Als Sicherheitsunternehmen ist CertiK davon überzeugt, dass es eine umfassende Palette an Sicherheitslösungen für Projekte anbieten sollte, um die Sicherheitsanforderungen in den verschiedenen Phasen der Projektentwicklung besser abzudecken. Gleichzeitig sollten Sicherheitskenntnisse allen Benutzern bekannt gemacht, benutzerfreundliche unabhängige Sicherheitstools bereitgestellt und Sicherheitsvorkehrungen für jedes Mitglied von Web 3.0 bereitgestellt werden.
Autor des Artikels: Wu Tianyi
Quelle des Artikels: DeThings
Es gibt einen Satz im Film (Enemy of the State): „Wer wird die Monitore der Monitore überwachen?“ Während sich das Web3.0-Ökosystem weiter verbessert, fließen gleichzeitig immer mehr Mittel in die Verschlüsselungsindustrie können Hacker direkt davon profitieren, indem sie Schwachstellen in der Kette angreifen. Wenn das Projektteam hingegen angegriffen wird, gibt es nur wenige Möglichkeiten, darauf zu reagieren. Manchmal können Hacker nur Boni erhalten, um die illegalen Gewinne zurückzuerhalten, und der Fall wird nicht weiter verfolgt.
Aus diesem Grund sind eine Reihe verwandter Sicherheitsunternehmen entstanden, die nicht nur die Codesicherheit prüfen, sondern auch als „White-Hat-Hacker“ bezeichnet werden und Sicherheitslücken aktiv ausnutzen. CertiK ist mit einer Bewertung von fast 2 Milliarden US-Dollar der Spitzenreiter unter ihnen. Ob es das Audit von CertiK bestehen kann, ist sogar zum Kriterium der Community für die Beurteilung eines aufstrebenden Projekts geworden. Doch zurück zur ursprünglichen Frage: Wer soll der Vorgesetzte sein? Dieses Problem ebnete auch den Weg für die anschließende Kontroverse, mit der CertiK konfrontiert wurde.
Im Juni dieses Jahres löste CertiK eine Kontroverse aus, als es eine schwerwiegende Sicherheitslücke in der US-Kryptobörse Kraken entdeckte. DeThings führte ein exklusives Interview mit Professor Gu Ronghui, Mitbegründer von CertiK, über die Kontroverse, unter der CertiK leidet, und darüber, wie Sicherheitsunternehmen die Selbstüberwachung durchführen.
DeThings: Gibt es eine Reaktion auf den Kraken-Vorfall?
Professor Gu Ronghui: Der Grund für den Streit mit Kraken ist, dass das Forschungsteam von CertiK im Rahmen einer White-Hat-Sicherheitsforschung eine schwerwiegende Sicherheitslücke auf der Kraken-Plattform entdeckt hat. Wir haben Kraken umgehend über diese Entdeckung informiert, damit die Schwachstelle umgehend behoben werden konnte. Es kam jedoch zu einigen Missverständnissen, die eine Kontroverse auslösten. Wir haben eine ausführliche Ankündigung auf der offiziellen Website veröffentlicht, in der Sie weitere Details erfahren können.
DeThings: Was halten Sie von dem Begriff „White-Hat-Hacker“?
Professor Gu Ronghui: Obwohl es keine einheitliche Definition von „White-Hat-Hacker“ gibt, glauben wir im Allgemeinen, dass sich White-Hat-Aktionen auf das Verhalten beziehen, auf Computer zuzugreifen, um Sicherheitslücken oder Mängel zu testen, zu untersuchen und/oder zu reparieren Glaube. Solche Aktivitäten werden so durchgeführt, dass Verluste für Einzelpersonen oder die Öffentlichkeit vermieden werden, und die aus den Aktivitäten gewonnenen Informationen werden hauptsächlich dazu verwendet, die Sicherheit der entsprechenden Geräte, Maschinen oder Online-Dienste zu verbessern oder die Benutzer dieser Geräte und Maschinen zu schützen oder Online-Dienste.
Auch intern gilt bei CertiK ein strenger White-Hat-Kodex. Seit 2020 haben wir mehr als 70 White-Hat-Operationen durchgeführt, um sicherzustellen, dass keine persönlichen oder öffentlichen Interessen geschädigt werden. Darunter haben wir bisher die höchste Sui-Auszeichnung für die Entdeckung erhalten Kritische Schwachstellen. Gleichzeitig hat CertiK in Kombination mit unserer eigenen Prüfungsarbeit mehr als 4.000 Sicherheitsvorfälle für die Web3.0-Community gemeldet, insgesamt mehr als 115.000 Code-Schwachstellen entdeckt und mehr als 360 Milliarden US-Dollar an digitalen Vermögenswerten vor potenziellen Verlusten geschützt.
DeThings: Wie würden Sie Ihren derzeitigen Weg bewerten und worauf wird der Schwerpunkt im zukünftigen Sicherheitsbereich liegen?
Professor Gu Ronghui: Der Bereich der Blockchain-Sicherheit befindet sich derzeit in einer Phase rasanter Entwicklung, insbesondere das Sicherheitsrisikomanagement an der Schnittstelle von Web3.0 und Web2.0 ist zum Schwerpunkt der Branche geworden. Mit der Ausweitung der Anwendungen der Blockchain-Technologie nehmen auch Sicherheitslücken und Angriffsmethoden ständig zu, was sich auf mehrere Bereiche auswirkt, darunter DeFi, NFT und kettenübergreifende Interoperabilität.
Derzeit ist der Sicherheitsdruck von Web3.0 nicht nur auf technische Schwachstellen des Projekts zurückzuführen, sondern auch auf einige allgemeine Netzwerksicherheitsrisiken, wie den Schutz privater Daten, die Wachsamkeit gegenüber Phishing-Angriffen und gewöhnlichen Telekommunikationsbetrug.
Bis heute ist die Sicherheit privater Schlüssel eine der größten Herausforderungen im Web3.0-Bereich. Laut der Statistik von CertiK aus dem Jahr 2023 machen finanzielle Verluste durch Lecks privater Schlüssel fast die Hälfte der Gesamtverluste aller Blockchain-Sicherheitsvorfälle aus.
Der bevorstehende Sicherheitsbericht für das dritte Quartal 2024 von CertiK zeigt außerdem, dass Lecks privater Schlüssel und Phishing-Angriffe weiterhin die Ursache für die größten finanziellen Verluste in diesem Quartal sind. Diese Daten deuten darauf hin, dass es dringend erforderlich ist, die Verwaltung privater Schlüssel zu stärken und Technologien wie Multisignatur- und Multi-Party-Computing einzuführen.
Darüber hinaus sind mit der rasanten Entwicklung von Web 3.0 viele Web 3.0-Anwendungen auf Web 2.0-Infrastrukturen wie Cloud-Speicher und DNS-Dienste angewiesen und anfällig für Web 2.0-spezifische Angriffsmethoden (wie DNS-Hijacking und Phishing). . Diese hybriden Angriffe erschweren das Sicherheitsmanagement.
Zusammenfassend glauben wir, dass der Schwerpunkt des zukünftigen Blockchain-Sicherheitsbereichs auf den folgenden zwei Punkten liegt:
1. Um eine Abhängigkeit von der Web2.0-Infrastruktur zu vermeiden, muss Web3.0 den Aufbau und die Förderung einer dezentralen Infrastruktur beschleunigen, insbesondere im Hinblick auf Identitätsauthentifizierung, Datenspeicherung und Governance-Systeme. Dadurch wird das Eindringen zentraler Angriffe in dezentrale Plattformen wirksam verringert. CertiK wird außerdem bestrebt sein, technische Unterstützung für die Sicherheitsintegration von Web2.0 und Web3.0 bereitzustellen und über CertiK Ventures relevante Projekte mit hohem Potenzial zu unterstützen und zu fördern, um neue Unterstützung für die Sicherheit des Web3.0-Ökosystems bereitzustellen.
2. Phishing-Angriffe werden immer ausgefeilter, insbesondere KI-gesteuerte Deepfakes, die es schwieriger machen, Phishing-Tools zu verhindern. Zukünftig ist es notwendig, verstärkt in intelligente Schutzmechanismen und Benutzersicherheitsschulung zu investieren, um sicherzustellen, dass Benutzer Risiken erkennen und vermeiden können.
CertiK setzt sich weiterhin dafür ein, Web3.0-Mitgliedern dabei zu helfen, Präventionsmethoden zu verbessern und das Präventionsbewusstsein zu verbessern. Daher wurden über CertiK Sicherheitstools wie Token Scan und Wallet Scan eingeführt, die gleichzeitig kostenlos und für die Community zugänglich sind Durch Quest können Benutzer das Projekt besser verstehen und sich Sicherheitswissen aneignen.
DeThings: Wie stellen Sie als eine Art „Wachhund“ sicher, dass Sie beobachtet werden?
Professor Gu Ronghui: Als „Supervisor“ im Blockchain-Bereich sollten Sicherheitsunternehmen unsere Transparenz verbessern, um das Vertrauen der Benutzer gegenüber Mitgliedern der Web 3.0-Welt zurückzuzahlen. Wir hoffen, mit einem dezentralen Ansatz die Überwachung von Web 3.0-Sicherheitsunternehmen zu ermöglichen: CertiK ist das erste Unternehmen der Branche, das durch die vollständige Offenlegung von Auditberichten Transparenz bei den Auditergebnissen gewährleistet.
Lassen Sie Community-Benutzer, Sicherheitsbehörden, einzelne White Hats und andere Gruppen innerhalb und außerhalb verschiedener Branchen unsere Prüfberichte überprüfen und unsere Arbeit überwachen. Auf der CertiK Skynet-Plattform kann jeder die Auditberichte von CertiK einsehen und CertiK direktes Feedback geben, wenn Probleme entdeckt werden.
Darüber hinaus hält sich CertiK weltweit strikt an die regulatorischen Standards für Web 3.0 und akzeptiert die Überprüfung und Überwachung durch Dritte. CertiK ist derzeit das Web 3.0-Sicherheitsprüfungsunternehmen, das die meisten behördlichen Sicherheitszertifizierungen für Prüfungsdaten erhalten hat. Durch die Implementierung strenger Sicherheitsmaßnahmen gewährleisten wir die höchsten Sicherheitsstandards für Kundendaten und unsere Systeme.
Dies spiegelt nicht nur unser Engagement für die Mission „Kundeninteressen an erster Stelle“ wider, sondern zeigt auch unsere Entschlossenheit, die Sicherheit der Benutzerressourcen zu schützen. Wir sind fest davon überzeugt, dass es von entscheidender Bedeutung ist, die Transparenz und Verantwortlichkeit von Web 3.0-Sicherheitsunternehmen sicherzustellen, indem sie die Aufsicht der Web 3.0-Community akzeptieren und die nationalen gesetzlichen Anforderungen einhalten.
DeThings: Was bedeutet Sicherheit im Zusammenhang mit Regierungen, die auf Compliance drängen?
Professor Gu Ronghui: Im Zusammenhang mit der Förderung der Blockchain-Compliance durch Regierungen spielt Sicherheit auf mehreren Ebenen eine Schlüsselrolle:
1. Vertrauen stärken: Compliance erfordert oft Transparenz und Rechenschaftspflicht. Sicherheitsmechanismen können sicherstellen, dass die Plattform den Vorschriften entspricht und das Vertrauen von Benutzern und Institutionen in das Blockchain-System stärken. Zu den Compliance-Anforderungen der Regierung gehören häufig die Bekämpfung von Geldwäsche und KYC, wobei eine sichere Transaktionsverfolgung und Informationserfassung besonders wichtig sind.
2. Systemische Risiken reduzieren: Im Kontext der Compliance können Sicherheitsmechanismen systemische finanzielle Risiken und Vermögensverluste durch Hackerangriffe reduzieren. Sicherheitsprotokolle, intelligente Vertragsprüfungen und Phishing-Schutz sind der Schlüssel zur Gewährleistung der Stabilität und Nachhaltigkeit des Blockchain-Netzwerks.
3. Compliance-Innovation fördern: Durch die Verbesserung der Sicherheitsleistung können Compliance-Innovationen in der dezentralen Technologie gefördert werden, beispielsweise durch den Einsatz von Technologien wie Zero-Knowledge-Proofs, um ein Gleichgewicht zwischen Datenschutz und regulatorischen Anforderungen zu erreichen.
Da die globalen regulatorischen Anforderungen immer strenger werden, legt CertiK auch großen Wert auf Compliance und kooperiert daher mit Regulierungsbehörden in vielen Ländern. Ich selbst bin das International Technical Advisory Committee der Monetary Authority of Singapore und Mitglied der Hong Kong Web 3.0 Development Task Force.
DeThings: Was sind die aktuellen Schwachstellen in diesem Bereich und wie können sie gelöst werden?
Professor Gu Ronghui: Mit der Weiterentwicklung des Technologie-Stacks und dem Aufstieg der Zero-Knowledge-Proof-Technologie (ZK) hat die technische Komplexität der Web3.0-Sicherheit erheblich zugenommen. Die Zusammenarbeit zwischen CertiK und zkWasm hat die umfassende formale Verifizierung von zkWasm erfolgreich abgeschlossen. Dies ist das erste Mal in der Branche und der bisher einzige Versuch. Wir glauben, dass dieser vollständig validierte Ansatz in Zukunft zur Standardpraxis in der Branche werden wird. Derzeit werden relevante Technologien in Papiere geschrieben. Es wird erwartet, dass diese Technologien nach Veröffentlichung der Papiere einen tiefgreifenderen Einfluss auf die Branche haben werden. Angesichts der Herausforderungen, die die Weiterentwicklung des Technologie-Stacks mit sich bringt, können traditionelle Einzelpersonen oder kleine Prüfungsteams Schwierigkeiten haben, angemessene Unterstützung bereitzustellen. CertiK wird die formelle Verifizierung weiterhin fördern und plant, in Zukunft sichere formelle Verifizierungsdienste für Konsensprotokolle bereitzustellen, um sich an diese Änderung anzupassen.
Die Notwendigkeit von Sicherheitsüberprüfungen ist in der Branche zum Konsens geworden, die Branche hat jedoch noch keine klare Antwort auf das Ausmaß der Investitionen in Sicherheit. Beispielsweise reicht ein bestimmtes Projekt möglicherweise nur einen Teil des Codes zur Prüfung ein, aber sobald Risiken auftreten, fallen diese Risiken möglicherweise nicht in den Umfang unserer Prüfung. Codesicherheit ist nur ein statischer Punkt. Wir müssen in allen Phasen des Projekts, insbesondere vor der Bereitstellung, eingehende Sicherheitsprüfungen durchführen. Darüber hinaus ist auch die Sicherheit der Verwaltung privater Schlüssel und der Knotendienste von entscheidender Bedeutung. Dabei handelt es sich um kritische Aspekte, die während der verschiedenen Lebenszyklen des Projekts sorgfältig geprüft werden müssen.
Daher ist es für einen einzelnen Prüfer bei der Iteration und Aktualisierung interner Systeme schwierig, den Prüfungsprozess zu standardisieren. CertiK nutzt das Large Language Model (LLM) und die Code-Klassifizierungstechnologie, um unterschiedliche Prüfmethoden entsprechend unterschiedlicher Code-Klassifizierungen anzuwenden. Jede Methode entspricht spezifischen Werkzeugen wie Tests, formaler Verifizierung, abgestuften Audits usw., um sicherzustellen, dass jeder Schritt überprüfbare Ergebnisse liefern und in Berichten klar dargestellt werden kann. Unser Ziel ist es, über die bloße Entdeckung von Problemen hinauszugehen und stattdessen den gesamten Prozess der Prüfungsberichterstattung bereitzustellen, um Kunden dabei zu helfen, jeden Aspekt der Prüfung zu verstehen.
Derzeit konzentrieren sich Blockchain-Sicherheitsdienste hauptsächlich auf den B-Seiten-Markt, aber die Sicherheitsnachfrage für die C-Seite ist ebenso groß. Benutzer müssen beispielsweise wissen, ob sie Sicherheitsrisiko-Token in ihren Wallets haben, ob sie mit riskanten Adressen interagiert haben und ob sie dem Risiko verdeckter Angriffe ausgesetzt sind. CertiK engagiert sich für die Betreuung von C-End-Benutzern. Obwohl dieser Bereich anspruchsvoller ist, bereiten wir uns darauf vor, Dienstleistungen für eine große Anzahl von Benutzern bereitzustellen und C-End-Benutzern bei der Gewährleistung der Anlagensicherheit zu helfen.
DeThings: Wie entwickelt sich der Sicherheitsbereich von Web3.0 im Vergleich zu Web2.0?
Professor Gu Ronghui: Im Vergleich zu Web2.0 ist der Sicherheitsbereich von Web3.0 komplexer.
Einerseits sind viele Web3.0-Anwendungen immer noch auf die Infrastruktur von Web2.0 angewiesen, was sie anfällig für die Zentralisierungsmängel von Web2.0 macht. Gleichzeitig bietet die Integration von Web2.0 und Web3.0 Kriminellen mit der Möglichkeit, traditionelle Phishing-Angriffe mit neuen Technologien zu kombinieren, um ausgefeiltere Formen des Betrugs zu schaffen.
Andererseits befindet sich die Web3.0-Technologie noch in der Entwicklung und Verträge sind anfällig für Schwachstellen und können von Hackern angegriffen werden. Im Vergleich zu Web2.0 zeichnet sich Web3.0 durch Offenheit und Transparenz aus, was aber auch bedeutet, dass Smart Contracts auf der Blockchain laufen und der Code nach der Bereitstellung nur schwer zu ändern ist. Sobald Hacker Sicherheitslücken für einen Angriff ausnutzen, verursachen sie größere Verluste als in Web2.0-Netzwerken.
Daher ist Sicherheit in der Web3.0-Welt besonders wichtig. Zur Sicherheit des Projekts und der Benutzer sollte die Projektpartei die Verantwortung für den Aufbau der Gemeinschaft übernehmen und die Interessen des Teams und der Projektunterstützer schützen. Als Sicherheitsunternehmen ist CertiK davon überzeugt, dass wir Projekten eine umfassende Palette an Sicherheitslösungen anbieten sollten, um die Sicherheitsanforderungen in den verschiedenen Phasen der Projektentwicklung besser abzudecken. Gleichzeitig sollten Sicherheitskenntnisse bei allen Benutzern bekannt gemacht, benutzerfreundliche unabhängige Sicherheitstools bereitgestellt und Sicherheitsvorkehrungen für jedes Mitglied von Web3.0 bereitgestellt werden.