a16z 分析了预言机攻击、治理攻击等常见的 Web3 攻击手段,并对安全趋势做出预测。
原作者:Riyaz Faizullabhoy 与 Matt Gleason 原标题:《Web3 Security: Attack Types and Lessons Learned》 编译:胡韬,链捕手
web3 的大量安全性取决于区块链做出承诺和对人为干预具有弹性的特殊能力。但是最终性的相关特征——交易通常是不可逆的——使得这些软件控制的网络成为攻击者的诱人目标。事实上,随着区块链——作为web3基础的去中心化计算机网络——及其伴随的技术和应用程序积累价值,它们越来越成为攻击者梦寐以求的目标。
尽管 web3 与早期的互联网迭代有所不同,但我们已经观察到与以前的软件安全趋势的共同点。在许多情况下,最大的问题与以往一样。通过研究这些领域,防御者——无论是开发商、安全团队还是日常加密用户——可以更好地保护自己、他们的项目和钱包免受潜在的窃贼的侵害。下面我们根据经验提出一些常见的主题和预测。
以下是我们在过去一年中最大的黑客攻击中看到的攻击类型的非详尽列表。我们还包括了我们对当今威胁形势的观察以及我们预计未来 web3 安全性的发展方向。
通常称为高级持续威胁 (APT)的专家对手是安全的恶魔。他们的动机和能力差异很大,但他们往往富有而且坚持不懈。不幸的是,他们很可能会一直在身边。不同的 APT 运行许多不同类型的操作,但这些威胁参与者往往最有可能直接攻击公司的网络层以实现其目标。
我们知道一些高级团体正在积极瞄准 web3 项目,我们怀疑还有其他人尚未确定。最受关注的 APT 背后的人往往生活在与美国和欧盟没有引渡条约的地方,这使得他们更难因其活动而受到起诉。最著名的 APT 之一是 Lazarus,这是一个朝鲜组织,美国联邦调查局最近称其进行了迄今为止最大的加密黑客攻击。
网络钓鱼是一个众所周知的普遍问题。网络钓鱼者试图通过各种渠道发送诱饵消息来诱捕他们的猎物,这些渠道包括即时通讯、电子邮件、Twitter、电报、Discord 和被黑网站。如果你浏览垃圾邮件邮箱,你可能会看到数百次企图诱骗你泄露密码等信息或窃取你的钱财。
现在 web3 允许人们直接交易资产,例如代币或NFT,几乎可以立即确定,网络钓鱼活动正在针对其用户。对于知识或技术专业知识很少的人来说,这些攻击是通过窃取加密货币来赚钱的最简单方法。即便如此,对于有组织的团体来说,它们仍然是一种有价值的方法来追踪高价值目标,或者对于高级团体来说,通过例如网站接管来发动广泛的、抽干钱包的攻击。
当汽车制造商发现车辆中的缺陷部件时,他们会发出安全召回。在软件供应链中也不例外。
第三方软件库引入了很大的攻击面。在 web3 之前,这一直是跨系统的安全挑战,例如去年 12 月影响广泛的 Web 服务器软件的 log4j 漏洞利用。攻击者将扫描互联网以查找已知漏洞,以找到他们可以利用的未修补问题。
导入的代码可能不是由项目自己的工程团队编写的,但其维护至关重要。团队必须监控其软件组件的漏洞,确保部署更新,并及时了解他们所依赖的项目的动力和健康状况。web3 软件漏洞利用的真实和即时成本使得负责任地将这些问题传达给用户具有挑战性。关于团队如何或在何处以一种不会意外使用户资金面临风险的方式相互交流这些信息,目前还没有定论。
这是上榜的第一个特定于加密行业的问题。web3 中的许多项目都包含治理方面,代币持有者可以在其中提出改变网络的提案并对其进行投票。虽然这为持续发展和改进提供了机会,但它也打开了一个后门,可以引入恶意提案,如果实施可能会破坏网络。
攻击者设计了新的方法来规避控制、征用领导权和掠夺国库。攻击者可以拿出大量的“闪电贷”来获得足够的选票,就像最近发生 DeFi项目 Beanstalk 上的事件一样。导致提案自动执行的治理投票更容易被攻击者利用。然而,如果提案的制定存在时间延迟或需要多方手动签署(例如,通过多重签名钱包),则可能更难实施。
准确地为资产定价是困难的。在传统交易领域,通过市场操纵人为抬高或压低资产价格是非法的,你可能会因此受到罚款或逮捕。在 DeFi 市场中,随机的用户能够“闪电交易”数亿或数十亿美元并导致价格突然波动,这个问题很明显。
许多 web3 项目依赖于“预言机”——提供实时数据的系统,是链上无法找到的信息来源。例如,预言机通常用于确定两种资产之间的交换定价。但攻击者已经找到方法来欺骗这些所谓的真相来源。
随着预言机标准化的进展,链下和链上世界之间将会有更安全的桥梁,我们可以期待市场对操纵尝试变得更有弹性。运气好的话,有朝一日这类攻击可能会几乎完全消失。
“Zero-day”漏洞攻击——之所以这样命名,是因为它们在出现时就是只公开了0天的漏洞——是信息安全领域的热点问题,在 web3 安全领域也不例外。因为它们是突然出现的,所以它们是最难防御的攻击。
如果有的话,web3 让这些昂贵的、劳动密集型的攻击更容易货币化,因为人们一旦被盗就很难追回加密资金。攻击者可以花费大量时间仔细研究运行链上应用程序的代码,以找到一个可以证明他们所有努力的错误。同时,一些曾经新颖的漏洞继续困扰着毫无戒心的项目;著名的重入漏洞曾发生在早期的以太坊项目 TheDAO 上,如今继续在其它地方重新出现。
目前尚不清楚该行业将能够多快或轻松地适应对这些类型的漏洞进行分类,但对审计、监控和工具等安全防御的持续投资将增加攻击者试图攻击这些漏洞的成本。