web3 的大量安全性依賴於區塊鏈做出承諾和對人為干預具有彈性 的特殊能力。但最終性的相關特徵——交易通常是不可逆的——使得這些軟體控制的網路成為攻擊者的誘人目標。事實上,隨著區塊鏈——作為web3基礎的分散式計算機網路——及其伴隨的技術和應用程式的增值,它們越來越成為攻擊者夢寐以求的目標。
儘管 web3 與網際網路的早期迭代有所不同,但我們已經觀察到與以前的軟體安全趨勢的共同點。在許多情況下,最大的問題與以往一樣。透過研究這些領域,防禦者——無論是開發者、安全團隊還是日常加密使用者——可以更好地保護自己、他們的專案和他們的錢包免受潛在的竊賊的侵害。下面我們根據我們的經驗提出一些常見的攻擊型別和預測。
跟著錢
攻擊者通常旨在最大化投資回報。他們可以花費更多的時間和精力來攻擊具有更多“總價值鎖定”或 tvl 的協議,因為潛在的回報更大。
資源最豐富的駭客團體更經常瞄準高價值系統。最新的攻擊技術也將更頻繁地針對這些有價值的目標。
低成本攻擊(如網路釣魚)永遠不會消失,我們預計它們在可預見的未來會變得更加普遍
修補漏洞
隨著開發人員從久經考驗的攻擊中學習,他們可能會將 web3 軟體的狀態提高到“預設安全”的程度。通常,這涉及收緊應用程式程式設計介面或api, 以使人們更難錯誤地引入漏洞。
雖然安全始終是一項正在進行中的工作——可以肯定的是,沒有什麼是防駭客的——防禦者和開發人員可以透過消除攻擊者的大部分唾手可得的果實來提高攻擊成本。
隨著安全實踐的改進和工具的成熟,以下攻擊的成功率可能會大幅下降:治理攻擊、價格預言機操縱和重入漏洞。(下面有更多關於這些的內容。)
無法確保“完美”安全性的平臺將不得不使用漏洞緩解措施來降低損失的可能性。這可能會透過減少其成本收益分析的“收益”或上行空間來阻止攻擊者。
分類攻擊
對不同系統的攻擊可以根據它們的共同特徵進行分類。定義特徵包括攻擊的複雜程度、攻擊的自動化程度以及可以採取哪些預防措施來防禦它們。
以下是我們在過去一年中最大的駭客攻擊中看到的攻擊型別的非詳盡列表。我們還包括了我們對當今威脅形勢的觀察以及我們預計未來 web3 安全性的發展方向。
apt操作:頂級掠食者
專家級對手,通常被稱為高階持久威脅(apt),是安全的惡魔。他們的動機和能力差異很大,但他們往往很富裕,正如這個綽號所暗示的那樣,他們堅持不懈;不幸的是,他們可能永遠在身邊。不同的apt執行許多不同型別的運營,但這些威脅行為者往往最不可能直接攻擊公司的網路層來實現其目標。
我們知道一些高階團體正在積極瞄準 web3 專案,我們懷疑還有其他人尚未確定。最受關注的 apt 背後的人往往生活在與美國和歐盟沒有引渡條約的地方,這使得他們更難因其活動而受到起訴。最著名的 apt 之一是 lazarus,這是一個朝鮮組織,聯邦調查局最近將其歸因於進行了迄今為止最大的加密駭客攻擊。
舉例:ronin 驗證器被破解
簡要概括:
誰:民族國家、資金雄厚的犯罪組織和其他先進的有組織的團體。例子包括ronin駭客(lazarus,與朝鮮有廣泛聯絡)。
複雜性:高(僅適用於資源豐富的群體,通常在不會起訴的國家/地區)。
可自動化性:低(仍然主要是使用一些自定義工具進行手動操作)
對未來的期望:只要 apt 能夠將其活動貨幣化或實現各種政治目的,它們就會保持活躍。
以使用者為目標的網路釣魚:社會工程師
網路釣魚是一個眾所周知的普遍問題。網路釣魚者試圖透過各種渠道傳送誘餌訊息來誘捕他們的獵物,這些渠道包括即時通訊、電子郵件、twitter、電報、discord 和被黑網站。如果您瀏覽垃圾郵件郵箱,您可能會看到數百次企圖誘使您洩露密碼等資訊或竊取您的錢財。
現在 web3 允許人們直接交易資產,例如代幣或nft,幾乎可以立即確定,網路釣魚活動正在針對其使用者。這些攻擊是知識或技術專長很少的人透過竊取加密貨幣來賺錢的最簡單方法。即便如此,對於有組織的團體來說,它們仍然是一種有價值的方法來追蹤高價值目標,或者對於高階團體來說,透過例如網站接管來發動廣泛的、耗盡錢包的攻擊。
舉例:
直接針對使用者的opensea
網路釣魚活動
最終包含應用程式的badgerdao網路釣魚攻擊
簡要概括:
誰:從指令碼小子(script kiddie,以駭客自居的初學者)到有組織的團體的任何人。
複雜性:低-中(攻擊可以是低質量的“噴霧式”或超針對性的,具體取決於攻擊者付出的努力)。
可自動化性:中等-高(大部分工作可以自動化)。
對未來的期望:網路釣魚的成本很低,網路釣魚者往往會適應並繞過最新的防禦措施,因此我們預計這些攻擊的發生率會上升。可以透過提高教育和意識、更好的過濾、改進的警告橫幅和更強大的錢包控制來改進使用者防禦。
供應鏈漏洞:最薄弱的環節
當汽車製造商發現車輛中的缺陷部件時,他們會發出安全召回;在軟體供應鏈中也不例外。
第三方軟體庫引入了很大的攻擊面。在 web3 之前,這一直是跨系統的安全挑戰,例如去年 12 月影響廣泛的 web 伺服器軟體的log4j 漏洞利用。攻擊者將掃描網際網路以查詢已知漏洞,以找到他們可以利用的未修補漏洞。
匯入的程式碼可能不是專案方自己的技術團隊編寫的,但其維護至關重要。團隊必須監控其軟體元件的漏洞,確保部署更新,並及時瞭解他們所依賴的專案的發展勢頭和健康狀況。web3 軟體漏洞利用的真實和即時成本使得負責任地將這些問題傳達給圖書館使用者具有挑戰性。關於團隊如何或在何處以一種不會意外使使用者資金面臨風險的方式相互交流這些資訊的結論仍未確定。
舉例:
跨鏈橋專案wormhole被盜
multichain 合約漏洞攻擊
簡要概括:
誰:有組織的團體,例如 apt、個人和內部人士。
複雜性:中等(需要技術知識和一些時間)。
可自動化性:中等(掃描以發現有缺陷的軟體元件可以自動化;但是當發現新漏洞時,需要手動構建漏洞利用)。
對未來的期望:隨著軟體系統的相互依賴和複雜性的增加,供應鏈漏洞可能會增加。在為 web3 安全開發出良好的、標準化的漏洞披露方法之前,機會主義的駭客攻擊也可能會增加。
治理攻擊:選舉竊取者
這是第一個上榜的特定於加密貨幣的問題。web3 中的許多專案都包含治理方面,代幣持有者可以在其中提出改變網路的提案並對其進行投票。雖然這為持續發展和改進提供了機會,但它也為引入惡意提案開啟了後門,如果實施這些提案可能會破壞網路。
攻擊者設計了新的方法來規避控制、徵用領導權和掠奪國庫。曾經是一個理論上的問題,現在已經證明了治理攻擊。攻擊者可以拿出大量的“閃電貸”來搖擺選票,就像最近發生在去中心化金融專案 beanstalk 上一樣。導致提案自動執行的治理投票更容易被攻擊者利用;然而,如果提案的制定存在時間延遲或需要多方手動簽署(例如,透過多重簽名錢包),則可能更難實現。
舉例:演算法穩定幣beanstalk farms遭遇駭客攻擊事件
簡要概括:
誰:從有組織的團體 (apt) 到任何人。
複雜性:從低到高,取決於協議。(許多專案都有活躍的論壇、twitter 和 discord 上的社羣,以及可以輕鬆暴露更多業餘嘗試的委派儀表板。)
可自動化性:從低到高,取決於協議。
對未來的期望:這些攻擊高度依賴於治理工具和標準,特別是因為它們與監控和提案制定過程有關。
定價預言機攻擊:市場操縱者
準確地為資產定價是困難的。在傳統交易領域,透過市場操縱人為抬高或降低資產價格是非法的,這些人可能會因此受到罰款或逮捕。 defi 給隨機的人提供了“閃電貸”數億或數十億美元的可能行,從而導致價格突然波動,在這一領域,問題就凸顯出來了。
許多 web3 專案依賴於“預言機”——提供實時資料的系統,並且是鏈上無法找到的資訊來源。例如,預言機通常用於確定兩種資產之間的交換定價。但是攻擊者已經找到了欺騙這些假定真相的來源的方法。
隨著預言機標準化的進展,鏈下和鏈上世界之間將會有更安全的橋樑,我們可以期待市場對操縱嘗試變得更有彈性。運氣好的話,有朝一日這類攻擊可能會幾乎完全消失。
舉例:defi 協議cream finance閃電貸攻擊
簡要概括:
誰:有組織的團體 (apt)、個人和內部人士。
複雜程度:中等(需要技術知識)。
自動化程度:高(大多數攻擊可能涉及自動化檢測可利用問題)。
對未來的期望:隨著準確定價方法變得更加標準,可能會降低。
新漏洞:不知之不知
零日漏洞(zero - day ),是指被發現後立即被惡意利用的安全漏洞。之所以如此命名,是因為它們在出現時就已為人所知——是資訊保安領域的熱點問題,在 web3 安全領域也不例外。因為它們來得突然,所以它們是最難防禦的攻擊。
如果有什麼不同的話,web3 讓這些昂貴的勞動密集型攻擊變得更容易貨幣化,因為人們一旦被盜就很難追回加密資金。攻擊者可以花費大量時間仔細研究執行鏈上應用程式的程式碼,以找到一個錯誤以證明他們的努力。同時,一些曾經新穎的漏洞繼續困擾著毫無戒心的專案:著名的重入漏洞thedao是早期的以太坊企業,今天繼續在其他地方重新浮出水面。
目前尚不清楚該行業將能夠多快或輕鬆地適應對這些型別的漏洞進行分類,但對審計、監控和工具等安全防禦的持續投資將增加攻擊者試圖利用這些漏洞的成本。
舉例:
poly的跨鏈交易漏洞
qubit的無限鑄幣漏洞
簡要概括:
誰:有組織的團體 (apt)、內部人士。
複雜性:中等-高(需要技術知識,但並非所有漏洞都太複雜、無法理解)。
可自動化性:低(發現新漏洞需要時間和精力,而且不太可能自動化;一旦發現,在其他系統中掃描類似問題會更容易)。
對未來的期望:更多的關注會吸引更多的白帽,並使發現新漏洞的“進入門檻”更高。同時,隨著 web3 採用的增長,黑帽駭客尋找新漏洞的動機也在增加。就像在許多其他安全領域一樣,這很可能仍然是一場貓捉老鼠的遊戲。
文章源自:a16z riyaz faizullabhoy 以及 matt gleason。原文連結:《web3 security: attack types and lessons learned》
