Примітка автора ✍🏻

Колись греки побудували дерев'яного коня і пропонували його місту Троя. Мешканці міста бачили в ньому символ миру, не знаючи про загрозу, що прихована всередині.

З успішним запуском Bitcoin ETF все більше нових користувачів та коштів починають повертатися назад до Web3, і підігріта ринок, схоже, вказує на те, що майбутнє Web3 у напрямку широкого застосування стає наближеним. Однак відсутність політики та уразливості безпеки залишаються основними перешкодами на шляху широкого прийняття криптовалют.

У криптосвіті хакери можуть безпосередньо заробляти, атакуючи вразливості on-chain, іноді заробляючи мільйони або навіть мільярди доларів. Тим часом анонімність криптовалют створює умови для того, щоб хакерам уникнути захоплення. Концом 2023 року загальна заблокована вартість (TVL) всіх протоколів децентралізованої фінансової (DeFi) була приблизно 4 мільярди доларів (наразі 10 мільярдів доларів), тоді як лише у 2022 році загальна вартість токенів, викрадених з протоколів DeFi, склала 310 мільйонів доларів, що становить 7% вищезазначеної вартості. Ця цифра повністю ілюструє серйозність проблем безпеки в індустрії Web3, як меч Дамокла, що висить над нашими головами.

Не лише у середовищі on-chain; проблеми з безпекою на стороні користувача Web3 також важливі. За даними Scam Sniffer, у 2023 році 324 000 користувачів стали жертвами крадіжок активів через фішингові атаки, загальна сума крадіжок склала $295 мільйонів. Як у масштабі, так і за сумою, вплив важкий. Але з погляду користувачів самі випадки безпеки мають затримку — користувачі часто знайомляться з труднощами усвідомлення серйозності потенційних ризиків до виникнення нещасних випадків. Тому люди часто потрапляють у «переживану виживаність», нехтуючи важливістю безпеки.

Ця стаття досліджує нагальні проблеми безпеки, з якими стикається сучасний ринок, особливо враховуючи швидкий ріст користувачів Web3. Розглядаючи запропоновані компаніями, такими як Goplus, рішення з безпеки, ми отримуємо глибше розуміння того, як підтримати широке поширення Web3 через дотримання та підвищені заходи безпеки. Ми стверджуємо, що безпека Web3 представляє собою великий, але невикористаний ринок вартістю в мільярди, і з ростом користувачів Web3 попит на сервіси з безпеки, спрямовані на користувача, готовий до експоненційного зростання.

Ранні відгуки:

1. Розкриття загроз у безпеці Web3: Дослідження прибуткового ринку

1.1 Захист активів

1.2 Забезпечення безпеки поведінки

1.3 Підвищення безпеки протоколу

1. Аналізуємо ландшафт безпеки Web3
2. Наступне Покоління Рішень з Безпеки: Захист Майбутнього Web3
3. Висновок

Загальна кількість слів у цій статті становить 5400 слів, тому для прочитання необхідно близько 12 хвилин.

Розкриття загроз у безпеці Web3: Дослідження прибуткового ринку:

На даний момент продукти забезпечення Web3 в основному поділяються на три категорії: ToB, ToC та ToD. Рішення B2B в першу чергу фокусуються на аудити безпеки продукту, проведення тестів на проникнення та надання звітів про аудит для зміцнення оборони продукту. З іншого боку, рішення B2C спрямовані на захист середовищ безпеки користувачів за допомогою захоплення та аналізу загроз у реальному часі та надання послуг виявлення через API. Крім того, інструменти ToD (розробник) адресовані розробникам Web3, надаючи автоматизовані інструменти та послуги аудиту безпеки.

Перевірка безпеки - це необхідний статичний захисний захід. Майже кожен продукт Web3 проходить процедуру аудиту безпеки, а звіти з аудиту стають загальнодоступними. Перевірки безпеки не лише дозволяють спільноті перевірити безпеку протоколів вдруге, але й служать однією з основ для користувачів, щоб довіряти продуктам.

Проте перевірки безпеки не є всемогутніми. З урахуванням ринкових тенденцій та поточного наративу ми передбачаємо, що виклики для безпеки користувачів будуть продовжувати зростати, головним чином проявляючись у наступних аспектах:

Захист активів:

Кожен ринковий цикл запускає появу нових активів. Зі зростанням ERC404 та гібридних токенів, таких як FT та NFT, видача активів на ланцюгу продовжує еволюціонувати, ставлячи перед активами все більші виклики. Складність, яку вводить відображення та інтеграція різних типів активів через смарт-контракти, розширює поверхню атак для хакерів. Наприклад, атакувальники можуть перешкоджати переказам активів, використовуючи певні механізми зворотного виклику або оподаткування, що потенційно може призвести до прямих атак DoS. Традиційним аудитам безпеки важко впоратися з цими складностями, що потребує в реальному часі моніторингу, попереджень та динамічних рішень перехоплення.

Забезпечення безпеки поведінки:

Статистика з CSIA показує, що 90% мережевих атак виникають в результаті спроби шахрайства. Ця тенденція спостерігається в області Web3, де зловмисники спрямовуються на особисті ключі користувачів або кошти на ланцюжку через фішингові посилання або шахрайські повідомлення на платформах, таких як Discord, X і Telegram.

Взаємодія на ланцюжку має крутий поріг вивчення, який властивий непрямолінійний. Навіть офлайн підпис може призвести до втрат мільйонів доларів. Чи ми знаємо, що ми авторизуємо, коли натискаємо на той підпис? 22 січня 2024 року користувач криптовалюти став жертвою фішингової атаки, підписуючи підпис Дозволу з неправильними параметрами. Після отримання підпису хакер використав авторизовану адресу гаманця для переказу $4.2 мільйона вартості токенів з рахунку користувача.

Помилки в середовищі безпеки користувача також можуть призвести до втрати активів. Наприклад, коли користувач імпортує приватний ключ в додаток гаманця на базі Android, приватний ключ часто залишається в буфері обміну телефону після копіювання. У цьому сценарії, при відкритті шкідливого програмного забезпечення, приватний ключ може бути прочитаний і автоматично використаний для переказу активів з гаманця або вкрадення активів користувача після періоду затримки.

По мірі того, як все більше нових користувачів увійшли в Web3, питання безпеки в середовищі користувача стане значущою проблемою.

Підвищення безпеки протоколу:

Атаки на повторний вхід залишаються одними з найбільших викликів для безпеки протоколу. Незважаючи на використання численних стратегій контролю за ризиками, події, пов'язані з такими атаками, все ще трапляються часто. Наприклад, у минулому липні Curve постраждав від серйозної атаки на повторний вхід через дефект компілятора у мові програмування контракту Vyper, що призвело до втрат до 60 мільйонів доларів, що викликало широкі сумніви у безпеці DeFi.

Хоча існує багато «білосніжних» рішень для логіки вихідного коду контракту, події, такі як взлом Curve, розкривають значне питання: навіть якщо вихідний код контракту бездоганний, проблеми компілятора можуть призвести до відмінностей між кінцевим часом виконання та очікуваним дизайном. Перетворення контрактів з вихідного коду на фактичний час виконання є складним процесом, кожен крок може призвести до неочікуваних проблем, і сам вихідний код може не повністю охоплювати всі потенційні сценарії. Тому вибіркове покладання тільки на безпеку вихідного коду та рівень компілятора далеко не достатнє; вразливості все одно можуть виникати через проблеми з компілятором.

Отже, захист виконання стане необхідним. На відміну від існуючих заходів контролю за ризиками, які фокусуються на рівні вихідного коду протоколу та діють до виконання, захист виконання передбачає написання розробниками протоколу правил та операцій для управління непередбаченими ситуаціями під час виконання. Це допомагає в реальному часі оцінити та відреагувати на результати виконання в реальному часі.

Згідно з передбаченнями Bitwise, компанії з управління активами криптовалют, загальна вартість криптовалютних активів досягне 16 трлн доларів до 2030 року. Якщо ми кількісно проаналізуємо з точки зору оцінки ризику витрат на безпеку, виникнення подій з безпеки on-chain майже завжди призводить до втрати активів на 100%, тому фактор викладеності (EF) можна встановити на рівні 1, і таким чином одиночне очікуване збиткове значення (SLE) становить 16 трлн доларів. З річною ставкою виникнення (ARO) 1%, ми можемо отримати річне очікуване збиткове значення (ALE) в розмірі 160 млрд доларів, що є максимальною вартістю витрат на інвестування в безпеку криптовалютних активів.

Одержуючи важливість, частоту та швидкісний ріст ринкового масштабу інцидентів з безпеки криптовалют, ми можемо передбачити, що безпека Web3 стане сторінкою ста мільярдів доларів, що швидко зростатиме разом з розширенням ринку Web3 та користувачів. Більше того, враховуючи масштабне зростання індивідуальних користувачів та зростаючу турботу про безпеку активів, ми можемо передбачити геометричне зростання попиту на послуги та продукти з безпеки Web3 на ринку C-сторони, що представляє собою ринок синього океану, який ще не був повністю досліджений.

Аналіз безпеки Web3

З постійними випадками проблем з безпекою в Web3 помітно зростає попит на передові інструменти, які можуть захищати цифрові активи, підтверджувати автентичність NFT, контролювати децентралізовані додатки та забезпечувати відповідність з вимогами антибрехневого законодавства. Статистика показує, що основні джерела загроз безпеці, що стикаються з Web3 наразі, включають:

• Атаки хакерів, спрямовані на протокол
• Шахрайство, атаки методом фішингу та крадіжка приватного ключа, спрямовані на користувачів
• Атаки на безпеку, спрямовані на саму блокчейн

Для вирішення цих ризиків компанії на поточному ринку в основному зосереджуються на наданні послуг та інструментів у двох основних напрямках: тестування та аудит ToB (до ланцюжка) та моніторинг ToC (на ланцюжку). Порівняно з ToC, учасники напрямку ToB працюють на ринку довше і продовжують бачити нових учасників. Однак, коли ринкове середовище Web3 стає більш складним, аудити ToB поступово важко впоратися з різноманітними загрозами безпеки, що підкреслює зростаючу важливість моніторингу ToC та підсилює попит на нього.

• ToB:

Представницькі компанії на поточному ринку, такі як Certik та Beosin, пропонують послуги тестування та аудиту ToB. Ці компанії в основному надають послуги на рівні розумного контракту, проводячи аудити безпеки та формальну верифікацію розумних контрактів. За допомогою попередніх методів ланцюжка, таких як аналіз візуалізації гаманця, аналіз вразливостей розумного контракту та аудит безпеки вихідного коду, ці компанії можуть виявляти вразливості розумних контрактів до певної міри та зменшувати ризики.

• ToC

Моніторинг ToC виконується on-chain, включаючи аналіз ризиків коду смарт-контракту, станів on-chain, метаданих транзакцій користувачів, симуляцію транзакцій та моніторинг стану. Порівняно з ToB, компанії з безпеки C-сторони в просторі Web3 були засновані відносно пізніше, але вони спостерігали зауважуваний ріст. Послуги, надані компаніями з безпеки Web3, такими як GoPlus, поступово застосовуються в різних екосистемах в межах Web3.

З моменту свого створення у травні 2021 року GoPlus відчув стрімке зростання у щоденній кількості викликів API, з декількох сотень запитів на день спочатку до двадцяти мільйонів викликів на день під час піків на ринку. Наведений графік ілюструє зміну викликів API ризику токенів з 2022 по 2024 рік, показуючи темп зростання важливості GoPlus в домені Web3.

Модуль користувальницьких даних, введений GoPlus, став невід'ємною частиною різноманітних веб-застосунків Web3, відіграючи важливу роль на провідних ринкових веб-сайтах, таких як CoinMarketCap (CMC), CoinGecko, Dexscreener, Dextools, провідні децентралізовані біржі, такі як Sushiswap, Kyber Network, і гаманці, такі як Metamask Snap, Bitget Wallet, Safepal.

Крім того, цей модуль був прийнятий компаніями з обслуговування безпеки користувачів, такими як Blowfish, Webacy та Kekkai, що свідчить про важливу роль модуля даних з безпеки користувачів GoPlus визначенні інфраструктури безпеки екосистеми Web3 та його значуще положення в сучасних децентралізованих платформах.

GoPlus в основному пропонує наступні служби API, забезпечуючи комплексний інсайт у дані про безпеку користувачів шляхом цільового аналізу даних кількох ключових модулів. Це спрямовано на запобігання еволюції загроз безпеці та вирішення багатогранних викликів безпеки Web3.

• Token Risk API: Оцінює ризики, пов'язані з різними криптовалютами.
• NFT Risk API: Оцінює ризики, пов'язані з різними NFT.
• Зловмисна Адреса API: Визначає та позначає адреси, пов'язані з шахрайством, рибальством та іншими зловмисними діями.
• dApp Security API: Надає реальний час моніторингу та виявленню загроз для децентралізованих додатків.
• API затвердження контракту: Керує та перевіряє дозволи на виклик розумних контрактів.

На трасі C-сторони ми також спостерігали за Harpie. Harpie зосереджується на захисті гаманців Ethereum від крадіжок і співпрацює з компаніями, такими як OpenSea та Coinbase. Вони захистили тисячі користувачів від шахрайства, хакерських атак та крадіжок особистих ключів. Їх підхід до продукту охоплює як моніторинг, так і відновлення. Вони моніторять гаманці для виявлення вразливостей або загроз, оперативно повідомляють користувачів при виявленні, і допомагають у вирішенні проблем. Вони оперативно реагують на користувачів, які стали жертвами хакерських атак або шахрайства, допомагаючи врятувати їх активи. Їхні зусилля були дуже ефективними у покращенні безпеки гаманців Ethereum.

Крім того, ScamSniffer надає послуги у вигляді браузерного додатка. Цей продукт здійснює перевірку в реальному часі за допомогою двигуна виявлення шкідливих веб-сайтів та кількох джерел даних в чорний список, перш ніж користувачі відкривають посилання, захищаючи їх від шкідливого впливу веб-сайту. Під час онлайн-транзакцій він виявляє шахрайство, таке як рибальство, щоб захистити безпеку активів користувача.

Наступне покоління засобів безпеки: забезпечення майбутнього Web3

Для вирішення питань, таких як безпека активів, поведінкова безпека, безпека протоколу та потреби у виконанні на ланцюжку, ми досліджували рішення, які пропонують GoPlus та Artela. Ці рішення спрямовані на розуміння того, як вони підтримують веб-застосунки масштабу Web3, забезпечуючи в ситуаціях безпеки користувачів та операційних середовищ на ланцюжку.

1. Оточення Інфраструктури безпеки користувача

Блокчейн-безпека транзакцій є основою безпеки для великомасштабних веб-застосунків Web3. З частими атаками хакерів на ланцюжку, фішинговими атаками та виведеннями килимів, забезпечення відстежуваності транзакцій на ланцюжку, ідентифікації підозрілого поведінки на ланцюжку та забезпечення безпеки профілів користувачів на ланцюжку є вирішальними. З цієї метою GoPlus запустив платформу SecWareX, першу комплексну платформу виявлення особистої безпеки для Web3.

SecWareX - це продукт безпеки особистості Web3, побудований на протоколі безпеки користувача SecWare, який надає все в одному, комплексне рішення з безпеки, що включає в себе реальний час ідентифікації атак під час виконання on-chain, ранні попередження, своєчасне перехоплення та вирішення суперечок. Також підтримує індивідуалізовані стратегії безпеки перехоплення для контрактів щодо випуску активів, розроблені під конкретні сценарії.

Для навчання користувачів з питань безпеки поведінки, SecWareX запускає програму Learn2Earn, розумно поєднуючи вивчення знань з безпеки з токеновими стимулами, що дозволяє користувачам підвищити свідомість про безпеку, отримуючи матеріальні винагороди.

1. Рішення щодо відповідності фондів

Протидія відмиванню коштів (AML) є одним з найбільш термінових потреб на громадських блокчейнах. На громадських ланцюгах аналіз факторів, таких як джерела транзакцій, очікувана поведінка, суми та частоти, може допомогти вчасно виявляти підозрілу або аномальну поведінку. Це допомагає децентралізованим біржам, гаманцям та регуляторним агентствам виявляти потенційні незаконні дії, такі як відмивання грошей, шахрайство та азартні ігри, і вживати вчасні заходи, такі як попередження, заморожування активів або повідомлення правоохоронним органам для зміцнення відповідності DeFi та широкомасштабного застосування.

З постійним збагаченням онлайн-поведінки, Know Your Transaction (KYT) для децентралізованих додатків стане невід'ємним передумовою для масштабних застосувань. API зловмисних адрес GoPlus є ключовим для бірж, гаманців та фінансових послуг, які працюють в Web3, щоб відповідати регуляторним вимогам і забезпечити їхню діяльність, підкреслюючи внутрішню зв'язок між дотриманням регулятивних вимог та технологічним прогресом в галузі Web3. Це підкреслює важливість постійного моніторингу та адаптації для забезпечення цілісності екосистеми та безпеки користувачів.

1. Протоколи безпеки на ланцюжку

Artela - перший публічний ланцюг Layer1, що підтримує захист часу виконання. Завдяки дизайну EVM++, вбудований модуль розширення Aspect нативно підтримує додавання логіки розширення на різних етапах життєвого циклу транзакції, записуючи стан виконання кожного виклику функції.

Коли під час виконання функції зворотного виклику відбувається загрожувальний виклик повторного входження, Aspect виявляє й негайно відкликає трансакцію, щоб запобігти використанню атакуючими вразливості повторного входження. Наприклад, захищаючи від атак зновувходу на контракти Curve, Artela надає протокольний рівень безпеки на рівні ланцюга для різноманітних додатків DeFi.

Зі збільшенням складності протоколу та різноманітності компіляторів важливість рішень з захисту від часу виконання on-chain, на відміну від статичних перевірок логіки контрактного коду в «white-box» рішеннях, стає більш виразною.

Висновок

10 січня 2024 року Комісія з цінних паперів та бірж офіційно оголосила про затвердження лістингу та торгівлі спотовим біткоїн-ETF, що є найбільш важливим кроком на шляху до загального прийняття криптовалютних активів. При зростанні розвитку політичних умов та зміцненні заходів безпеки ми неодмінно будемо спостерігати прихід великомасштабних веб-застосунків. Якщо великомасштабні веб-застосунки - це хвилюючі хвилі, то безпека веб-застосунків Web3 - це міцна гребля, побудована для захисту активів користувачів, витримування зовнішніх штормів та забезпечення безпечної навігації кожною хвилею.

Disclaimer：

1. Ця стаття взята з [ BuidlerDAO], Усі авторські права належать оригінальному авторові [BuidlerDAO]. Якщо є заперечення проти цього передруку, будь ласка, зв'яжіться з Gate Learnкоманда, і вони оперативно з цим впораються.
2. Відповідальність за відмову: Погляди та думки, висловлені в цій статті, є виключно тими автора і не є жодним інвестиційним порадам.
3. Переклади статті на інші мови виконуються командою Gate Learn. Якщо не зазначено інше, копіювання, поширення або плагіатування перекладених статей заборонено.