互联网
首页 > 互联网> > 关于Web3安全性:已经发现的攻击类型以及应该吸取的教训 - icode9互联网宝贵经验(2022已更新)(今日/科普)

关于Web3安全性:已经发现的攻击类型以及应该吸取的教训 - icode9互联网宝贵经验(2022已更新)(今日/科普)

作者:互联网

Web3的安全性在很大程度上取决于区块链独特的承诺能力和抗人为干扰的能力。由于最终性的相关属性,这些软件控制的网络是攻击者的主要目标,其中交易通常是不可逆的。作为web3核心的分布式计算机网络区块链获得了价值,支持的技术和应用程序也获得了价值,使其成为攻击者越来越有吸引力的目标。

尽管web3与早期的互联网迭代有所不同,但我们已经看到了与历史软件安全趋势的相似之处。
主要问题通常仍然相同。
通过研究这些主题,防御者——无论是开发人员、安全团队还是普通的加密用户——可以更好地保护他们的项目、个人物品和钱包免受潜在的窃贼的侵害。
根据我们的专业知识,我们在下面列出了几个反复出现的主题和预测。
 

跟着钱走


修补漏洞


分类攻击

定价预言机攻击:市场操纵者:
难以准确评估资产。传统交易环境禁止操纵市场,如果人为抬高或降低资产价格,您将面临被罚款甚至被捕的风险。
这个问题在DeFi中很严重,它使任意个人能够“闪电交易”数亿或数十亿美元,从而导致价格突然变化。

许多web3计划都依赖于“预言机”,预言机是提供实时数据并作为无法在链上获取的数据源的计算机系统。
例如,预言机经常用于计算两种资产之间的汇率。
然而,攻击者发现了一种欺骗这些据称可靠来源的方法。

随着预言机标准化的进展,链下和链上世界之间将会有更安全的桥梁,我们可以期待市场对操纵尝试变得更有弹性。运气好的话,有朝一日这类攻击可能会几乎完全消失。


治理攻击:选举窃取者:
出现在列表中的第一个特定于加密的问题就是这个。许多web3项目中都有一个治理组件,允许代币持有者提交和决定网络变更请求。虽然这为持续开发和改进提供了机会,但它也为引入恶意想法创造了后门,如果实施这些想法可能会损害网络。

攻击者已经制定了新的策略来绕过限制、控制领导层并掠夺金库。现在已经在野外看到了治理攻击,而以前它们只是理论上的担忧。正如最近在去中心化金融或DeFi项目Beanstalk中所发生的那样,攻击者可以拿出大量的“闪电贷”来影响选票。攻击者可以更轻松地利用触发自动提案执行的治理投票;但是,如果提案制定被延迟或需要多方的人工批准(例如通过多重签名钱包),则可能更难以实施。


供应链漏洞:最薄弱的环节:
汽车制造商在发现汽车有故障部件时会发出安全召回,软件供应链也不例外。

第三方为软件创建的库增加了攻击面。这一直是web3之前的系统的一个安全问题,正如去年12月的log4j黑客攻击所证明的那样,这对许多Web服务器软件产生了影响。为了找到他们可能利用的未修补漏洞,攻击者将在互联网上搜索已知漏洞。

尽管您的工程人员可能尚未创建导入的代码,但仍需要对其进行维护。团队必须跟踪他们所依赖的项目的进度和状况,检查软件各个组件中的漏洞,并确保应用更新。由于利用web3软件漏洞的实际和直接成本,很难适当地告知图书馆用户这些风险。对于团队应该如何或在何处相互分享它们,以免无意中危及用户资金,陪审团仍然没有定论。


APT操作:顶级掠夺者:
专家对手,有时称为高级持续威胁(APT),是安全行业的恶魔。他们有广泛的动机和技能,但正如他们的名字所暗示的那样,他们经常富有和坚持不懈;遗憾的是,它们很可能一直存在。尽管各种APT执行范围广泛的操作,但这些威胁参与者更有可能直接针对业务的网络层以实现其目标。

我们知道某些高度发达的团体正在积极推行web3计划,我们相信可能还会有更多身份不明的实体。最令人担忧的APT的负责人通常居住在与美国和欧盟没有引渡协议的国家,这使得对他们提出指控更具挑战性。Lazarus是一个被FBI指责为实施迄今为止最大的加密攻击的朝鲜组织,它是最知名的APT之一。


新弱点:未知未知:
Web3安全性也不例外。“零日”漏洞之所以如此命名,是因为它们在首次亮相时就以零日而广为人知,在信息安全领域是一个有争议的话题。最难抵御的攻击是那些突然出现的攻击。

如果有的话,Web3让这些昂贵、耗时的操作变得更简单,因为找回被盗的加密货币可能具有挑战性。攻击者可以花费大量时间查看链上应用程序的代码,以试图发现使他们的努力值得的缺陷。

不知情的项目仍然受到某些以前的新漏洞的困扰;例如,显着导致早期以太坊项目TheDAO失败的重入问题今天仍然存在于其他地方。


以上就是今天(2022年11月9日18:12:46)小编为大家整理的icode9【Web3互联网宝贵经验】,希望对大家有所帮助。

标签:Web3,APT操作,API,漏洞,网络区块链
来源: