项目类别三

WEB3 安全系列 攻击类型和经验教训

2022-06-21 17:44:40

  WEB3 安全系列 攻击类型和经验教训Web3对于个人所有权和数据主权的追求,也会引起了各类安全问题(因为个体对安全知识理解和熟悉层次的差异),但这些安全问题,不应该成为阻碍Web3的发展势头。

  首先来回顾一下Web2。Web 2 技术和工具的使用有助于更多地参与项目和分享想法,从而理想地导致更好的深思熟虑的设计和更高效的生产,加强与客户的联系并改善与合作伙伴的沟通。安全模型的很重要的一部分是关于响应 。在Web3中,交易一旦执行就无法改变,因此,安全的思路通常是,需要建立机制来验证交易是否应该具备安全的条件,继而进行,也就是说,安全必须在预防方面做得更好。

  而在Web3的世界中,我们更应该如何从技术上进行规划,解决系统性的弱点,预防并组织新的攻击载体,这些攻击载体的目标,包括加密原生的问题和智能合约的漏洞等等。

  以下是目前 Web3 存在攻击类型的观察统计和未来 Web3 安全发展方向的列表。

  APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。

  发起APT动机和能力差异较大,常见是以金钱为目的发起攻击,也有可能是其他目的性。需要注意的是,APT攻击者很可能会一直在身边。不同的 APT 运行许多不同类型的操作,但这些威胁参与者往往最有可能直接攻击公司的网络层以实现其目标。

  社会工程学是黑客米特尼克在《反欺骗的艺术》中所提出的,是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。也就是通过对人的心理弱点、习惯弱点的分析,通过手段达到目的的过程。

  目前 Web3 领域已经发生诸多利用社工手段盗取资产的安全事件,比如通过聊天程序发送钓鱼链接引导受害者点击、通过假冒官方诱导用户转移资金、通过假APP收集用户私钥等。

  供应链攻击是一种面向软件开发人员和供应商的新兴威胁。目标是通过感染合法应用分发恶意软件来访问源代码、构建过程或更新机制。

  第三方软件库引入的同时也会引入很大的攻击面,比如第三方软件库本身问题,项目本身对于第三方软件库的适配性等,都可能造成当前项目出现大的安全风险。

  治理攻击主要是 DAO 的项目组织,由于可以根据代币持有者获得的投票决定是否执行某提案,所以当攻击者获取足够多的投票时(该投票数量攻击者可通过闪电贷或者代币兑换等手段获取),就可以引入恶意提案,实施恶意资金转移等。

  目前web3 中的许多项目都包含治理方面,代币持有者可以在其中提出改变网络的提案并对其进行投票。当引入恶意提案时,势必会影响项目稳定性。

  预言机是一个将数据从区块链外传输到区块链内的机制。许多 web3 项目依赖于“预言机”——提供实时数据的系统,是链上无法找到的信息来源。例如,预言机通常用于确定两种资产之间的交换定价。

  当攻击者控制价格预言机的数值,就可通过闪电贷交易获取大量资金,使得项目稳定性直接受到影响。

  智能合约是一种旨在以信息化方式传播、验证或执行合同的计算机协议。智能合约允许在没有第三方的情况下进行可信交易,这些交易可追踪且不可逆转。

  从之前的DeFi、NFT、GameFi再到现在Web3。区块链的大多数项目中,智能合约占据重要一环,对于它的安全性也不言而喻,有了闪电贷的加持,再小的智能合约漏洞都可能会影响整个项目的资金安全,最近几年发生的合约攻击事件不在少数,并且损失金额巨大。

  Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。例如去年 12 月影响广泛的 Web 服务器软件的log4j 漏洞利用。攻击者将扫描 Internet 以查找已知漏洞,以找到他们可以利用的未修补问题。

  0day漏洞或零日漏洞通常是指还没有补丁的安全漏洞,0day漏洞得名于开发人员发现漏洞时补丁存在的天数:零天。0day攻击或零日攻击则是指利用这种0day漏洞进行的攻击。

  Web3 中人们一旦被盗就很难追回加密资金。攻击者可以花费大量时间研究运行链上应用程序的代码,找到一个可以利用的漏洞来获取大量资金。