WEB:a16z :详解Web3安全领域常见的攻击类型和经验教训

原文作者:RiyazFaizullabhoy与MattGleason

原文标题:《a16z.com/2022/04/23/web3-security-crypto-hack-attack-lessons/">Web3Security:AttackTypesandLessonsLearned》

原文编译:胡韬,链捕手

web3的大量安全性取决于区块链做出承诺和对人为干预具有弹性的特殊能力。但是最终性的相关特征——交易通常是不可逆的——使得这些软件控制的网络成为攻击者的诱人目标。事实上,随着区块链——作为web3基础的去中心化计算机网络——及其伴随的技术和应用程序积累价值,它们越来越成为攻击者梦寐以求的目标。

尽管web3与早期的互联网迭代有所不同,但我们已经观察到与以前的软件安全趋势的共同点。在许多情况下,最大的问题与以往一样。通过研究这些领域,防御者——无论是开发商、安全团队还是日常加密用户——可以更好地保护自己、他们的项目和钱包免受潜在的窃贼的侵害。下面我们根据经验提出一些常见的主题和预测。

跟着资金

攻击者通常旨在最大化投资回报。他们可以花费更多的时间和精力来攻击具有更多“总价值锁定”或TVL的协议,因为潜在的回报更大。

a16z合伙人Chris Dixon:因投资Coinbase而未投资FTX,离岸交易所不受监管本身就是隐患:12月19日消息,a16z 合伙人 Chris Dixon 近日在 The Block 的播客 The Scoop 中谈到为什么 a16z 从未投资过 FTX等话题。主持人问 Chris Dixon躲过 FTX 是技巧还是运气,对此,Chris Dixon 表示,自己只和 SBF 在线上会议上有过对谈,并无深交。之所以没有投资 FTX 主要是因为投资了 Coinbase,而和 Coinbase 合作的经验告诉他,合规、安全要比灵魂和创新更重要,所以,FTX 这种离岸加密交易所不受监管本身就是一种隐患。

为什么 FTX、Phoenix 等交易所会选择将总部设立在巴哈马群岛?谁来审计他们?Chris Dixon 说道,没有投资 FTX 并非完全出于运气,a16z 在投资领域积累了十多年的经验,会在投资前做大量的工作,并且认真思考什么是真正的技术创新。[2022/12/19 21:54:14]

资源最丰富的黑客组织更经常瞄准高价值系统。新颖的攻击也更频繁地针对这些珍贵的目标。

低成本攻击永远不会消失,我们预计它们在可预见的未来会变得更加普遍。

修补漏洞

“Twitter替代品”Post News获a16z投资:11月29日消息,“两周前刚刚公开的“Twitter替代品”Post News宣布已获得a16z和纽约大学教授兼科技评论员Scott Galloway投资,具体投资金额暂未对外披露。

Post News表示将提供“无需订阅或广告的优质新闻内容”,目前已推出测试版,其中有类似于Twitter的基本功能,如发帖、点赞和转发。分析认为a16z投资Twitter竞争对手行为是个“奇怪的选择”,因为该风投在马斯克收购Twitter中贡献4亿美元。(TechCrunch)[2022/11/29 21:09:44]

随着开发人员从久经考验的攻击中学习,他们可能会将web3软件的状态提高到“默认安全”的程度。通常,这涉及收紧应用程序编程接口或API,?以使人们更难错误地引入漏洞。

虽然安全始终是一项正在进行中的工作,但防御者和开发人员可以通过消除攻击者的大部分低成本果实来提高攻击成本。

随着安全实践的改进和工具的成熟,以下攻击的成功率可能会大幅下降:治理攻击、价格预言机操纵和重入漏洞。

无法确保“完美”安全性的平台将不得不使用漏洞缓解措施来降低损失的可能性。这可能会通过减少其成本收益分析的“收益”或上行空间来阻止攻击者。

SBF、a16z合伙人、蚂蚁集团CEO等Web3领域人物将出席香港金融科技周并发表演讲:10月28日消息,据香港金融科技周官网信息,SBF、a16z合伙人AlexRampell、AnimocaBrands联创YatSiu、蚂蚁集团CEO井贤栋等加密和Web3领域重磅人物将出席香港金融科技周并发表演讲。该活动将于10月31日至11月4日举行。

10月16日,香港财政司司长陈茂波表示,特区政府将在该活动上发布有关虚拟资产在港发展的政策宣言,内容涵盖愿景和策略、监管制度、对于开放投资者接触虚拟资产的取态,以及为把握虚拟资产带来的技术优势推出先导项目。陈茂波称,政策宣言将向全球业界展示推动香港发展成国际虚拟资产中心的愿景,以及与全球资产业界一同探索金融创新的承担和决心。[2022/10/28 11:52:45]

分类攻击

对不同系统的攻击可以根据它们的共同特征进行分类。定义特征包括攻击的复杂程度、攻击的自动化程度以及可以采取哪些预防措施来防御它们。

以下是我们在过去一年中最大的黑客攻击中看到的攻击类型的非详尽列表。我们还包括了我们对当今威胁形势的观察以及我们预计未来web3安全性的发展方向。

APT操作:顶级掠食者

通常称为高级持续威胁(APT)的专家对手是安全的恶魔。他们的动机和能力差异很大,但他们往往富有而且坚持不懈。不幸的是,他们很可能会一直在身边。不同的APT运行许多不同类型的操作,但这些威胁参与者往往最有可能直接攻击公司的网络层以实现其目标。?

a16z宣布放弃实体总部并迁移到云端,硅谷正逐渐失去网络效应:7月22日消息,Andreessen Horowitz(a16z)创始合伙人Ben Horowitz撰写最新文章,宣布未来a16z的总部将设在云端,在公司的新运营模式中,主要以虚拟方式工作,但是可以根据实际需求设立实体办公室,帮助企业家更好地发展。[2022/7/22 2:30:28]

我们知道一些高级团体正在积极瞄准web3项目,我们怀疑还有其他人尚未确定。最受关注的APT背后的人往往生活在与美国和欧盟没有引渡条约的地方,这使得他们更难因其活动而受到起诉。最著名的APT之一是Lazarus,这是一个朝鲜组织,美国联邦调查局最近称其进行了迄今为止最大的加密黑客攻击。

例子:

Ronin验证器被攻击

轮廓

谁:民族国家、资金雄厚的犯罪组织和其他先进的有组织的团体。例子包括Ronin黑客。?

复杂性:高。

可自动化性:低

对未来的期望:只要APT能够将其活动货币化或实现各种目的,它们就会保持活跃。

以用户为目标的网络钓鱼:社会工程学

网络钓鱼是一个众所周知的普遍问题。网络钓鱼者试图通过各种渠道发送诱饵消息来诱捕他们的猎物,这些渠道包括即时通讯、电子邮件、Twitter、电报、Discord和被黑网站。如果你浏览垃圾邮件邮箱,你可能会看到数百次企图诱你泄露密码等信息或窃取你的钱财。?

a16z:SEC提出的交易所定义过于宽泛可能会抑制web3创新:金色财经消息,AndreessenHorowitz(a16z)针对SEC提交的交易法提案提交了一封评论信。a16z在信中反对 SEC 提出的交易所定义,认为其过于宽泛并可能会抑制 web3的创新。具体来说,a16z认为它并不适用于DeFi协议,并断言如果它适用,则会受到行政程序法的重大缺陷的影响。

对此a16z呼吁SEC建设性地与web3创新者接触,以保护投资者并促进这一至关重要的技术的创新。[2022/4/19 14:33:07]

现在web3允许人们直接交易资产,例如代币或NFT,几乎可以立即确定,网络钓鱼活动正在针对其用户。对于知识或技术专业知识很少的人来说,这些攻击是通过窃取加密货币来赚钱的最简单方法。即便如此,对于有组织的团体来说,它们仍然是一种有价值的方法来追踪高价值目标,或者对于高级团体来说,通过例如网站接管来发动广泛的、抽干钱包的攻击。?

例子

直接针对用户的OpenSea网络钓鱼活动

针对前端应用程序的BadgerDAO网络钓鱼攻击

轮廓

谁:从脚本初学者到有组织的团体的任何人。

复杂性:低-中。

可自动化性:中等-高。

对未来的期望:网络钓鱼的成本很低,网络钓鱼者往往会适应并绕过最新的防御措施,因此我们预计这些攻击的发生率会上升。可以通过增加教育和意识、更好的过滤、改进的警告横幅和更强大的钱包控制来改进用户防御。

供应链漏洞:最薄弱的环节

当汽车制造商发现车辆中的缺陷部件时,他们会发出安全召回。在软件供应链中也不例外。

第三方软件库引入了很大的攻击面。在web3之前,这一直是跨系统的安全挑战,例如去年12月影响广泛的Web服务器软件的log4j漏洞利用。攻击者将扫描互联网以查找已知漏洞,以找到他们可以利用的未修补问题。

导入的代码可能不是由项目自己的工程团队编写的,但其维护至关重要。团队必须监控其软件组件的漏洞,确保部署更新,并及时了解他们所依赖的项目的动力和健康状况。web3软件漏洞利用的真实和即时成本使得负责任地将这些问题传达给用户具有挑战性。关于团队如何或在何处以一种不会意外使用户资金面临风险的方式相互交流这些信息,目前还没有定论。?

例子

Wormhole桥攻击

Multichain?漏洞

轮廓

谁:有组织的团体,例如APT、独立黑客和内部人士。

复杂性:中等。

可自动化性:中等。

对未来的期望:随着软件系统的相互依赖性和复杂性的增加,供应链漏洞可能会增加。在为web3安全开发出良好的、标准化的漏洞披露方法之前,机会主义的黑客攻击也可能会增加。

治理攻击:选举掠夺者

这是上榜的第一个特定于加密行业的问题。web3中的许多项目都包含治理方面,代币持有者可以在其中提出改变网络的提案并对其进行投票。虽然这为持续发展和改进提供了机会,但它也打开了一个后门,可以引入恶意提案,如果实施可能会破坏网络。

攻击者设计了新的方法来规避控制、征用领导权和掠夺国库。攻击者可以拿出大量的“闪电贷”来获得足够的选票,就像最近发生DeFi项目Beanstalk上的事件一样。导致提案自动执行的治理投票更容易被攻击者利用。然而,如果提案的制定存在时间延迟或需要多方手动签署,则可能更难实施。

例子

Beanstalk资金转移事件

轮廓

谁:从有组织的团体(APT)到独立黑客的任何人。

复杂性:从低到高,取决于协议。

可自动化性:从低到高,取决于协议。?

对未来的期望:这些攻击高度依赖于治理工具和标准,尤其是当它们与监控和提案制定过程有关时。

定价预言机攻击:市场操纵者

准确地为资产定价是困难的。在传统交易领域,通过市场操纵人为抬高或压低资产价格是非法的,你可能会因此受到罚款或逮捕。在DeFi市场中,随机的用户能够“闪电交易”数亿或数十亿美元并导致价格突然波动,这个问题很明显。

许多web3项目依赖于“预言机”——提供实时数据的系统,是链上无法找到的信息来源。例如,预言机通常用于确定两种资产之间的交换定价。但攻击者已经找到方法来这些所谓的真相来源。

随着预言机标准化的进展,链下和链上世界之间将会有更安全的桥梁,我们可以期待市场对操纵尝试变得更有弹性。运气好的话,有朝一日这类攻击可能会几乎完全消失。

例子

Cream?市场操纵

轮廓

谁:有组织的团体(APT)、独立黑客和内部人士。

复杂程度:中等。

自动化:高。

对未来的期望:随着准确定价方法变得更加标准,可能会降低。

新漏洞:未知未知

“Zero-day”漏洞攻击——之所以这样命名,是因为它们在出现时就是只公开了0天的漏洞——是信息安全领域的热点问题,在web3安全领域也不例外。因为它们是突然出现的,所以它们是最难防御的攻击。

如果有的话,web3让这些昂贵的、劳动密集型的攻击更容易货币化,因为人们一旦被盗就很难追回加密资金。攻击者可以花费大量时间仔细研究运行链上应用程序的代码,以找到一个可以证明他们所有努力的错误。同时,一些曾经新颖的漏洞继续困扰着毫无戒心的项目;著名的重入漏洞曾发生在早期的以太坊项目?TheDAO上,如今继续在其它地方重新出现。

目前尚不清楚该行业将能够多快或轻松地适应对这些类型的漏洞进行分类,但对审计、监控和工具等安全防御的持续投资将增加攻击者试图攻击这些漏洞的成本。

例子

PolyNetwork的跨链交易漏洞

Qubit的无限铸币漏洞

轮廓

谁:有组织的团体(APT)、独立黑客和内部人士。

复杂性:中等-高。

可自动化性:低。

对未来的期望:更多的关注会吸引更多的白帽,并使发现新漏洞的“进入门槛”更高。同时,随着web3采用的增长,黑帽黑客寻找新漏洞的动机也在增加。就像在许多其他安全领域一样,这很可能仍然是一场猫捉老鼠的游戏。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

USDCNFT:【Hoo虎符研究院】区块链简报 20220425期

聚焦区块热点,传递价值信息 过去一周重要事情回顾: ·灰度CEO:若比特币ETF申请被驳回或将对SEC采取法律行动;·MovetoEarn应用STEPN过去24小时新铸造鞋子4699双;·耐克推.

[0:15ms0-0:611ms