Благодаря быстрому развитию Web3 технология блокчейна и криптовалюта постепенно стали важной частью глобальной финансовой системы. Однако сопутствующие проблемы безопасности также создают множество проблем в этой новой области. Поэтому команда безопасности Slowmist специально выпустила «Руководство по безопасности проекта Web3» (https://www.slowmist.com/redhandbook/), называемое «Red Handbook», целью которого является предоставление всесторонних рекомендаций по безопасности и практического применения для Web3-проекты и разработчики. «Красное руководство» двуязычно на китайском и английском языках и в основном включает в себя четыре части: практические требования к безопасности проектов Web3, дерево навыков аудита смарт-контрактов SlowMist, руководство по аудиту безопасности криптовалют на основе блокчейна и решения по безопасности криптоактивов.

Требования к практике безопасности проекта Web3

В настоящее время существует бесконечное количество методов атак на проекты Web3, а взаимодействие между проектами становится все более и более сложным. Взаимодействия между различными проектами часто создают новые проблемы безопасности, и большинству команд разработчиков проектов Web3 обычно не хватает опыта атак первой линии безопасности и защиты. ., а при проведении исследований и разработок по проекту Web3 основное внимание уделяется общему бизнес-обоснованию проекта и реализации бизнес-функций, а сил на завершение построения системы безопасности уже нет. Поэтому при отсутствии системы безопасности сложно обеспечить безопасность проекта Web3 на протяжении всего его жизненного цикла.

Обычно, чтобы обеспечить безопасность проекта Web3, команда проекта нанимает отличную команду по безопасности блокчейна для проведения аудита безопасности своего кода. Однако аудит команды безопасности блокчейна является лишь краткосрочным руководством и проводится. не позволять команде проекта устанавливать собственную систему безопасности.

Поэтому команда безопасности SlowMist открыла исходный код практических требований к безопасности проекта Web3, чтобы продолжать помогать командам проектов в экосистеме блокчейна овладевать соответствующими навыками безопасности. Есть надежда, что команда проекта сможет создать и улучшить свою собственную систему безопасности на основе проекта Web3. требования практики безопасности, также могут иметь определенные возможности безопасности после аудита.

Требования к практике безопасности проекта Web3 включают следующее:

Практические требования к безопасности проекта Web3 в настоящее время находятся в версии v0.1, и их можно прочитать полностью по этой ссылке:

https://github.com/slowmist/Web3-Project-Security-Practice-Requirements。

Дерево навыков аудита безопасности смарт-контрактов

Это дерево навыков представляет собой набор навыков инженеров по аудиту безопасности смарт-контрактов из команды безопасности SlowMist. Оно призвано перечислить необходимые навыки для аудита безопасности смарт-контрактов для членов команды и побудить членов команды формировать саморазвивающееся мышление в исследованиях, творчестве, и инженерия. В основном он разделен на четыре части: поиск двери и вход, опирание на дверь и пение, интеграция и освоение, а также прорыв. Профессиональные навыки, которыми необходимо овладеть на каждом этапе, перечислены от поверхностного до. Подробности следующие:

Полный контент можно прочитать по этой ссылке: https://github.com/slowmist/SlowMist-Learning-Roadmap-for-Becoming-a-Smart-Contract-Auditor.

Руководство по аудиту безопасности криптовалют на основе блокчейна

Криптоактивы, как активы с внутренней ценностью, необратимы и их трудно отследить, что дает хакерам сильный мотив для совершения преступлений. В этом разделе Красного справочника не только рассматриваются распространенные уязвимости безопасности, но также приводятся подробные исследования безопасности, в том числе следующие:

Моделирование криптовалютных угроз

Команда безопасности SlowMist использует несколько моделей для выявления угроз криптовалютным системам, такие как триплет ЦРУ, модель STRIDE, модель DREAD и PASTA.

Метод испытания

При тестировании черного ящика и тестировании серого ящика мы используем нечеткое тестирование, тестирование сценариев и другие методы для проверки надежности интерфейсов или компонентов путем предоставления случайных данных или построения данных с определенной структурой, а также исследования аномального поведения системы при некоторых граничных условиях. как ошибки или отклонения в производительности. При тестировании «белого ящика» мы анализируем определение объекта и реализацию логики кода посредством проверки кода и других методов в сочетании с соответствующим опытом команды безопасности в области известных уязвимостей безопасности блокчейна, чтобы гарантировать отсутствие известных уязвимостей в ключевой логике и ключевые компоненты кода; В то же время войдите в режим анализа уязвимостей новых сценариев и новых технологий, чтобы обнаружить возможные ошибки нулевого дня.

Серьезность уязвимости

На основе методологии CVSS команда безопасности SlowMist разработала уровни серьезности уязвимостей блокчейна:

Исследование безопасности публичной сети

  • Система анализа угроз блокчейна Slowmist Technology (https://bti.slowmist.com/) постоянно отслеживает текущие инциденты безопасности и применяет данные об угрозах для консалтинговых и аудиторских услуг по безопасности.

  • Команда безопасности Slowmist проанализировала и исследовала общеизвестные уязвимости безопасности блокчейна и составила список распространенных уязвимостей блокчейна (https://github.com/slowmist/Cryptocurrency-Security-Audit-Guide/blob/main/Blockchain-Common-Vulnerability-List). .мд).

Аудит безопасности публичной сети

Аудит безопасности общедоступной сети, проводимый командой безопасности SlowMist, комплексно использует три метода тестирования: черный ящик, серый ящик и белый ящик. В соответствии с различными потребностями аудита он запускает основной аудит безопасности сети, аудит безопасности уровня 2 и аудит безопасности уровня 2 на основе черного и серого. Аудит безопасности исходного кода с упором на аудит «белого ящика», а также индивидуальные решения для аудита безопасности цепочки приложений для некоторых сред разработки.

Аудит блокчейн-приложений

  • Аудит безопасности смарт-контракта

  • Другие приложения

Полный текст можно прочитать по этой ссылке: https://github.com/slowmist/Cryptocurrency-Security-Audit-Guide.

Решения по безопасности криптоактивов

Это решение представляет собой накопление многолетнего практического опыта команды безопасности SlowMist в оперативном обслуживании Стороны А и направлено на предоставление полного спектра решений по обеспечению безопасности активов для участников криптомира. Мы разделяем безопасность криптоактивов на следующие пять частей и даем подробное объяснение каждой части, включая различные риски и соответствующие решения.

Онлайн-решение для обеспечения безопасности горячих активов

Горячие онлайн-активы в основном относятся к активам, чьи закрытые ключи криптовалюты размещаются на онлайн-серверах и должны часто использоваться для выполнения подписных транзакций и других операций. Например, все горячие и теплые кошельки на биржах являются горячими онлайн-активами. Поскольку такие активы размещаются на онлайн-серверах, вероятность подвергнуться атакам хакеров значительно возрастает, и это активы, требующие защиты ключом. Из-за важности закрытых ключей важными средствами предотвращения атак являются повышение уровня безопасности хранения (например, защита чипа аппаратного шифрования) и устранение отдельных точек риска. SlowMist рекомендует повышать безопасность горячих онлайн-активов по двум направлениям: «решение для совместного хранения» и «решение для настройки безопасности секретного ключа/мнемонической фразы».

Решение для обеспечения безопасности холодных активов

Холодные активы в мире криптовалют в основном относятся к активам большого объема, которыми не часто торгуют, а закрытые ключи хранятся изолированно от Интернета. Теоретически, чем холоднее холодный актив, тем лучше, то есть обеспечить, чтобы закрытый ключ никогда не касался Интернета, чтобы было как можно меньше транзакций и чтобы информация об адресе не была раскрыта в максимально возможной степени. Мы рекомендуем, с одной стороны, обратить внимание на безопасность хранения закрытых ключей и сделать их максимально «холодными», с другой стороны, мы должны обратить внимание на процесс управления использованием и стараться избегать использования закрытых ключей; утечка, неожиданная передача или другое неизвестное поведение.

Решение для безопасности активов DeFi

В настоящее время большинство участников блокчейна участвуют в проектах DeFi, таких как майнинг, кредитование и управление финансами. Участие в проекте DeFi — это, по сути, передача или авторизация ваших активов стороне проекта DeFi, что сопряжено с рисками безопасности, которые в значительной степени находятся вне вашего контроля. В этом плане перечислены точки риска проектов DeFi и описаны способы избежать этих рисков.

Решение для безопасного резервного копирования владения активами

Резервная копия владения зашифрованным активом — это резервная копия закрытого ключа или мнемонической фразы. Закрытый ключ или мнемоническая фраза несет в себе полное право собственности на криптовалюту. После кражи или потери все активы будут потеряны. В сфере криптоактивов резервное копирование закрытых ключей/мнемонических фраз является недостатком.

Решения для мониторинга и отслеживания аномалий активов

После принятия ряда мер по безопасному хранению криптоактивов, чтобы справиться с непредвиденными ситуациями, такими как «черные лебеди», также необходимо отслеживать соответствующие адреса кошельков и обеспечивать аномальные сигналы тревоги, чтобы каждая передача активов могла быть подтверждена внутренняя команда проверить.

Это решение является первым комплексным решением для обеспечения безопасности зашифрованных активов, запущенным SlowMist Technology на основе многолетнего опыта передовых атак и защиты в экосистеме блокчейна. Полный текст можно прочитать по этой ссылке: https://github.com/slowmist/cryptocurrency-security.

напиши в конце

«Руководство по безопасности проекта Web3» — это подробное и четко структурированное руководство по безопасности, применимое ко всем проектам и разработчикам Web3. В этой быстро развивающейся области безопасность всегда играет решающую роль. Овладение этими знаниями и навыками в области безопасности поможет построить более безопасную и надежную экосистему Web3. В будущем SlowMist продолжит публиковать материалы по исследованиям в области безопасности, сосредоточится на построении экологии блокчейна и будет стремиться создать безопасную зону в «темном лесу» для экологии блокчейна.

Ps. Если вы хотите приобрести красный справочник ограниченного памятного издания, перейдите по адресу https://1337.slowmist.io/redhandbook.html, нажмите, чтобы прочитать исходный текст, чтобы сразу перейти, если вам нужна версия в формате PDF; https://www.slowmist.com/redhandbook/RedHandbook.pdf Скачать.