حوار مع فريق أمان SlowMist: كيف يمكن لمستخدمي Web3 العاديين استكشاف العالم بأمان عبر السلسلة؟

PANews · 2023-08-29T11:11:16+00:00

كتاب صغير عن أمن السلسلة مناسب للجميع.

PANews

2023-08-29 11:11:16

المؤلف: أبحاث NFTGo

باعتبارها شركة تركز على الأمن البيئي blockchain، تم تأسيس SlowMist Technology في يناير 2018 من قبل فريق لديه أكثر من عشر سنوات من الهجوم الأمني للشبكات في الخطوط الأمامية والقتال الدفاعي. اكتشفت SlowMist Technology بشكل مستقل وأعلنت عن العديد من الثغرات الأمنية الشائعة عالية المخاطر في blockchain في الصناعة، والتي حظيت باهتمام واعتراف واسع النطاق من الصناعة.

تعد مشكلات أمان blockchain اليوم متكررة، وقد عانى Web3er أيضًا من هذا الأمر لفترة طويلة. لذلك، في الحوار الثاني، يسعدنا جدًا دعوة فريق أمان SlowMist لمشاركة البضائع الجافة معك حول أمان blockchain، ومساعدتك في استكشاف العالم على السلسلة بشكل أكثر أمانًا. لنبدأ الآن~

حوار مع فريق أمان SlowMist: كيف يمكن لمستخدمي Web3 العاديين استكشاف العالم بأمان عبر السلسلة؟

**1. أولاً، يرجى تقديم Slow Mist للجميع. **

الإجابة: مرحبًا بالجميع، SlowMist هي شركة تركز على الأمن البيئي لـ blockchain. تتكون قدرة الأمان البيئي لـ blockchain الخاصة بنا من ثلاث حلقات: الطبقة الأعمق هي أمان الامتثال، والطبقة الثانية هي الأمن الفني، والطبقة الثالثة هي الأمان. الطبقة هي الأمن البيئي. يشتمل الأمن الفني بشكل أساسي على خطين رئيسيين للأعمال، التدقيق الأمني ومكافحة غسيل الأموال. يتضمن محتوى التدقيق الأمني رمز العقد الذكي لمشروع DeFi، والتبادل المركزي، وتطبيق المحفظة، ومحفظة المكونات الإضافية للمتصفح، والسلسلة العامة الأساسية، ولدينا أيضًا خدمة اختبار الفريق الأحمر، وهي واحدة من إيجابياتنا. لأكثر من خمس سنوات من عام 2018 حتى الوقت الحاضر، قمنا بخدمة العديد من العملاء المعروفين والرائدين في الصناعة، ولدينا الآلاف من العملاء التجاريين، مع معدل إشادة مرتفع. بالنسبة لمكافحة غسيل الأموال، لدينا منصة تتبع على السلسلة MistTrack. بالإضافة إلى ذلك، نحن أيضًا قلقون للغاية بشأن الامتثال والأمن. يعد الامتثال أحد الركائز المهمة للتنمية طويلة المدى لهذه الصناعة. لدينا إجراءات قانونية صارمة للمشاريع المستهدفة للتدقيق الأمني أو التعاون في مكافحة غسيل الأموال. نحن نعلم أن الأمن هو كل شيء، وأن الأمن يحتاج إلى بناء نظام أمني كامل، لذلك نحن نقدم حلول أمنية متكاملة مصممة خصيصًا للظروف المحلية بدءًا من اكتشاف التهديدات وحتى الدفاع عن التهديدات. بكل بساطة، إنه في الواقع نظام دفاعي دائري يشبه النظام العسكري، دفاع متعدد الطبقات. اكتشاف التهديدات في الطبقة الخارجية هو اكتشاف التهديدات وتحديدها من خلال الشركاء في منطقة SlowMist ونظام استخبارات التهديدات الخاص بـ SlowMist (وهذا أيضًا أمننا البيئي)، ثم نشرها على النظام البيئي بأكمله للإنذار المبكر من خلال القنوات الإعلامية؛ الدفاع عن التهديد يشير إلى نظامنا الدفاعي، بدءًا من BTI (نظام استخبارات تهديدات Blockchain) إلى نشر حلول دفاعية مخصصة ومنهجية، وتنفيذ تعزيز أمان المحفظة الساخنة والباردة، وما إلى ذلك، واختيار أمان الشبكة، وأمن التحكم في المخاطر، وأمن المحفظة وغيرها من المجالات للعملاء. يتيح مزود الحلول الأمنية عالية الجودة في الصين للعملاء الاختيار بمرونة وسهولة التعامل مع الصعوبات المختلفة التي تواجههم في عملية تطوير الأعمال.نأمل أن نتعاون مع شركاء ذوي جودة عالية في الصناعة والمجتمع لبناء أعمال دفاعية أمنية مشتركة بشكل مشترك.

**2. لا يمكن التنبؤ بمشاكل أمان Web3 دائمًا. بصرف النظر عن بعض القواعد الأساسية مثل نسخ العبارات التذكيرية يدويًا والاهتمام بصحة مواقع الويب، هل لدى SlowMist أي اقتراحات أمنية لـ Web3er الذي يتفاعل بشكل متكرر؟ **

الإجابة: نظرًا لأن السؤال يتعلق بأمان التفاعل، فلنتعرف أولاً على كيفية قيام الهجمات الشائعة بسرقة أصول المستخدمين.

يقوم المهاجمون عمومًا بسرقة أصول المستخدم بطريقتين:

أولاً، خداع المستخدمين للتوقيع على بيانات المعاملات الضارة التي تسرق الأصول، مثل خداع المستخدمين للترخيص أو نقل الأصول إلى المهاجمين. ثانيًا، خداع المستخدم لإدخال العبارة التذكيرية الخاصة بالمحفظة على موقع ويب أو تطبيق ضار.

بعد أن نعرف كيف يسرق المهاجم أصول المحفظة، يجب علينا منع المخاطر المحتملة:

قبل التوقيع، يجب عليك تحديد البيانات الموقعة، ومعرفة الغرض من المعاملة التي وقعت عليها، والتحقق بعناية مما إذا كان الكائن الموقع صحيحًا، وما إذا كان المبلغ المصرح به كبيرًا جدًا؛
استخدم محافظ الأجهزة قدر الإمكان: نظرًا لأن محافظ الأجهزة بشكل عام لا يمكنها تصدير الكلمات التذكيرية أو المفاتيح الخاصة بشكل مباشر، فيمكن أن تزيد من عتبة سرقة المفتاح الخاص للكلمات التذكيرية؛
تظهر تقنيات وحوادث التصيد المختلفة إلى ما لا نهاية، ويجب أن يتعلم المستخدمون كيفية التعرف على تقنيات التصيد المختلفة بأنفسهم، وتحسين الوعي الأمني، وإجراء التعليم الذاتي لتجنب التعرض للغش، وإتقان مهارات الإنقاذ الذاتي. بالطبع، أوصي بشدة الجميع بقراءة “دليل المساعدة الذاتية Blockchain Dark Forest” الذي تنتجه SlowMist، وهو مليء بالسلع الجافة؛
يوصى بأن يحتفظ المستخدمون بمحافظ مختلفة لسيناريوهات مختلفة للحفاظ على مخاطر الأصول تحت السيطرة. على سبيل المثال: لا يتم استخدام كميات كبيرة من الأصول بشكل متكرر، ويوصى بتخزينها في محفظة باردة والتأكد من أن بيئة الشبكة والبيئة المادية آمنة عند استخدامها. يُنصح باستخدام المحافظ التي تشارك في أنشطة مثل الإنزال الجوي لتخزين الأصول الصغيرة نظرًا لتكرار استخدامها. يمكن إدارة المحفظة بشكل هرمي من خلال الأصول المختلفة وتكرار الاستخدام، وذلك لضمان إمكانية السيطرة على المخاطر.

**3. في 8.16، أرسل رئيس جيب التمام تغريدة مثيرة للاهتمام - من أين جاء وهمك بأن “Mac أكثر أمانًا من أجهزة كمبيوتر Win”؟ بالنسبة لمستخدمي Web3، ما هي في رأي SlowMist مزايا وعيوب أجهزة كمبيوتر Mac وWin؟ **

الإجابة: نعم، أثارت هذه التغريدة أيضًا الكثير من النقاش، بل على العكس من ذلك، تساءلنا “من أين يأتي الوهم بأن نظام Win أكثر أمانًا من أجهزة كمبيوتر Mac؟”، وهي أيضًا زاوية وإجابة مماثلة. فيما يتعلق بمكافحة التطفل بنظام واحد، فإن الطبيعة المغلقة لنظام Mac والرقابة الصارمة على الأذونات أفضل بالفعل من Windows، والحصة السوقية العالمية لأجهزة الكمبيوتر الشخصية لنظام Mac منخفضة جدًا، في حين يمثل Win نسبة عالية، لذلك المزيد من الهجمات تحدث على Win. سطح الهجوم ناضج جدًا. ومن المبالغة القول إن 99% من أفراد الأمن الحاليين الذين يقومون بالتسلل والاختراق والتهديدات المستمرة المستمرة لن يستهدفوا أجهزة Mac، بل على العكس من ذلك، 100% منهم سيستهدفون Win. وبصرف النظر عما قيل أعلاه، إذا هاجمت Mac وفوزت باستخدام حصان طروادة المضاد للقتل، فإن النتيجة الأساسية هي نفسها، وسيتم ضربك. بشكل عام، نصف المعدات نصف الفرد، وإذا لم يكن الوعي الأمني لدى المستخدم كافيا، فمن السهل خداعه والتسبب في زرع برامج ضارة على الكمبيوتر، مما قد يؤدي إلى سرقة البيانات الحساسة على الجهاز. الكمبيوتر (مثل فن الإستذكار). يمكن أن تتصرف البرامج الضارة بعدة طرق مختلفة، فقد تختبئ في مرفق بريد إلكتروني، أو قد تستخدم كاميرا جهازك للتجسس عليها. من المستحسن أن يقوم الجميع برفع وعيهم الأمني، على سبيل المثال، عدم تنزيل وتشغيل البرامج التي يقدمها مستخدمو الإنترنت بسهولة، وتنزيل التطبيقات أو البرامج أو ملفات الوسائط فقط من المواقع الموثوقة، وعدم فتح المرفقات بسهولة من رسائل البريد الإلكتروني غير المألوفة، وتحديث نظام التشغيل بانتظام للحصول على أحدث وسائل الحماية الأمنية، قم بتثبيت برامج مكافحة الفيروسات على الجهاز، مثل Kaspersky.

**4. تمت سرقة “أموال” العديد من المشاريع. ما الذي يعتقد SlowMist أنه الأسباب الرئيسية للمشكلات الأمنية؟ هل من الممكن أن يتم حراستها وسرقتها؟ **

الإجابة: وفقًا لإحصائيات SlowMist Hacked، اعتبارًا من 24 أغسطس، سيكون هناك 253 حادثًا أمنيًا في عام 2023، مع خسارة تصل إلى 1.45 مليار دولار أمريكي. من منظور الأساليب الضارة لـ blockchain، هناك عدة جوانب رئيسية: هجمات التصيد الاحتيالي، وهجمات حصان طروادة، وهجمات الطاقة الحاسوبية، وهجمات العقود الذكية، وهجمات البنية التحتية، وهجمات سلسلة التوريد، والجرائم الداخلية. لنأخذ هجمات العقود الذكية الشائعة كمثال، هناك طرق الهجوم التالية: هجمات القروض السريعة، وثغرات العقود، ومشكلات التوافق أو البنية، وبعض الأساليب: الهجمات الضارة للواجهة الأمامية والتصيد الاحتيالي للمطورين. بالإضافة إلى ذلك، عندما يتعلق الأمر بالسرقة الذاتية، علينا أن نذكر تسرب المفاتيح الخاصة. يعتمد تسرب المفاتيح الخاصة على الموقف، ويختلف تسرب المفاتيح الخاصة للأفراد والتبادلات بشكل كبير. تم تسريب المفتاح الخاص الشخصي، بشكل عام، يتم تخزين المفتاح الخاص أو تذكيري على الإنترنت، مثل مجموعة WeChat وصندوق البريد 163 والمذكرة وملاحظات Youdao وخدمات التخزين السحابية الأخرى. غالبًا ما يقوم المتسللون بجمع قواعد بيانات الحساب وكلمة المرور المسربة عبر الإنترنت، مثل كلمات مرور حساب النص العادي CSDN منذ عدة سنوات، ثم انتقل إلى مواقع التخزين السحابي والخدمة السحابية هذه للمحاولة، إذا نجح تسجيل الدخول، فانتقل إلى الداخل لمعرفة ما إذا كان هناك أي تشفير المحتوى ذو الصلة. تعتبر عملية التبادل أكثر تعقيدًا، فهي بشكل عام منظمة قرصنة واسعة النطاق لديها القدرة على اختراق طبقات الحماية الأمنية للبورصة، والتطفل خطوة بخطوة للحصول على المفتاح الخاص للمحفظة الساخنة في خادم البورصة. . وهنا تذكير خاص بأن هذا عمل غير قانوني ويجب عدم تقليده. نقترح على طرف المشروع أن يبذل قصارى جهده للعثور على شركة أمنية لإجراء تدقيق أمني على الكود الخاص بمشروعه الخاص لتحسين المستوى الأمني للمشروع، ويمكنه أيضًا إطلاق Bug Bounty لتجنب المشاكل الأمنية أثناء التشغيل المستمر وتطوير المشروع، وفي الوقت نفسه، يوصى بأن تعمل جميع مشاريع فانغ على تحسين الإدارة الداخلية والآلية الفنية، وزيادة كثافة حماية الأصول من خلال تقديم آلية التوقيع المتعدد وآلية الثقة الصفرية.

**5. كان الجسر المتقاطع يُلقب سابقًا باسم: AKA hacker Cash Machine. بالنسبة إلى Web3er، وهو جديد نسبيًا في مجال التكنولوجيا، ما هي النقاط التي يجب الانتباه إليها عند استخدام الجسور المتقاطعة؟ **

الإجابة: عندما يتعلق الأمر بالجسور عبر السلاسل، أولاً وقبل كل شيء، تكون أعمال الجسور عبر السلاسل معقدة وكمية التعليمات البرمجية كبيرة، ومن المحتمل حدوث ثغرات عند الترميز والتنفيذ؛ ثانيًا، أمان الطرف الثالث- تعد مكونات الطرف المشار إليها في المشروع أيضًا أحد الأسباب المهمة للثغرات الأمنية؛ أخيرًا، ومع ذلك، فإن عدم وجود مجتمع تطوير أكبر للجسور عبر السلسلة يعني أنه لم يتم البحث في الكود على نطاق واسع وبعناية بحثًا عن الأخطاء المحتملة. بالنسبة للمستخدمين، عند استخدام الجسور عبر السلاسل، من المهم أن تفهم كيف يتم حماية أموالك، ويمكنك النظر إلى مستوى مخاطر الجسور عبر السلاسل من بعض الأبعاد، على سبيل المثال: هل عقد المشروع مفتوح المصدر؟ هل المشروع عبارة عن تدقيق أمني متعدد الأطراف؟ هل نظام إدارة المفتاح الخاص هو حساب MPC متعدد الأطراف؟ أو متعدد العقدة متعدد التوقيع؟ أم أن المفتاح الخاص يحتفظ به طرف المشروع؟ عند اختيار جسر عبر السلسلة، يجب على المستخدمين أيضًا اختيار تلك الفرق عبر السلسلة التي تتمتع بقدرات أمنية قوية. أولاً، يجب أن يكون لديهم جميع إصدارات تدقيق أمان الكود، وثانيًا، يجب أن يكون لدى الفريق موظفو أمن بدوام كامل. نحن أيضًا نوصي بأن تعمل الفرق ذات الصلة بالجسر عبر السلسلة بشكل أكثر شفافية، بحيث يمكن تلقي المزيد من الأسئلة والاقتراحات من المستخدمين، ويمكن التحقق من الفجوات وملءها في الوقت المناسب.

**6. بالإضافة إلى بعض عمليات الاحتيال والتصيد الاحتيالي الشائعة، هل يستطيع SlowMist تقديم بعض الأمثلة غير الشائعة نسبيًا والتي يصعب الوقاية منها؟ **

ج: لقد كشفنا سابقًا عن حوادث استخدم فيها المهاجمون عيوبًا في تطبيق WalletConncet لمحافظ Web3 لزيادة معدل نجاح هجمات التصيد الاحتيالي. على وجه التحديد، عندما توفر بعض محافظ Web3 دعم WalletConncet، لا توجد قيود على المنطقة التي ستظهر فيها النافذة المنبثقة لمعاملات WalletConncet، ولكن سيظهر طلب التوقيع على أي واجهة للمحفظة. يستخدم المهاجمون هذا العيب لتوجيه المستخدمين من خلال مواقع التصيد الاحتيالي: يتصل WalletConncet بصفحات التصيد الاحتيالي، ثم يقوم بشكل مستمر بإنشاء طلبات توقيع eth_sign ضارة. بعد أن يدرك المستخدم أن eth_sign قد يكون غير آمن ويرفض التوقيع، نظرًا لأن WalletConncet يستخدم wss للاتصال، إذا لم يقم المستخدم بإغلاق الاتصال في الوقت المناسب، فستستمر صفحة التصيد الاحتيالي في بدء طلبات التوقيع eth_sign الضارة. في بعض الأحيان هناك هناك احتمال كبير أن يتم النقر على زر التسجيل عن طريق الخطأ، مما يؤدي إلى سرقة أصول المستخدم. في الواقع، طالما تركت متصفح DApp أو أغلقته، فيجب تعليق اتصال WalletConncet. بخلاف ذلك، عندما يقفز المستخدم فجأة من التوقيع عند استخدام المحفظة، فمن السهل أن يتم الخلط بينه وبين ذلك ويؤدي إلى خطر السرقة. بعد قولي هذا، اسمحوا لي أن أذكر eth_sign مرة أخرى. eth_sign هي طريقة توقيع مفتوح غالبًا ما يستخدمها المهاجمون للتصيد الاحتيالي في العامين الماضيين، وهي تسمح بالتجزئة العشوائية، أي أنه يمكن توقيع أي معاملة أو أي بيانات، مما يشكل خطر تصيد احتيالي خطير. عند تسجيل الدخول أو تسجيل الدخول، يجب عليك التحقق بعناية من التطبيق أو موقع الويب الذي تستخدمه، وعدم إدخال كلمة المرور أو التوقيع على معاملة عندما تكون غير واضحة، حيث يمكن أن يؤدي رفض التوقيع الأعمى إلى تجنب العديد من المخاطر الأمنية.

**7. أريد أن أعرف ما هو الحادث الأمني الأكثر عمقًا الذي واجهته SlowMist في مجال أمان blockchain لسنوات عديدة؟ **

الإجابة: أكثر ما أثار إعجابي في العامين أو الثلاثة أعوام الماضية هو حادثة Poly Network التي وقعت في عام 2021. في حوالي الساعة 20:00 مساء يوم 10 أغسطس، عندما وقع الهجوم، حافظنا على درجة عالية من الاهتمام، وقمنا بتحليل عملية الهجوم، وتتبع تدفق الأموال، وإحصاء الخسائر المسروقة، وما إلى ذلك، وشعرنا قليلاً في خط المواجهة . واعتبرت خسارة 610 ملايين دولار أمريكي خسارة كبيرة بشكل خاص في الهجوم في ذلك الوقت. أصدر فريقنا على الفور تحليل الهجوم ومعلومات هوية IP الخاصة بالمهاجم التي عثرنا عليها في الساعة 5:00 صباحًا يوم 11. وفي الساعة 16:00 يوم 11، كان المتسلل تحت ضغط شديد لبدء إعادة الأصول. بعض التعليقات التي أدلى بها المتسللون على السلسلة في المتابعة كانت أيضًا أكثر “إثارة للاهتمام”، وكانت العملية برمتها مرضية للغاية كشركة أمنية.

8.وأخيرًا، اطرح سؤالاً مثيرًا للاهتمام. تستمر التقنيات الجديدة مثل التحقق الرسمي وتدقيق الذكاء الاصطناعي في التكرار. كيف تنظر SlowMist إلى تطور التقنيات الجديدة؟

ج: عندما يتعلق الأمر بالتقنيات الجديدة، مثل ChatGPT لتحسين كفاءة النص التقليدي، مثل CodeGPT لتحسين كفاءة كتابة التعليمات البرمجية. لقد استخدمنا أيضًا رموز الثغرات الأمنية الشائعة تاريخيًا كحالات اختبار داخليًا للتحقق من قدرة GPT على اكتشاف الثغرات الأمنية الأساسية. وجدت نتائج الاختبار أن نموذج GPT جيد في اكتشاف كتل التعليمات البرمجية الضعيفة البسيطة، لكنه غير قادر مؤقتًا على اكتشاف الرموز الضعيفة الأكثر تعقيدًا، ويمكن رؤية قابلية القراءة السياقية الشاملة لـ GPT-4 (الويب) في الاختبار بدرجة عالية جدًا ، تنسيق الإخراج واضح نسبيًا. تتمتع GPT بقدرات اكتشاف جزئية لنقاط الضعف الأساسية البسيطة في أكواد العقود، وبعد اكتشاف الثغرات الأمنية، ستشرح الثغرات الأمنية بسهولة قراءة عالية. هذه الميزة أكثر ملاءمة لتوفير إرشادات سريعة للتدريب الأولي لمدققي العقود المبتدئين والأسئلة البسيطة. ولكن هناك أيضًا بعض العيوب: على سبيل المثال، لدى GPT تقلبات معينة في مخرجات كل حوار، والتي يمكن تعديلها من خلال معلمات واجهة API، ولكنها لا تزال غير ثابتة، وعلى الرغم من أن هذا التقلب يعد وسيلة جيدة للحوار اللغوي، إنه كبير ولكن هذا سؤال سيء بالنسبة لفئات تحليل التعليمات البرمجية للعمل عليه. لأنه من أجل تغطية إجابات نقاط الضعف المختلفة التي قد يخبرنا بها الذكاء الاصطناعي، نحتاج إلى طرح نفس السؤال عدة مرات وإجراء فحص مقارن، مما يزيد بشكل غير مرئي من عبء العمل وينتهك الهدف المعياري المتمثل في مساعدة الذكاء الاصطناعي للبشر على تحسين الكفاءة. علاوة على ذلك، سيكشف اكتشاف الثغرات الأمنية الأكثر تعقيدًا أن نموذج التدريب الحالي (2024.3.16) لا يمكنه تحليل نقاط الضعف الرئيسية ذات الصلة والعثور عليها بشكل صحيح. على الرغم من أن قدرة GPT على تحليل الثغرات الأمنية في العقود واستخراجها لا تزال ضعيفة نسبيًا في الوقت الحاضر، إلا أن قدرتها على تحليل كتل التعليمات البرمجية الصغيرة لنقاط الضعف الشائعة وإنشاء نصوص التقارير لا تزال تثير اهتمام المستخدمين. ومع تدريب وتطوير نماذج GPT ونماذج الذكاء الاصطناعي الأخرى، يُعتقد أن أنه سيتم بالتأكيد إجراء عمليات تدقيق إضافية أسرع وأكثر ذكاءً وشمولاً للعقود الكبيرة والمعقدة.

خاتمة

شكرًا جزيلاً لك على إجابة فريق أمان SlowMist. حيثما يوجد ضوء، توجد ظلال، وصناعة blockchain ليست استثناءً؛ ولكن على وجه التحديد بسبب وجود شركات أمن blockchain مثل SlowMist Technology، يمكن للضوء أيضًا أن يدخل الظل. أعتقد أنه مع التطوير، ستصبح صناعة blockchain أكثر توحيدًا، وأنا أتطلع إلى التطوير المستقبلي لتقنية SlowMist ~

شاهد النسخة الأصلية

قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.

تسجيلات الإعجاب 1