An ninh mạng trong Web3: Cách nhảy vào Bandwagon một cách an toàn

Gần đây, tôi đã xem một báo cáo mới từ Forrester nói rằng "Các ứng dụng Web3 (bao gồm cả NFT) không chỉ dễ bị tấn công, chúng thường thể hiện bề mặt tấn công rộng hơn (do bản chất phân tán của các blockchains) so với các ứng dụng thông thường."

Phát hiện này đã thúc đẩy tôi nói chuyện với một chuyên gia Web3 để tìm hiểu sâu hơn về không gian an ninh mạng Web3 và xem những rủi ro nào tồn tại và có thể gây ảnh hưởng đến thị trường trị giá gần 3 tỷ đô la (tính đến năm 2021).

Tôi đã liên hệ với Hartej Sawhney , Người sáng lập và Giám đốc điều hành của Zokyo , một studio mạo hiểm chuyên xây dựng, bảo mật và cấp vốn cho các công ty tiền điện tử, DeFi và NFT. Là một nhà tiên phong trong ngành Web3, Hartej đã đóng một vai trò quan trọng trong việc nâng cao các tiêu chuẩn trong hệ sinh thái tài sản kỹ thuật số và giới thiệu các sản phẩm và dịch vụ thiết lập tiêu chuẩn ngành về bảo mật, minh bạch và tuân thủ.

Đặc biệt, chúng tôi đã nói về các lỗ hổng an ninh mạng phổ biến được xác định trong quá trình kiểm tra hợp đồng thông minh, vai trò của kỹ thuật xã hội trong gian lận mạng liên quan đến web3, những rủi ro an ninh mạng nào cần được tính đến trước khi đầu tư vào phát triển ứng dụng web3, cách bảo vệ NFT và hơn.

Hãy tận hưởng cuộc trò chuyện!

Hartej, bạn có thể cho tôi biết thêm về bản thân và cách bạn trở thành chuyên gia bảo mật blockchain / web3?

Chắc chắn rồi! Tôi tham gia vào tiền điện tử một cách nghiêm túc khi sống ở Las Vegas vào năm 2013. Vào thời điểm đó, tôi đang điều hành một công ty khởi nghiệp fintech có tên Zuldi - một giải pháp điểm bán hàng di động (PoS) tích hợp với các hệ thống PoS kế thừa về thực phẩm và đồ uống.

Vào năm 2016, tôi đồng sáng lập Hosho cùng với Yo Sub Kwon, một "tổ chức tiền điện tử", với tầm nhìn xây dựng một công ty sẽ nằm ở giao điểm của blockchain và an ninh mạng.

Vào thời điểm đó, không có công ty nào trên thế giới ngồi ở ngã tư này. Tất nhiên, một số công ty đã thành lập một bộ phận riêng trong tổ chức lớn hơn của họ để tập trung vào kiểm toán hợp đồng thông minh. Tuy nhiên, không có một công ty nào tự gọi mình là "công ty bảo mật không gian mạng / tiền điện tử Web3" và sẽ bao gồm nhiều thứ hơn là chỉ kiểm tra mã nguồn và hợp đồng thông minh. Nói như vậy, không có công ty nào chuyên về những thứ như infosec, bảo mật hoạt động, kiểm tra thâm nhập và tuân thủ nói chung.

Chúng tôi xây dựng Hosho rất nhanh. Có trụ sở tại Las Vegas, Hoa Kỳ, chúng tôi nhanh chóng phát triển thành một đội gồm 37 người và tạo ra doanh thu khoảng 4 triệu đô la chỉ trong 12 tháng đầu tiên công ty tồn tại. Chúng tôi không phải là người đầu tiên ở xa, và hầu hết các nhân viên của chúng tôi đều làm việc tại Las Vegas. Chúng tôi đã học được nhiều bài học từ cách tiếp cận đó.

Chúng tôi chưa bao giờ khởi chạy ICO của mình vì chúng tôi không thể đưa ra lý do tại sao một người kiểm tra hợp đồng thông minh sẽ cần mã thông báo của riêng họ. Vì vậy, chúng tôi chưa bao giờ tung ra mã thông báo của riêng mình và quyết định không huy động vốn đầu tư mạo hiểm, đặc biệt là vào thời điểm đó. Điều này chủ yếu là do chúng tôi không xây dựng sản phẩm của riêng mình. Về cốt lõi, chúng tôi vẫn là một doanh nghiệp theo định hướng dịch vụ không hấp dẫn lắm đối với các nhà đầu tư mạo hiểm ở Thung lũng Silicon.

Vào năm 2018, thị trường tiền điện tử sụp đổ và tất cả các nhu cầu về kiểm toán hợp đồng thông minh về cơ bản đã biến mất. Chúng tôi không thể duy trì một đội ngũ tin tặc mũ trắng nổi tiếng và có uy tín làm việc cho chúng tôi tại văn phòng ở Las Vegas của chúng tôi. Vì vậy, thật bi thảm, chúng tôi phải để tất cả mọi người ra đi và sa thải đội của chúng tôi.

Một thời gian ngắn sau đó, tôi chuyển từ Las Vegas đến Kyiv, Ukraine . Trong vòng hai tháng, tôi bắt đầu thiết lập Zokyo và thuê các chuyên gia đánh giá hợp đồng thông minh có trụ sở tại Ukraine. Chúng tôi đã thiết lập một trang đích cho Zokyo và bắt đầu kiểm tra các hợp đồng thông minh. Trong thị trường gấu, công việc chuyển từ việc kiểm tra các hợp đồng thông minh cho các ICO sang kiểm tra các phần của blockchains lớp 1.

Trước khi chúng tôi biết điều đó, mùa hè DeFi đã đến và các yêu cầu kiểm tra hợp đồng thông minh đã quay trở lại. Vào thời điểm đó, tôi đã đi khắp thế giới, phát biểu tại các hội nghị lớn về blockchain và tiền điện tử và tổ chức các sự kiện riêng tư, nơi chúng tôi tuyển chọn những nhà xây dựng blockchain tốt nhất ở mọi vùng địa lý chính. Do thực tế này và nhờ thành tích của tôi tại Hosho, không mất nhiều thời gian để tôi liên hệ với các công ty tìm kiếm giải pháp an ninh mạng, đặc biệt là kiểm toán hợp đồng thông minh.

Khi kiểm tra các hợp đồng thông minh, bạn có thường tìm thấy các lỗ hổng bảo mật trong đó không? Các loại tấn công mạng phổ biến nhất đối với hợp đồng thông minh là gì? Và bạn sẽ làm gì nếu / khi bạn tìm thấy kẽ hở trong một hợp đồng thông minh đang được kiểm toán?

Khi chúng tôi kiểm tra các hợp đồng thông minh, đôi khi chúng tôi gặp phải các lỗ hổng như lần xuất hiện gần đây, thư viện độc hại , vi phạm API ERC20 , mức độ hiển thị ngầm , suy luận kiểu không an toàn , DoS với giới hạn khí khối và phụ thuộc dấu thời gian . Bất cứ khi nào chúng tôi gặp phải các lỗ hổng tiềm ẩn, chúng tôi chia sẻ những phát hiện của mình với nhóm phát triển và cung cấp cho họ cơ hội để sửa chữa chúng. Sau khi nhóm đã khắc phục tất cả các lỗ hổng được xác định, chúng tôi sẽ kiểm tra lại hợp đồng thông minh.

Thông thường, các nhà phát triển dày dạn kinh nghiệm rút ra bài học từ những sai lầm phổ biến nhất trong nhiều năm và cố gắng không lặp lại chúng.

Ngày nay, hầu hết các lỗ hổng nghiêm trọng đến từ logic kinh doanh cơ bản của hợp đồng và các trường hợp cạnh mà các nhà phát triển đã không xem xét khi viết mã. Đây là lý do tại sao điều quan trọng là phải tiến hành đánh giá mã thủ công từng dòng một.

Nói chung, cần những gì để một hợp đồng thông minh vượt qua cuộc kiểm tra Zokyo với những màu sắc bay bổng?

Các hợp đồng thông minh vượt qua kiểm tra của chúng tôi sẽ thực hiện các phương pháp hay nhất và không có chủ sở hữu hợp đồng có quyền hạn đặc biệt. Ví dụ: thiết kế mạnh mẽ có thể giảm thiểu các vấn đề trong trường hợp xảy ra sự kiện thiên nga đen — phi tập trung về quyền sở hữu, không cho phép bất kỳ tác nhân nào có quá nhiều quyền lực hoặc kiểm soát việc thực hiện hoặc logic.

Điều quan trọng là phải tiến hành các bài kiểm tra đơn vị với độ phủ 95% hoặc thậm chí 100%. Nhóm sẽ sửa tất cả các lỗi dựa trên đề xuất của chúng tôi bất kể mức độ nghiêm trọng. Chúng tôi cũng sẽ có các cuộc thảo luận cởi mở về các kế hoạch phát triển trong tương lai và cách chúng có thể ảnh hưởng đến sản phẩm thực tế.

Những rủi ro an ninh mạng nào cần được tính đến trước khi đầu tư vào việc xây dựng ứng dụng web3, nền tảng phi tập trung hoặc Token?

Trước khi đầu tư, điều quan trọng là phải tham gia nhiều cuộc đánh giá đồng thời với các thành viên có uy tín trong nhóm. Bạn phải nghiên cứu các báo cáo kiểm toán để hiểu thiết kế hoặc logic của sản phẩm từ cấp độ cao. Trước hết, báo cáo kiểm toán được tạo cho cộng đồng, thứ hai cho nhà đầu tư và thứ ba cho nhóm phát triển.

Có đúng là Web3 yêu cầu bảo mật để phòng ngừa hơn là đáp ứng trái ngược với Web2 không? Tại sao?

Các giao dịch Web3 là bất biến. Vì vậy, chúng không thể bị đảo ngược một khi chúng đã diễn ra. Điều này làm cho bảo mật phòng ngừa trở nên quan trọng đối với web3 vì tác động tài chính có thể đáng kể. Do đó, đó là một sự khởi đầu từ mô hình bảo mật phản hồi và phát hiện phản ứng của web2.

Mạng lưới chuỗi khối là mục tiêu đặc biệt hấp dẫn đối với tội phạm mạng do tài sản kỹ thuật số và thường là tài sản hữu hình được quản lý trên chúng. Dựa trên kinh nghiệm trực tiếp của bạn tại Zokyo, bạn có thấy việc sử dụng các trò gian lận kỹ thuật xã hội, chẳng hạn như lừa đảo trên băng, trong web3 ngày càng nhiều không? Và nếu có - bạn có thể cho chúng tôi biết thêm về tác động của chúng đối với bảo mật web3 và cách chống lại chúng không?

Các cuộc tấn công kỹ thuật xã hội tiếp tục hoành hành ngành công nghiệp này. Tuy nhiên, kỹ thuật xã hội trong web3 hơi khác một chút. Thay vì gửi email lừa đảo, các tác nhân đe dọa cũng có thể xâm phạm tài khoản Twitter phổ biến và quảng bá các kế hoạch tặng tiền điện tử và các dự án NFT cho những người dùng không nghi ngờ.

Lừa đảo là những gì gần đây đã khiến một tin tặc có được quyền truy cập vào bốn trình xác thực Ronin của Sky Mavis và trình xác thực bên thứ ba do Axie DAO điều hành.

Các công ty Web3 không đủ khả năng để triển khai phương pháp tiếp cận bảo mật theo hướng phản ứng và sự cố.

Các công ty, ngay cả những công ty ở giai đoạn đầu, cần thuê một Giám đốc Bảo mật Đổi mới (CISO) tận dụng Sổ tay của Hội đồng CISO đưa ra các tiêu chuẩn và cách tiếp cận tốt nhất đối với các quy định mạng. Sổ tay CISO bao gồm một trong những khuôn khổ quan trọng nhất - NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia) từ Bộ Thương mại Hoa Kỳ.

Tôi đã thấy Zokyo trong số các quỹ tiền điện tử Tier1 đầu tư vào các dự án nổi tiếng như Layer Zero. Làm thế nào để bạn chọn các công ty bạn đang đầu tư? Và lĩnh vực web3 nào đang bùng nổ nhất hiện nay?

Zokyo hợp tác chặt chẽ với nhiều công ty đầu tư hàng đầu và đã xây dựng chuyên môn và nguồn lực nội bộ để tiến hành các dự án đầu tư kỹ thuật và an ninh. Các công ty mà chúng tôi đầu tư đều vượt qua cả thẩm định về định tính và định lượng. Chúng tôi đã hỗ trợ một loạt các công ty ở giai đoạn đầu với kiến trúc công nghệ, hợp đồng thông minh kỹ thuật, thiết kế và xem xét kinh tế học mã thông báo và an ninh mạng. Phần lớn trọng tâm đầu tư của chúng tôi là vào cơ sở hạ tầng tiền điện tử cốt lõi.

Hartej, trên LinkedIn, bạn tự gọi mình là "người tích trữ NFT". Cá nhân bạn quan tâm đến rủi ro an ninh mạng nào nhất khi lưu giữ các bộ sưu tập NFT? Và làm thế nào chúng có thể được bảo vệ chống lại gian lận web3?

Đáng buồn thay, vào năm 2022, chúng ta đã chứng kiến mức thiệt hại do tội ác NFT tăng hơn 6 lần. Hầu hết các tội ác NFT mà tôi đã thấy là các chữ ký / lỗi độc hại không liên quan gì đến việc lưu trữ hoặc các cụm từ hạt giống.

Vấn đề với NFT là chúng có khả năng tương tác; bạn không thể chỉ vault chúng. Mọi người thường được khuyên sử dụng ví phần cứng. Tuy nhiên, ví phần cứng như Ledger không thể cứu bạn khi bạn đang ký các giao dịch độc hại.

Để bảo mật danh mục đầu tư NFT của mình, bạn cần có cấu trúc phân lớp khi sử dụng ví nóng, ví lạnh và vault (ví phần cứng thứ hai). Sử dụng ví nóng để đúc NFT và tương tác với các hợp đồng. Bạn chỉ muốn có số tiền cần thiết để đúc / mua NFT trong những khoảng thời gian cụ thể. Trong một ví lạnh, bạn sẽ lưu trữ các tài sản mà bạn liệt kê để bán. Thứ ba, bạn có một kho tiền chỉ thực hiện các giao dịch ra / vào. Tuy nhiên, bạn không bao giờ kết nối ví này với bất kỳ trang web nào hoặc tương tác với bất kỳ hợp đồng nào.

Khi nói đến không gian do người dùng duy trì trong web3, có một tuyên bố rằng nếu người dùng không thực hiện vệ sinh mạng thích hợp và bảo vệ dữ liệu cũng như quyền riêng tư của chính họ, có thể sẽ có một vài cơ chế thực thi khác được áp dụng. Điều này thể hiện một rủi ro nội tại đối với bảo mật của chính cơ sở hạ tầng web3. Nó có đúng không?

Là người dùng, bạn phải chắc chắn rằng bạn tuân theo các phương pháp hay nhất về an ninh mạng, đặc biệt là trong không gian này. Toàn bộ điểm của web3 là trao quyền cho người dùng và cung cấp cho họ toàn quyền kiểm soát. Tuy nhiên, đây là con dao hai lưỡi vì nó khiến người dùng phải có trách nhiệm hơn với dữ liệu của mình. Do đó, trong web3 (nhiều hơn trong web2), các cuộc tấn công kỹ thuật xã hội như lừa đảo, keylogger và phần mềm độc hại có thể tàn phá hơn nhiều so với web2 vì chúng có thể dẫn đến thiệt hại tài chính cao hơn đáng kể.