" Y1 o6 o* c m1 f; \- C修补漏洞 & V4 G! b) M/ f X+ r随着开发人员从久经考验的攻击中学习,他们可能会将 web3 软件的状态提高到“默认安全”的程度。通常,这涉及收紧应用程序编程接口或API, 以使人们更难错误地引入漏洞。 ; Q/ J. W& C0 O3 W/ w( g' _) |- K. b, k R' b% N k
虽然安全始终是一项正在进行中的工作——可以肯定的是,没有什么是防黑客的——防御者和开发人员可以通过消除攻击者的大部分唾手可得的果实来提高攻击成本。/ f: ?9 @: F# J- I. U, t8 b
' `' p. |9 v: A" C随着安全实践的改进和工具的成熟,以下攻击的成功率可能会大幅下降:治理攻击、价格预言机操纵和重入漏洞。(下面有更多关于这些的内容。)0 c( I# L# k v {6 ^' T
8 ^$ s. b/ n6 \# J/ i) n无法确保“完美”安全性的平台将不得不使用漏洞缓解措施来降低损失的可能性。这可能会通过减少其成本收益分析的“收益”或上行空间来阻止攻击者。 8 E* J( O& v0 d: y ' p) z8 ]; p8 Y% Z {$ q `分类攻击" T# r5 E; j w3 [) {
对不同系统的攻击可以根据它们的共同特征进行分类。定义特征包括攻击的复杂程度、攻击的自动化程度以及可以采取哪些预防措施来防御它们。 ) d5 ?2 e/ y1 U) |) M' F: `4 V$ \# t5 O8 |( N. }4 l7 Y
以下是我们在过去一年中最大的黑客攻击中看到的攻击类型的非详尽列表。我们还包括了我们对当今威胁形势的观察以及我们预计未来 web3 安全性的发展方向。 9 x6 N! U0 G4 i- H% G - G D* J/ `/ H5 G- Y# |APT操作:顶级掠食者 + R: k# a8 Z) x9 } 4 E3 Y. \, _9 @- _- h, u专家级对手,通常被称为高级持久威胁(APT),是安全的恶魔。他们的动机和能力差异很大,但他们往往很富裕,正如这个绰号所暗示的那样,他们坚持不懈;不幸的是,他们可能永远在身边。不同的APT运行许多不同类型的运营,但这些威胁行为者往往最不可能直接攻击公司的网络层来实现其目标。 6 L) {) ]* D/ Y( p- C e$ `0 h) l; ~% D6 F
我们知道一些高级团体正在积极瞄准 web3 项目,我们怀疑还有其他人尚未确定。最受关注的 APT 背后的人往往生活在与美国和欧盟没有引渡条约的地方,这使得他们更难因其活动而受到起诉。最著名的 APT 之一是 Lazarus,这是一个朝鲜组织,联邦调查局最近将其归因于进行了迄今为止最大的加密黑客攻击。 : ]- r- x5 O; {; _$ z; v" Q$ T7 U, b% M& q- v
举例:Ronin 验证器被破解 % L6 Q$ O. d, Z9 ? * e( N7 _% ~% {% s) }' Q( x简要概括: # i" A& W. A( \- g* `# o 9 B) D: s4 Q! L谁:民族国家、资金雄厚的犯罪组织和其他先进的有组织的团体。例子包括Ronin黑客(Lazarus,与朝鲜有广泛联系)。 ' |6 w/ W. s1 s" K: V) f4 |1 w3 Y( Z- g. t( |
复杂性:高(仅适用于资源丰富的群体,通常在不会起诉的国家/地区)。 % ^. T/ j. Y# K, n* ] O 1 b: d/ H2 a5 a% E6 V可自动化性:低(仍然主要是使用一些自定义工具进行手动操作) ( G* d0 j% S$ A0 b' q) _) A3 H a2 x9 m1 H. T8 }# a
对未来的期望:只要 APT 能够将其活动货币化或实现各种ZZ目的,它们就会保持活跃。 ' q# J' A" e6 \& F2 a& s: ] : ? e) I; F8 a" u M/ d以用户为目标的网络钓鱼:社会工程师 8 p1 Q9 r1 l1 e$ E . P5 N, T/ P9 e网络钓鱼是一个众所周知的普遍问题。网络钓鱼者试图通过各种渠道发送诱饵消息来诱捕他们的猎物,这些渠道包括即时通讯、电子邮件、Twitter、电报、Discord 和被黑网站。如果您浏览垃圾邮件邮箱,您可能会看到数百次企图诱使您泄露密码等信息或窃取您的钱财。 * A& U6 }7 e- P/ X. K2 l; e9 E 1 @: b/ F% v5 |# B6 Q4 [现在 web3 允许人们直接交易资产,例如代币或NFT,几乎可以立即确定,网络钓鱼活动正在针对其用户。这些攻击是知识或技术专长很少的人通过窃取加密货币来赚钱的最简单方法。即便如此,对于有组织的团体来说,它们仍然是一种有价值的方法来追踪高价值目标,或者对于高级团体来说,通过例如网站接管来发动广泛的、耗尽钱包的攻击。 6 |- s+ ]% A/ p% a& F, [1 M) D3 `$ J _: }: s/ R
举例: 6 ^4 w+ d) o2 G& F' D' A- I u4 ?7 Z- P& \ X7 x/ @$ X% w
直接针对用户的OpenSea $ w `+ |+ C, a9 x% b, I/ m 9 @$ |" T4 n3 b5 Q! }# [8 X O网络钓鱼活动+ }5 p* [& c& W. v% k; d* V
; S& K& [: f. |4 O& r9 i最终包含应用程序的BadgerDAO网络钓鱼攻击 # t, U/ s" A6 h. j! M: s7 K( v' w: E0 `9 C' W7 Z/ F3 P
简要概括: : N) O* e- I* w, _* i" A C- H$ C9 S' `( p" o0 c1 {- C6 Z
谁:从脚本小子(script kiddie,以黑客自居的初学者)到有组织的团体的任何人。 0 o) K, i6 v. E 2 e. `7 Z, k& N3 M2 B8 Y复杂性:低-中(攻击可以是低质量的“喷雾式”或超针对性的,具体取决于攻击者付出的努力)。 * q+ c9 x5 I) C6 X , e4 ?. x0 A9 F可自动化性:中等-高(大部分工作可以自动化)。 9 `( K) ?- Y$ O ' J$ p; R$ E& j; r: y对未来的期望:网络钓鱼的成本很低,网络钓鱼者往往会适应并绕过最新的防御措施,因此我们预计这些攻击的发生率会上升。可以通过提高教育和意识、更好的过滤、改进的警告横幅和更强大的钱包控制来改进用户防御。 $ Q+ F- V5 t# T# p$ Y " v7 E3 t) k! A& }供应链漏洞:最薄弱的环节 8 L% D2 W1 w% u) ~- m/ D2 m/ U7 ]4 C* j2 C7 `
当汽车制造商发现车辆中的缺陷部件时,他们会发出安全召回;在软件供应链中也不例外。# r" C0 R; N% `7 A3 C" t% t2 _. C
3 {$ p- o( U, Z/ |& ^2 K
第三方软件库引入了很大的攻击面。在 web3 之前,这一直是跨系统的安全挑战,例如去年 12 月影响广泛的 Web 服务器软件的log4j 漏洞利用。攻击者将扫描互联网以查找已知漏洞,以找到他们可以利用的未修补漏洞。4 D f9 f5 C# R0 e* ^# s2 p
( i/ m9 _7 X* }- g2 z2 c& ~导入的代码可能不是项目方自己的技术团队编写的,但其维护至关重要。团队必须监控其软件组件的漏洞,确保部署更新,并及时了解他们所依赖的项目的发展势头和健康状况。web3 软件漏洞利用的真实和即时成本使得负责任地将这些问题传达给图书馆用户具有挑战性。关于团队如何或在何处以一种不会意外使用户资金面临风险的方式相互交流这些信息的结论仍未确定。 4 I" e) S% q {. ]+ S- [8 i( s; E/ X0 i2 t
举例:' r/ l% @: o; G% t# c# k
; V( b; r! K2 K5 a, x
跨链桥项目Wormhole被盗 7 d# e8 _ g7 x9 |. w/ B) V& }3 K( c6 R% G. c& {3 y/ q U
Multichain 合约漏洞攻击* d% Q. {1 ?3 \% h. F) ]" A