Web3 生態系面臨許多安全性挑戰,包含承襲自 Web2 的舊挑戰與來自新攻擊媒介的挑戰。
為培養一個安全的 Web3 生態系,實行最佳做法 — 智能合約審計、區塊鏈分析與即時監控 — 至關重要。
幣安已為整個 Web3 社群開發出一系列關鍵的安全性基礎架構服務及產品,包含基於多方計算的託管解決方案、錢包管理系統等。
Web3 為我們提供了一個重新構想網際網路的機會,並使用新的原則重建平台。然而,作為一個新創的產業,它也同時引來新型態的網路威脅,從智能合約漏洞到專案方跑路。
為幫助我們的用戶與專案創辦人們更便於探索這個不斷變化的生態系,幣安孵化器很高興能邀請到業界先驅與我們的內部專家,請他們分享對於 Web3 安全性概況與最佳做法的見解。
Web3 所遭遇的威脅樣態正快速演變中。惡意行為者傾向於選擇成本最低且最有效率的方式進行攻擊,例如在前端使用惡意智能合約。許多 Web2 威脅 — 如網路釣魚、SIM 卡偷換、惡意有效負載與機器人攻擊 — 在 Web3 仍舊存在。
然而,相比於 Web2 的安全性解決方案,在 Web3 的世界中卻沒有太多安全性工具可以避免此類駭客攻擊。在 Web2 企業應用的世界中,我們有防毒軟體、防火牆、雲端資安套裝、VPN 或是零信任網路存取權等工具可供使用。在 Web3 的世界中,多數專案僅使用單層安全性解決方案,遠遠不足以抵禦攻擊。
根據一份 PwC 報告,區塊鏈技術對全球國內生產毛額 (GDP) 的貢獻預計將提升超過 25 倍,將於 2030 年前達到 1.76 兆美元 (相當於 1.4% 的全球 GDP)。但隨著區塊鏈技術的採用程度擴大,盜竊的案例也會同步增加。
駭客利用智能合約的漏洞於 2021 年造成了 13 億美元的損失 (相較於 2020 年成長 250%),而在 2022 年的前五個月即達到了 18 億美元 (相較於 2021 年成長 138%)。雖然我們觀察到 DeFi 的成長 (總鎖倉價值提升了 16 倍) 以及跨鏈活動數量的增加,但新的漏洞也同時造成更多的盜竊與駭客攻擊。
資料來源:CertiK。
資料來源:DeFi Pulse。
2022 年迄今 (YTD) 總損失金額來到驚人的 2,338,910,183 美元,共記錄到 377 起攻擊;因駭客攻擊產生的損失在今年的前七個月即達到超過 20 億美元。在部署智能合約前,多數 DeFi 公司仰賴審計公司來審查與驗證其智能合約代碼,但這些智能合約仍舊容易受到駭客攻擊,其中可區分為四大類型:重大駭客攻擊,閃電貸攻擊,退場騙局與 NFT。
今年最惡名昭彰的駭客攻擊之一就是 Ronin 網路受到的攻擊,造成 6.24 億美元的損失。該次網路釣魚鎖定了 Sky Mavis 的員工,駭客透過 LinkedIn 代表一家假造公司聯繫員工,並與表現出興趣的人進行了假面談。
這些駭客 — 後來被發現是北韓的組織 Lazarus — 向一名資深工程師發送含有惡意軟體的文件,而他隨後在他的公司筆電上開啟這份文件。這讓駭客得以存取並入侵足夠的驗證人節點並竊取資金。
一個更近期的重大事件則是 2022 年 8 月加密貨幣橋 Nomad 所發生的事件。攻擊者利用 Nomad Bridge 的漏洞並誘騙它在未經適當授權的情況下發送儲存的代幣,從區塊鏈協議中竊取了約 1.9 億美元。該事件後來也驅使 Nomad 協定升級。
於 2022 年 2 月,Wormhole Bridge 經過審計並由 Neodyme 核准。然而,該項目仍然被駭客攻擊成功,並因此損失超過 3.2 億美元。
閃電貸攻擊金額已自其於 2022 年 4 月的歷史高點 3.005 億美元大幅減少至 2022 年 8 月的 70 萬美元,接近 100% 的降幅。最重大的一次攻擊發生在 2022 年 8 月的 XStable 事件中,攻擊者透過價格操縱獲得約 366,975 美元。
XStable 協定也因此自行銷毀。然而,目前為止最大的閃電貸攻擊則是發生在 Beanstalk DeFi 項目上,該協定於 2022 年 4 月被奪走 1.82 億美元。
專案方跑路與騙局已明顯減少,從 2022 年 7 月的 3,870 萬美元減少 74% 至 2022 年 8 月的 1,000 萬美元。最大的退場騙局事件為土耳其加密貨幣交易所 Thodex 事件,在停止交易後詐騙了超過 400,000 名 Thodex 投資者約 26 億美元。
於 2022 年 8 月,一個假推特帳戶模仿一個名為 We All Survived Death 的專案,並以其名義賣出 155 個假 NFT,總價值 11.7 ETH。另一個事件則是駭客竊取了四個 Bored Ape NFT 與一個 Otherdeed NFT,其總價值達到 289.7 ETH (當時市價約 455,000 美元)。
這些攻擊彰顯了在部署智能合約前應先經過審計的重要性。專案創辦人應保持謹慎,採取預防措施保護其用戶。
資料來源:CertiK。
隨著智能合約部署與跨鏈變得越來越常見,Web3 安全性領域將會變得越來越複雜。有鑒於此,由複雜的人工智慧 (AI) 支援的鏈上警報已成為確保即時威脅檢測與預防的可靠方式。
在前述的近期駭客攻擊中,那些項目即使已在過去六個月內讓其智能合約代碼通過審計,卻仍舊受害。因此,專案創辦人應該在專案的整個生命週期中加入額外的安全層。
CertiK 的業務長 Jason Jiang 表示,「約有 60% 的專案在產品推出前沒有進行過審計。」這是個令人擔憂的趨勢,畢竟多數智能合約代碼都是開源且大致上無法修改的。系統中的一個漏洞就可能造成超過千萬美元的損失。
Ancilia 的執行長 Huagang Xie 強調早在專案設計階段就嵌入安全措施的重要性。在此階段,專案創辦人應該利用經對戰測試的程式庫,了解安全威脅情勢,並遵循最佳做法來審計智能合約代碼。
在專案通過審計後,必須要有即時監控。創辦人應專注於了解專案正在發生的事、誰在與其智能合約互動、誰可能攻擊該專案以及後續的風險為何。Ancilia 的網站上甚至放上有名的孫子名言:「知己知彼,百戰不殆。」
Salus Security 營運總監 Nicholas Chiu 表示,「在招募 Web3 開發人員時,專案創辦人應確保開發人員謹慎看待安全性,因為他們設計的代碼決定了用戶資產與資訊的安全性。」
幣安已為整個 Web3 社群開發出一系列關鍵的安全基礎設施服務及產品,包含基於多方計算 (MPC) 的託管解決方案與錢包管理系統。
此外,幣安也提供自動智能合約掃描、風險評分服務、漏洞懸賞計劃、駭客攻擊後支援、BNB Chain 上的紅色警報等。我們的團隊了解安全性是一項艱鉅的任務,特別是在專案與系統日益蓬勃的時候。專案創辦人所面對的關鍵安全性挑戰包含:
保護基本資訊基礎設施 — 如網域名稱與網路環境 — 以避免攻擊。
盡可能減少智能合約邏輯與代碼的潛在漏洞。
以更低的風險管理錢包,同時為營運引進必要的治理與內部控管措施。
幣安的風險管理計劃擴展至幣安的上架專案。提升我們的上架專案安全性的措施包含由 CertiK 進行的免費智能合約審計,以及安全建議。此外,幣安團隊將繼續發布關於專案所有者如何更妥善防範 DNS 攻擊的教育文章。
自 2017 年成立以來,幣安隨著產業的演進一直努力應對各種安全性挑戰。以下是我們要與您分享的一些安全訣竅:
確保您的所有團隊成員 — 不只是負責安全性的人員 — 都受過安全基礎訓練。
找出您的系統中最薄弱的環節,如營運團隊權限許可過多。
定期審查您的系統與團隊,並適應 Web3 安全性環境的變化。
透過使用零信任並在須知基礎上授予存取權限,保護錢包金鑰管理安全、管理伺服器與代碼權限,從而盡可能降低攻擊風險。
近期我們邀請意見領袖與產業專家分享一些保護加密貨幣的最佳做法與選項。錯過的人可以透過本連結存取其存檔。
CertiK 是一個安全第一的排名平台,使用正式驗證與 AI 技術分析及監控區塊鏈協議與 DeFi 專案。 該團隊已協助幣安上架的專案識別其鏈上智能合約代碼中的漏洞。
近期,CertiK 強化了其 Skynet 產品中的更多功能,使 CertiK 的警示服務在鏈上與鏈下皆可使用。這些功能包含深度事件分析、社群情緒分析與流動性健康度追蹤。
Web3 是一個新的技術堆疊,CertiK 正在透過提供安全關鍵服務來應對挑戰。迄今為止,它已經實現了超過 99.9% 的安全率,保護了近 3000 億美元的加密貨幣資產,服務了 3200 多家客戶,並進行了 250 多次月度審計。
Ancilia 是一個以行為為基礎的即時威脅檢測及預防平台。其平台收集鏈上與鏈下資料,並透過威脅檢測引擎提供深入分析。與現有解決方案相比,該平台可以保護 Web3 專案的整個生命週期。
它的一些關鍵功能包含智能合約安全性分析、惡意與異常活動檢測、資產監控與保護、治理過程監控、外部資料品質監控與保證以及惡意活動預防。
目前處於封閉測試階段,Ancilia 專注於透過適應機器學習、持續監控、快速違規檢測等措施來保護資訊資產安全。
Salus Security 是一家提供自動化智能合約審計服務與人工專家審計的全方位區塊鏈網路安全公司。Salus 提供最先進的區塊鏈安全性解決方案,幫助客戶領導各自的產業,並透過在他們的技術與基礎架構中建立信任來釋放他們的 Web3 潛力。
Salus 能夠憑藉其在傳統與區塊鏈安全性方面的豐富經驗,應對業界最複雜的安全問題,旨在讓當今所有人都可以使用安全服務,以保護未來的數位經濟安全。
確保 Web3 環境安全的責任,落在為全球數百萬用戶提供服務的加密貨幣公司身上。專案應使用信譽良好的網域管理供應商,並定期進行智能合約審計,以確保最大程度的安全性。
用戶應透過不點擊可疑連結、定期清除 DNS 快取以及定期掃描裝置上的有害程式來保護自己的資金:
安全地儲存所有私鑰。
永遠不要使用您的電腦剪貼簿來複製您的金鑰,也永遠不要在任何雲端軟體上備份您的錢包。
選擇最有信譽的平台以降低交易對手風險。
透過安裝防毒與反網路釣魚軟體等安全工具,確保作業系統安全。
使用只存入最少資金的一次性錢包來挖掘 NFT 或在去中心化 App (DApp) 上進行任何交易。
作為幣安的風險投資與孵化器部門,幣安孵化器將繼續努力投資加密貨幣安全性專案,為 Web3 產業提供更多保護。若區塊鏈與 Web3 要永續成長,我們必須優先建構一個安全的生態系。我們希望其他項目能從本篇文章的資訊中獲得知識,並專注於最重要的事 — 保護我們的用戶。
