我最近看到Forrester的一份新报告称“Web3 应用程序(包括 NFT)不仅容易受到攻击,而且它们通常呈现出比传统应用程序更广泛的攻击面(由于区块链的分布式特性)。”
这一发现促使我与一位 Web3 专家交谈,以更深入地研究 Web3 网络安全领域,看看存在哪些风险,并可能困扰价值近30 亿美元的市场(截至 2021 年)。
我已经联系了 Zokyo 的创始人兼首席执行官Hartej Sawhney , Zokyo是一家建立、保护和资助加密、DeFi 和 NFT 公司的风险工作室。作为 Web3 行业的先驱,Hartej 在提升数字资产生态系统标准以及推出为安全性、透明度和合规性设定行业基准的产品和服务方面发挥了关键作用。
特别是,我们讨论了智能合约审计中发现的常见网络安全漏洞、社会工程在与 web3 相关的网络欺诈中的作用、在投资 web3 应用程序开发之前应考虑哪些网络安全风险、如何保护 NFT 以及更多的。
享受对话!
当然! 2013 年,我在拉斯维加斯生活时认真地接触了加密货币。当时,我正在经营一家名为 Zuldi 的金融科技初创公司——这是一种与食品和饮料传统 PoS 系统集成的移动销售点 (PoS) 解决方案。
2016 年,我与“加密 OG”Yo Sub Kwon 共同创立了 Hosho,其愿景是建立一家位于区块链和网络安全交叉领域的公司。
当时,世界上没有一家公司坐在这个十字路口。当然,一些公司确实在其更大的实体中开辟了一个单独的部门,专注于智能合约审计。尽管如此,没有一家公司会称自己为“加密/Web3 网络安全公司”,并且不仅仅涵盖源代码和智能合约审计。话虽如此,没有一家公司专门从事信息安全、运营安全、渗透测试和一般合规等方面的工作。
我们很快就建立了 Hosho。总部位于美国拉斯维加斯,我们迅速成长为一个 37 人的团队,仅在公司成立的前 12 个月内就创造了约 400 万美元的收入。我们不是远程优先,我们的大多数员工都在拉斯维加斯。我们从采用这种方法中吸取了很多教训。
我们从未启动过我们的 ICO,因为我们无法找到智能合约审计员需要自己代币的理由。所以,我们从来没有推出自己的代币,也决定不筹集风险投资,尤其是在那个时候。这主要是因为我们没有制造自己的产品。在我们的核心,我们仍然是一家以服务为导向的企业,对硅谷的风险投资家没有太大的吸引力。
2018 年,加密市场崩盘,所有对智能合约审计的需求基本消失。我们无法在拉斯维加斯的办公室维持一支由著名且著名的白帽黑客组成的昂贵团队为我们工作。所以,可悲的是,我们不得不让每个人都去解雇我们的团队。
不久之后,我从拉斯维加斯搬到了乌克兰的基辅。在两个月内,我开始建立 Zokyo 并聘请乌克兰的智能合约审计员。我们为 Zokyo 建立了一个登陆页面,并开始审核智能合约。在熊市期间,工作从审核 ICO 的智能合约转向审核第一层区块链的块。
不知不觉中,DeFi 夏天来了,智能合约审计的需求又回来了。当时,我环游世界,在主要的区块链和加密会议上发表演讲,并举办私人活动,我们在每个主要地区策划了最好的区块链建设者。由于这一事实,并且由于我在 Hosho 的业绩记录,我很快就被寻求网络安全解决方案的公司联系上了,尤其是智能合约审计。
当我们审计智能合约时,我们有时会遇到诸如重入、恶意库、 ERC20 API 违规、隐式可见性级别、不安全类型推断、具有块气体限制的 DoS和时间戳依赖性等漏洞。每当我们遇到潜在的漏洞时,我们都会与开发团队分享我们的发现,并为他们提供修复它们的机会。一旦团队修复了所有已识别的漏洞,我们将再次审核智能合约。
大多数情况下,经验丰富的开发人员会从多年来最常见的错误中吸取教训,并尽量不重蹈覆辙。
如今,大多数关键漏洞都来自开发人员在编写代码时没有考虑到的合约底层业务逻辑和边缘案例。这就是为什么进行逐行手动代码审查至关重要的原因。
通过我们审核的智能合约实施最佳实践,并且没有具有特殊权力的合约所有者。例如,稳健的设计可以在黑天鹅事件的情况下缓解问题——在所有权方面分散,不允许任何参与者对实施或逻辑拥有过多的权力或控制权。
以 95% 甚至 100% 的覆盖率进行单元测试非常重要。无论严重程度如何,团队都会根据我们的建议修复所有错误。我们还将就未来的开发计划以及它们如何影响实际产品进行公开讨论。
在投资之前,与信誉良好的团队成员一起进行多次并发审计非常重要。你必须研究审计报告,从高层次了解产品的设计或逻辑。首先,审计报告是为社区创建的,第二是为投资者创建的,第三是为开发团队创建的。
Web3 事务是不可变的。因此,它们一旦发生就无法逆转。这使得预防性安全对 web3 至关重要,因为财务影响可能很大。因此,它背离了 web2 的反应式检测和响应安全模型。
社会工程攻击继续困扰着这个行业。然而,web3 中的社会工程有点不同。除了发送网络钓鱼电子邮件之外,威胁参与者还可能会破坏一个流行的 Twitter 帐户,并向毫无戒心的用户推广加密赠品计划和 NFT 项目。
网络钓鱼是最近导致黑客访问 Sky Mavis 的四个 Ronin 验证器和由 Axie DAO 运行的第三方验证器的原因。
Web3 公司负担不起实施被动和事件驱动的安全方法。
公司,即使是处于早期阶段的公司,也需要聘请首席创新安全官 (CISO),利用CISO 委员会手册制定网络法规的最佳标准和方法。 CISO 手册涵盖了最重要的框架之一——美国商务部的 NIST(国家标准与技术研究院)。
Zokyo 与许多顶级投资公司密切合作,并积累了内部专业知识和资源来进行项目的技术和安全投资尽职调查。我们投资的公司通过了定性和定量的尽职调查。我们支持了一系列具有技术架构、工程智能合约、设计和审查代币经济学以及网络安全的早期公司。我们的大部分投资重点都放在核心加密基础设施上。
可悲的是,在 2022 年,我们看到 NFT 犯罪造成的损失增加了 6 倍以上。我见过的大多数 NFT 犯罪都是与存储或助记词无关的恶意签名/错误。
NFT 的问题在于它们是交互式的。你不能只是把它们拱起来。人们经常被建议使用硬件钱包。尽管如此,当您签署恶意交易时,诸如 Ledger 之类的硬件钱包仍无法拯救您。
为了保护您的 NFT 投资组合,您需要在使用热钱包、冷钱包和保险库(第二个硬件钱包)时具有分层结构。使用热钱包铸造 NFT 并与合约交互。您只想拥有在特定时间段内铸造/购买 NFT 所需的资金。在冷钱包中,您将存储您列出的待售资产。第三,您有一个仅进行输入/输出交易的保险库。尽管如此,您永远不会将此钱包连接到任何网站或与任何合约进行交互。
作为用户,您必须确保遵循网络安全最佳实践,尤其是在这个领域。 web3 的全部意义在于赋予用户权力并赋予他们完全的控制权。然而,这是一把双刃剑,因为它让用户对自己的数据更加负责。因此,在 web3 中(比在 web2 中更多),网络钓鱼、键盘记录器和恶意软件等社会工程攻击可能比 web2 中更具破坏性,因为它们可能导致显着更高的经济损失。