怎样在币安交易加密货币?一起入群交流,欢迎联系微信:BTCair

详解Web3安全领域常见的攻击类型和经验教训

币圈资讯 btcwbo 687℃ 0评论

web3的安全性取决于区块链承诺和人为干预的灵活性。但最终的相关特征——交易通常是不可逆转的——使这些软件控制网络成为攻击者的有吸引力的目标。事实上,随着区块链分散的计算机网络作为web3的基础,以及其技术和应用程序的积累价值,它们越来越成为攻击者的梦想目标。
虽然web3不同于早期的互联网迭代,但我们观察到了软件安全趋势的共同点。在许多情况下,最大的问题和以前一样。通过对这些领域的研究,无论是开发商、安全团队还是日常加密用户,防御者都提出了一些共同的主题和预测。
跟着资金
攻击者通常旨在最大化投资回报。由于潜在回报更大,他们可以花更多的时间和精力攻击总价值锁定或TVL协议。
最丰富的黑客组织往往瞄准高价值系统。对这些宝贵目标的新攻击也更为频繁。
低成本攻击(如在线钓鱼)永远不会消失,我们预计它们将在可预见的未来变得更加普遍。
修补漏洞
随着开发人员从经验丰富的攻击中学习,他们可能会将web3软件的状态提高到默认的安全水平。通常,这涉及到收紧应用程序编程界面或API,使人们更难错误地引入漏洞。
虽然安全一直是一项工作,但防御者和开发者可以通过消除大多数攻击者的低成本水果来增加攻击成本。
随着安全实践的改进和工具的成熟,以下攻击的成功率可能会大大降低:控制攻击、价格预测器操作和再次进入漏洞。(这里有更多的内容。
不能保证完美和安全的平台必须使用漏洞来减少损失的可能性。这可能会通过降低成本收入分析或增加空间来阻止攻击者。
分类攻击
不同系统的攻击可以根据其共同特征进行分类。定义特征包括攻击的复杂性、攻击的自动化程度和防御措施。
以下是我们在过去一年的黑客攻击中看到的非详细攻击类型列表。我们还包括我们对当前威胁形势的观察和我们对未来网络3安全的预期发展方向。
APT操作:顶级捕食者。

黑客


通常被称为高级持续威胁(APT)的专家对手是安全恶魔。他们的动机和能力非常不同,但他们往往富有和持久。不幸的是,他们可能总是在身边。不同的应用程序运行了许多不同类型的操作,但这些威胁参与者最有可能直接攻击公司的网络层来实现他们的目标。
众所周知,一些高级团体正在积极瞄准web3项目,我们怀疑其他人还没有确定。最受关注的应用程序背后的人经常生活在没有引渡条约的地方,这使得他们更难因为自己的活动而被起诉。最著名的应用程序之一是朝鲜组织Lazarus。联邦调查局最近表示,它攻击了迄今为止最大的加密黑客。
例子:
Ronin验证器被攻击。
轮廓
谁:国家、资金雄厚的犯罪组织和其他先进组织。例如,包括罗尼黑客(罗尼黑客与朝鲜有着广泛的联系)。
复杂性:高(仅适用于资源丰富的群体,通常在不被起诉的国家)。
自动化:低(部分自定义工具仍主要用于手动操作)
对未来的期望:只要APT能够货币化或实现各种政治目标,它们就会保持活跃。
以用户为目标的网络钓鱼:社会工程。

黑客


网络钓鱼是一个常见的问题。网络渔民试图通过即时通讯、电子邮件、推特、电报、discord和黑色网站等各种渠道发送诱饵信息来吸引猎物。如果你浏览垃圾邮件,你可能会看到数百次试图欺骗你泄露密码或偷钱。
现在web3允许人们直接交易资产,如代币或NFT,这几乎可以立即确定在线钓鱼活动是针对用户的。对于知识或技术知识较少的人来说,这些攻击是窃取加密货币赚钱的最简单方法。即便如此,对于有组织的团体来说,它们仍然是跟踪高价值目标或通过网站接管广泛钱包攻击的有价值的方法。
例子
直接针对用户。
Badgerdao网络钓鱼攻击前端应用程序。
轮廓
谁:从脚本初学者到任何有组织的团体。
复杂性:低-中(攻击可以是低质量的喷雾或超针对性,这取决于攻击者的努力)。
自动化:中高(大部分工作都可以自动化)。
对未来的期望:在线钓鱼的成本非常低,在线钓鱼者经常适应和绕过最新的防御措施,所以我们预计这些攻击的发生率将会增加。通过增加教育和意识,更好过滤,改善警告横幅和更强大的钱包控制,可以改善用户的防御。
供应链漏洞:最薄弱的环节。

黑客


当汽车制造商发现汽车缺陷时,他们会安全召回。软件供应链也不例外。
第三方软件库引入了大量的攻击面。这一直是一个跨系统的安全挑战,比如去年12月广泛使用web服务器软件的log4j漏洞。攻击者将扫描互联网,找出他们可以使用的未修复问题。
导入的代码可能不是由项目本身的工程团队编写的,但其维护非常重要。团队必须监控其软件组件的漏洞,以确保部署和更新,并及时了解其所依赖的项目的动机和健康状况。web3软件漏洞的真实性和即时成本使负责任地向用户传达这些问题具有挑战性。该团队尚未确定如何或在哪里进行沟通,以避免意外使用用户资金的风险。
例子
Wormhole桥攻击。
Multichain漏洞。
轮廓
谁:APT、独立黑客、内部人士等组织。
复杂性:中等(需要技术知识和时间)。
自动化:中等(故障软件组件可以自动扫描,但发现新漏洞时需要手动构建漏洞攻击程序)。
对未来的期望:随着软件系统的相互依赖和复杂性的增加,供应链漏洞可能会增加。机会主义黑客攻击也可能在网络3安全开发和标准化漏洞披露方法之前增加。
治理攻击:选举掠夺者。

黑客


这是加密行业列表中的第一个问题。网络3中的许多项目包括治理,代币持有人可以提出改变网络的建议和投票。虽然这为可持续发展和改进提供了机会,但如果实施,它也打开了后门,可能会破坏网络。
攻击者设计了一种避免控制、征用领导权和掠夺国库的新方法。攻击者可以拿出大量的闪电贷款来获得足够的选票,就像最近在defi项目Beanstalk上发生的事件一样。因此,攻击者更容易使用自动执行提案的治理投票。然而,如果提案被推迟或需要手动签署(例如,多个签名钱包),可能更难实施。
例子
beanstalk资金转移事件。
轮廓
谁:从组织团体(APT)到任何独立黑客。
复杂性:从低到高取决于协议。
自动化:从低到高取决于协议。
对未来的期望:这些攻击高度依赖于治理工具和标准,特别是当它们与监控和提案制定过程有关时。
定价预测器攻击:市场操纵者。

黑客

很难准确定价资产。在传统交易领域,手动提高或降低资产价格是非法的,你可能会被罚款或逮捕。在Defi市场,随机用户可以交易数亿或数十亿美元,导致价格突然波动,这是一个明显的问题。
许多web3项目依赖于提供实时数据的预测系统,这是链上找不到的信息源。例如,预测器通常用于确定两种资产之间的交换价格。但攻击者已经找到了欺骗所谓真相的方法。
随着预测器标准化的发展,链下和链上世界之间将有一座更安全的桥梁。我们可以期待市场尝试更有弹性。如果你幸运的话,有一天这样的攻击几乎会完全消失。
例子
Cream市场操纵。
轮廓
谁:组织团体(APT),独立黑客和内部人士。
复杂性:中等(需要技术知识)。
自动化:高(大部分攻击可能涉及自动检测的可用性)。
对未来的期望:随着定价方法的准确性越来越标准化,可能会降低。
新漏洞:未知未知。

黑客


Zero-day漏洞攻击之所以如此命名,是因为它们只披露了0天的漏洞——这是信息安全领域的热点问题,web3安全领域也不例外。因为它们突然出现,它们是最难防御的攻击。
如果是这样的话,web3使得这些昂贵的劳动密集型攻击更容易货币化,因为一旦被盗,就很难收回加密资金。攻击者可以花很多时间在操作链上仔细研究应用程序代码,找到一个错误来证明他们所有的努力。与此同时,一些新的漏洞继续困扰着无戒的项目;在以太坊项目的早期,以太坊项目的名称再次进入漏洞,现在它继续出现在其他地方。
目前尚不清楚该行业将能够快速或容易地适应这些类型的漏洞,但对审计、监控和工具等安全防御的持续投资将增加攻击者攻击这些漏洞的成本。
例子
Polynetwork跨链交易漏洞。
Qubit无限铸币漏洞。
轮廓
谁:组织团体(APT)、独立黑客(不太可能)和内部人士。
复杂性:中高(需要技术知识,但并非所有漏洞都太复杂,人们无法理解)。
自动化:低(发现新漏洞需要时间和精力,不太可能自动化。在其他系统中更容易扫描类似的问题)。
对未来的期望:更多的关注将吸引更多的白帽子,并提高进入新漏洞的门槛。与此同时,随着web3的增长,黑帽黑客寻找新漏洞的动机也在增加。就像许多其他安全领域一样,这可能仍然是一个猫捉老鼠的游戏。
免责声明:作为区块链信息平台,本网站提供的信息并不代表任何投资暗示。

转载请注明:比特币区块链时代 » 详解Web3安全领域常见的攻击类型和经验教训

喜欢 (2)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址