关于Web3安全性:已经发现的攻击类型以及应该吸取的教训 - icode9互联网宝贵经验(2022已更新)(今日/科普)
作者:互联网
Web3的安全性在很大程度上取决于区块链独特的承诺能力和抗人为干扰的能力。由于最终性的相关属性,这些软件控制的网络是攻击者的主要目标,其中交易通常是不可逆的。作为web3核心的分布式计算机网络区块链获得了价值,支持的技术和应用程序也获得了价值,使其成为攻击者越来越有吸引力的目标。
尽管web3与早期的互联网迭代有所不同,但我们已经看到了与历史软件安全趋势的相似之处。
主要问题通常仍然相同。
通过研究这些主题,防御者——无论是开发人员、安全团队还是普通的加密用户——可以更好地保护他们的项目、个人物品和钱包免受潜在的窃贼的侵害。
根据我们的专业知识,我们在下面列出了几个反复出现的主题和预测。
跟着钱走
- 攻击者通常希望从他们的投资中获得最佳回报。由于更高的潜在回报,他们可以花费更多的时间和精力来攻击具有更多“总价值锁定”或TVL的协议。
- 高价值系统更经常成为拥有最多资源的黑客组织的目标。
- 这些理想的目标也更常见的是新漏洞利用的目标,这是最有利可图的类型。
- 我们预计,在可预见的未来,网络钓鱼等低成本攻击将变得更加普遍。
修补漏洞
-
随着程序员从久经考验的攻击中获得知识,web3软件最终可能会变得“默认安全”。
应用程序编程接口或API经常被收紧,以减少导致引入漏洞的错误的可能性。 -
随着安全技术和技术的进步,以下攻击(包括治理攻击、定价预言机操纵和重入漏洞)的有效性可能会显着下降。
-
为攻击者移除大部分唾手可得的果实可能会增加攻击的成本,即使安全始终是一项正在进行的工作,并且没有任何东西可以防止黑客入侵。
-
无法保证“完美”安全的平台将需要采用漏洞缓解措施来降低损失的可能性。通过降低成本收益等式中的“收益”或向上部分,这可能会阻止攻击。
分类攻击
- 对不同系统的攻击可以根据它们的相似属性进行分类。定义质量包括攻击的复杂程度、攻击的自动化程度以及可以采取哪些保护措施来对抗它们。
定价预言机攻击:市场操纵者:
难以准确评估资产。传统交易环境禁止操纵市场,如果人为抬高或降低资产价格,您将面临被罚款甚至被捕的风险。
这个问题在DeFi中很严重,它使任意个人能够“闪电交易”数亿或数十亿美元,从而导致价格突然变化。
许多web3计划都依赖于“预言机”,预言机是提供实时数据并作为无法在链上获取的数据源的计算机系统。
例如,预言机经常用于计算两种资产之间的汇率。
然而,攻击者发现了一种欺骗这些据称可靠来源的方法。
随着预言机标准化的进展,链下和链上世界之间将会有更安全的桥梁,我们可以期待市场对操纵尝试变得更有弹性。运气好的话,有朝一日这类攻击可能会几乎完全消失。
- 轮廓
- 谁:有组织的团体(APT)、独唱演员和内部人士。
- 复杂程度:中等(需要技术知识)。
- 自动化程度:高(大多数攻击可能涉及自动化检测可利用问题)。
- 对未来的期望:随着准确定价方法变得更加标准,可能会降低。
治理攻击:选举窃取者:
出现在列表中的第一个特定于加密的问题就是这个。许多web3项目中都有一个治理组件,允许代币持有者提交和决定网络变更请求。虽然这为持续开发和改进提供了机会,但它也为引入恶意想法创造了后门,如果实施这些想法可能会损害网络。
攻击者已经制定了新的策略来绕过限制、控制领导层并掠夺金库。现在已经在野外看到了治理攻击,而以前它们只是理论上的担忧。正如最近在去中心化金融或DeFi项目Beanstalk中所发生的那样,攻击者可以拿出大量的“闪电贷”来影响选票。攻击者可以更轻松地利用触发自动提案执行的治理投票;但是,如果提案制定被延迟或需要多方的人工批准(例如通过多重签名钱包),则可能更难以实施。
- 轮廓
- 谁:从有组织的团体(APT)到独奏演员的任何人。
- 复杂性:从低到高,取决于协议。(许多项目都有活跃的论坛、Twitter和Discord上的社区,以及可以轻松暴露更多业余尝试的委派仪表板。)
- 可自动化性:从低到高,取决于协议。
- 对未来的期望:这些攻击高度依赖于治理工具和标准,尤其是当它们与监控和提案制定过程相关时。
供应链漏洞:最薄弱的环节:
汽车制造商在发现汽车有故障部件时会发出安全召回,软件供应链也不例外。
第三方为软件创建的库增加了攻击面。这一直是web3之前的系统的一个安全问题,正如去年12月的log4j黑客攻击所证明的那样,这对许多Web服务器软件产生了影响。为了找到他们可能利用的未修补漏洞,攻击者将在互联网上搜索已知漏洞。
尽管您的工程人员可能尚未创建导入的代码,但仍需要对其进行维护。团队必须跟踪他们所依赖的项目的进度和状况,检查软件各个组件中的漏洞,并确保应用更新。由于利用web3软件漏洞的实际和直接成本,很难适当地告知图书馆用户这些风险。对于团队应该如何或在何处相互分享它们,以免无意中危及用户资金,陪审团仍然没有定论。
- 轮廓
- 谁:有组织的团体,例如APT、独唱演员和内部人士。
- 成熟度:中等(需要技术知识和一些时间)
- 可自动化性:中等(可以自动扫描查找有缺陷的软件组件;但是当发现新漏洞时,需要手动构建漏洞利用)。
- 对未来的预期:随着软件系统的相互依赖性和复杂性的增加,供应链漏洞可能会增加。在为web3安全开发出良好的、标准化的漏洞披露方法之前,机会主义的黑客攻击也可能会增加。
APT操作:顶级掠夺者:
专家对手,有时称为高级持续威胁(APT),是安全行业的恶魔。他们有广泛的动机和技能,但正如他们的名字所暗示的那样,他们经常富有和坚持不懈;遗憾的是,它们很可能一直存在。尽管各种APT执行范围广泛的操作,但这些威胁参与者更有可能直接针对业务的网络层以实现其目标。
我们知道某些高度发达的团体正在积极推行web3计划,我们相信可能还会有更多身份不明的实体。最令人担忧的APT的负责人通常居住在与美国和欧盟没有引渡协议的国家,这使得对他们提出指控更具挑战性。Lazarus是一个被FBI指责为实施迄今为止最大的加密攻击的朝鲜组织,它是最知名的APT之一。
- 轮廓
- 谁:民族国家、资金雄厚的犯罪组织和其他先进的有组织的团体。例子包括浪人黑客(Lazarus,与朝鲜有广泛联系)。
- 复杂性:高(仅适用于资源丰富的群体,通常在不会起诉的国家)。
- 可自动化性:低(仍然主要是使用一些自定义工具进行手动操作)
- 对未来的期望:只要APT能够将其活动货币化或实现各种政治目的,它们就会保持活跃。
新弱点:未知未知:
Web3安全性也不例外。“零日”漏洞之所以如此命名,是因为它们在首次亮相时就以零日而广为人知,在信息安全领域是一个有争议的话题。最难抵御的攻击是那些突然出现的攻击。
如果有的话,Web3让这些昂贵、耗时的操作变得更简单,因为找回被盗的加密货币可能具有挑战性。攻击者可以花费大量时间查看链上应用程序的代码,以试图发现使他们的努力值得的缺陷。
不知情的项目仍然受到某些以前的新漏洞的困扰;例如,显着导致早期以太坊项目TheDAO失败的重入问题今天仍然存在于其他地方。
- 轮廓
- 谁:有组织的团体(APT)、独立演员(不太可能)和内部人员。
- 复杂性:中等-高(需要技术知识,但并非所有漏洞都太复杂以至于人们无法理解)。
- 可自动化性:低(发现新漏洞需要时间和精力,而且不太可能自动化;一旦发现,在其他系统中扫描类似问题会更容易)。
- 对未来的期望:更多的关注会吸引更多的白帽,并使发现新漏洞的“进入门槛”更高。同时,随着web3采用的增长,黑帽黑客寻找新漏洞的动机也在增加。就像在许多其他安全领域一样,这很可能仍然是一场猫捉老鼠的游戏。
以上就是今天(2022年11月9日18:12:46)小编为大家整理的icode9【Web3互联网宝贵经验】,希望对大家有所帮助。