客的资金转移方式非常复杂和隐蔽,通常会经过 30 至 50 个中间地址进行中转,并通过「混币」或「套壳」的方式进行洗钱,追踪难度很大。


Web3 安全已进入高等级、持续性的网络对抗阶段,那对于 Rugpull 工厂和新型 APT 攻击的威胁,我们应该如何应对?



建立覆盖事前 - 事中 - 事后的 Web3 安全防御体系,安全从来都是系统工程,是短板效益,一个地方出现问题整体就会被攻破。所以,我们需要建立立体式的安全防御体系,提高防御能力、提高攻击感知能力、提高安全事件发生后的应急响应能力。



利用无限层级的深度图分析引擎,结合亿级的链上标签和名单数据,对高等级黑客进行身份追踪和资金追讨。通过简单易用的图形化界面,降低使用门槛,让更多的人可以进行有效的链上分析,合力发现更多线索,在这一场 Web3 安全高等级对抗中争取主动。



SharkTeam 的 Web3 安全服务矩阵如上。

免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表Bi123的观点或立场

相关推荐

上一篇:美国政府即将再次面临「关门危机」 ,对加密市场影响几何?

下一篇:食物发霉、没有空调...揭秘 SBF 的监狱生活

扫码下载APP添加官方微信
行情机会交流