Diálogo con el equipo de seguridad de SlowMist: ¿Cómo pueden los usuarios normales de Web3 explorar de forma segura el mundo en la cadena?

Autor: Investigación NFTGo

Como empresa centrada en la seguridad ecológica de blockchain, SlowMist Technology fue fundada en enero de 2018 por un equipo con más de diez años de combate ofensivo y defensivo de seguridad de red de primera línea. SlowMist Technology ha descubierto y anunciado de forma independiente varias vulnerabilidades de seguridad de blockchain de alto riesgo comunes en la industria, que han recibido amplia atención y reconocimiento por parte de la industria.

Los problemas de seguridad de blockchain de hoy son frecuentes, y Web3er también ha estado preocupado por esto durante mucho tiempo. Por lo tanto, en el segundo diálogo, estamos muy contentos de invitar al equipo de seguridad de SlowMist a compartir con usted productos básicos sobre la seguridad de blockchain y ayudarlo a explorar el mundo en la cadena de manera más segura. Empecemos ahora ~

** 1. Primero, presente Slow Mist a todos. **

Respuesta: Hola a todos, SlowMist es una empresa que se centra en la seguridad ecológica de blockchain. Nuestra capacidad de seguridad ecológica de blockchain consta de tres anillos: la capa más interna es la seguridad de cumplimiento, la segunda capa es la seguridad técnica y la tercera capa es la seguridad. La capa es seguridad ecológica. La seguridad técnica incluye principalmente dos líneas de negocio principales, la auditoría de seguridad y la lucha contra el blanqueo de capitales. El contenido de la auditoría de seguridad incluye el código de contrato inteligente del proyecto DeFi, el intercambio centralizado, la aplicación de billetera, la billetera de complemento del navegador, la cadena pública subyacente y también contamos con un servicio de prueba del equipo rojo, que es uno de nuestras ventajas. Durante más de cinco años, desde 2018 hasta el presente, hemos atendido a muchos clientes líderes y reconocidos en la industria, y tenemos miles de clientes comerciales, con un alto índice de elogios. Para combatir el lavado de dinero, contamos con una plataforma de seguimiento en cadena, MistTrack. Además, también nos preocupamos mucho por el cumplimiento y la seguridad. El cumplimiento es una de las piedras angulares importantes del desarrollo a largo plazo de esta industria. Contamos con procedimientos legales estrictos para los proyectos objetivo de auditoría de seguridad o cooperación contra el lavado de dinero. Sabemos que la seguridad es un todo y que la seguridad necesita construir un sistema de seguridad completo, por lo que brindamos soluciones de seguridad integradas adaptadas a las condiciones locales, desde el descubrimiento de amenazas hasta la defensa contra amenazas. En pocas palabras, en realidad es un sistema de defensa circular de tipo militar, una defensa en capas. El descubrimiento de amenazas en la capa más externa consiste en descubrir e identificar amenazas a través de socios en la zona de SlowMist y el propio sistema de inteligencia de amenazas de SlowMist (esta también es nuestra seguridad ecológica), y luego publicarlas en todo el ecosistema para alerta temprana a través de canales de medios; defensa contra amenazas Se refiere a nuestro sistema de defensa, desde BTI (Blockchain Threat Intelligence System) hasta la implementación de soluciones de defensa sistemáticas y personalizadas, la implementación de refuerzo de seguridad de billetera fría y caliente, etc., la selección de seguridad de red, seguridad de control de riesgos, seguridad de billetera y otros campos para los clientes. El proveedor de soluciones de seguridad de alta calidad en China permite a los clientes elegir de manera flexible y lidiar fácilmente con diversas dificultades encontradas en el proceso de desarrollo comercial.Esperamos cooperar con socios de alta calidad en la industria y la comunidad para construir conjuntamente un trabajo de defensa conjunto de seguridad.

**2. Los problemas de seguridad de Web3 siempre son impredecibles. Aparte de algunas reglas básicas como copiar frases mnemotécnicas a mano y prestar atención a la autenticidad de los sitios web, ¿Tiene SlowMist alguna sugerencia de seguridad para los Web3er que interactúan con frecuencia? **

Respuesta: Dado que la pregunta es sobre la seguridad de la interacción, primero analicemos cómo los ataques comunes roban los activos de los usuarios.

Los atacantes generalmente roban los activos de los usuarios de dos maneras:

En primer lugar, engañar a los usuarios para que firmen datos de transacciones maliciosas que roben activos, como engañar a los usuarios para que autoricen o transfieran activos a los atacantes. En segundo lugar, engañar al usuario para que introduzca la frase mnemotécnica de la billetera en un sitio web o aplicación maliciosa.

Una vez que sepamos cómo el atacante roba los activos de la billetera, debemos prevenir posibles riesgos:

1. Antes de firmar, debe identificar los datos firmados, saber para qué sirve la transacción que firmó, verificar cuidadosamente si el objeto firmado es correcto y si el monto autorizado es demasiado grande;
2. Utilice billeteras de hardware tanto como sea posible: dado que las billeteras de hardware generalmente no pueden exportar directamente palabras mnemotécnicas o claves privadas, puede aumentar el umbral para que se roben las claves privadas de palabras mnemotécnicas;
3. Diversas técnicas e incidentes de phishing surgen sin cesar. Los usuarios deben aprender a identificar varias técnicas de phishing por sí mismos, mejorar la conciencia de seguridad, realizar autoeducación para evitar ser engañados y dominar las habilidades de autorrescate. Estafa o phishing. Por supuesto, recomiendo encarecidamente a todos que lean el “Manual de autoayuda Blockchain Dark Forest” elaborado por SlowMist, que está lleno de productos secos;
4. Se recomienda que los usuarios mantengan diferentes billeteras para diversos escenarios para mantener bajo control el riesgo de los activos. Por ejemplo: grandes cantidades de activos generalmente no se usan con frecuencia, se recomienda almacenarlos en una billetera fría y garantizar que el entorno de red y el entorno físico sean seguros al usarlos. Se recomienda que las billeteras que participan en actividades como airdrops almacenen activos pequeños debido a su alta frecuencia de uso. La billetera se puede administrar jerárquicamente por diferentes activos y frecuencia de uso, para garantizar que los riesgos sean controlables.

**3. El 8.16, el jefe del coseno envió un tweet interesante: ¿de dónde surgió tu ilusión de que “Mac es más seguro que las computadoras Win”? Para los usuarios de Web3, ¿cuáles cree SlowMist que son las ventajas y desventajas de las computadoras Mac y Win? **

Respuesta: Sí, este tweet también causó mucha discusión, por el contrario, preguntamos “¿De dónde viene la ilusión de que Win es más seguro que las computadoras Mac?” También es un ángulo y una respuesta similares. En términos de antiintrusión de sistema único, la naturaleza cerrada de Mac y el estricto control de permisos son de hecho mejores que Windows, y la participación de mercado global de PC de Mac es muy baja, mientras que Win representa una alta proporción, por lo que hay más ataques. ocurren en Win. La superficie de ataque es demasiado madura. Es exagerado decir que el 99% del personal de seguridad actual que realiza infiltración, intrusión y APT no apuntará a Mac. Por el contrario, el 100% de ellos apuntará a Win. Aparte de lo dicho anteriormente, si atacas Mac y Win con un caballo de Troya anti-matanza, el resultado básico es el mismo y serás atacado. En general, la mitad del equipo es la mitad del individuo. Si la conciencia de seguridad del usuario no es suficiente, es fácil ser engañado y provocar que se implanten programas maliciosos en el ordenador, lo que puede provocar el robo de datos sensibles en el computadora (como mnemónicos). El malware puede comportarse de muchas maneras diferentes, puede esconderse en un archivo adjunto de correo electrónico o puede usar la cámara de su dispositivo para espiarlo. Se recomienda que todos aumenten su concientización sobre la seguridad, por ejemplo, no descargar ni ejecutar fácilmente programas proporcionados por internautas y solo descargar aplicaciones, software o archivos multimedia de sitios confiables; no abrir fácilmente archivos adjuntos de correos electrónicos desconocidos; actualizar periódicamente el sistema operativo. sistema para obtener la protección de seguridad más reciente; instale software antivirus en el dispositivo, como Kaspersky.

** 4. A muchos proyectos les han robado sus “fondos”. ¿Cuáles cree SlowMist que son las principales causas de los problemas de seguridad? ¿Es posible ser custodiado y robado? **

Respuesta: Según las estadísticas de SlowMist Hacked, al 24 de agosto, habrá 253 incidentes de seguridad en 2023, con una pérdida de hasta 1.450 millones de dólares estadounidenses. Desde la perspectiva de los métodos maliciosos de blockchain, existen principalmente varios aspectos: ataques de phishing, ataques de caballos de Troya, ataques de potencia informática, ataques de contratos inteligentes, ataques de infraestructura, ataques a la cadena de suministro y delitos internos. Tomemos como ejemplo los ataques comunes a contratos inteligentes: existen los siguientes métodos de ataque: ataques de préstamos rápidos, lagunas jurídicas en los contratos, problemas de compatibilidad o arquitectura, y algunos métodos: ataques maliciosos de front-end y phishing para desarrolladores. Además, en lo que respecta al auto-robo, tenemos que mencionar la filtración de claves privadas. La filtración de claves privadas depende de la situación, y la filtración de claves privadas de individuos e intercambios es muy diferente. Se filtra la clave privada personal. Generalmente, la clave privada o mnemónico se almacena en Internet, como la colección WeChat, el buzón 163, la nota, las notas de Youdao y otros servicios de almacenamiento en la nube. Los piratas informáticos a menudo recopilan bases de datos de cuentas y contraseñas filtradas en línea, como las contraseñas de cuentas de texto sin formato CSDN hace muchos años, y luego van a estos sitios web de almacenamiento y servicios en la nube para intentarlo. Si el inicio de sesión se realiza correctamente, ingrese para averiguar si hay algún Crypto. contenido relacionado. El intercambio es más complicado: generalmente es una organización de piratas informáticos a gran escala que tiene la capacidad de romper las capas de protección de seguridad del intercambio e invadir paso a paso para obtener la clave privada de la billetera activa en el servidor de intercambio. . He aquí un recordatorio especial de que se trata de un acto ilegal y no debe imitarse. Sugerimos que la parte del proyecto haga todo lo posible para encontrar una empresa de seguridad que realice una auditoría de seguridad en el código de su propio proyecto para mejorar el nivel de seguridad del proyecto. También puede lanzar Bug Bounty para evitar problemas de seguridad durante la operación continua. y desarrollo del proyecto. Al mismo tiempo, se recomienda que todos los proyectos Fang mejoren la gestión interna y el mecanismo técnico, y aumenten la intensidad de la protección de activos mediante la introducción de un mecanismo de firmas múltiples y un mecanismo de confianza cero.

** 5. El puente entre cadenas alguna vez fue apodado: También conocido como cajero automático hacker. Para Web3er, que es relativamente nuevo en la tecnología, ¿a qué puntos se debe prestar atención al utilizar puentes entre cadenas? **

Respuesta: Cuando se trata de puentes entre cadenas, en primer lugar, el negocio de los puentes entre cadenas es complejo y la cantidad de código es grande, y es probable que se produzcan lagunas al codificar e implementar; en segundo lugar, la seguridad de terceros Los componentes de terceros a los que se hace referencia en el proyecto también son una de las razones importantes de las vulnerabilidades de seguridad; finalmente, sin embargo, la falta de una comunidad de desarrollo más grande para puentes entre cadenas significa que el código no se ha buscado exhaustiva y cuidadosamente en busca de posibles errores. Para los usuarios, cuando utilizan puentes entre cadenas, es importante comprender cómo se protegen sus fondos. Puede observar el nivel de riesgo de los puentes entre cadenas desde algunas dimensiones, por ejemplo: ¿El contrato del proyecto es de código abierto? ¿El proyecto es una auditoría de seguridad multipartita? ¿El esquema de gestión de claves privadas es el cálculo multipartito MPC? ¿O firma múltiple de múltiples nodos? ¿O la clave privada la conserva la parte del proyecto? Al elegir un puente entre cadenas, los usuarios también deben elegir aquellos equipos entre cadenas con fuertes capacidades de seguridad. En primer lugar, deben tener todas las versiones del código de auditoría de seguridad y, en segundo lugar, el equipo debe tener personal de seguridad de tiempo completo. Recomiendo que los equipos relevantes del puente entre cadenas puedan operar Sea más transparente, de modo que se puedan recibir más preguntas y sugerencias de los usuarios y se puedan verificar y completar las lagunas a tiempo.

**6. Además de algunas estafas y phishing comunes, ¿puede SlowMist dar algunos ejemplos que sean relativamente poco comunes y difíciles de proteger? **

R: Anteriormente hemos revelado incidentes en los que los atacantes utilizaron fallas en la implementación de WalletConncet de las billeteras Web3 para aumentar la tasa de éxito de los ataques de phishing. Específicamente, cuando algunas billeteras Web3 brindan soporte para WalletConncet, no hay restricciones sobre en qué área aparecerá la ventana emergente de transacciones de WalletConncet, pero aparecerá una solicitud de firma en cualquier interfaz de la billetera. Los atacantes usan este defecto para guiar a los usuarios a través de Sitios web de phishing. WalletConncet se conecta con páginas de phishing y luego construye continuamente solicitudes de firma eth_sign maliciosas. Después de que el usuario reconoce que eth_sign puede no ser seguro y se niega a firmar, dado que WalletConncet usa wss para conectarse, si el usuario no cierra la conexión a tiempo, la página de phishing continuará iniciando solicitudes maliciosas de firma eth_sign. Existe una gran posibilidad de que se haga clic por error en el botón de inicio de sesión, lo que provocará el robo de los activos del usuario. De hecho, siempre que abandone o cierre el navegador DApp, la conexión de WalletConncet debería suspenderse. De lo contrario, cuando un usuario salta repentinamente de una firma cuando usa la billetera, es fácil confundirse y generar riesgo de robo. Dicho esto, permítanme mencionar nuevamente eth_sign. eth_sign es un método de firma abierto que los atacantes han utilizado a menudo para realizar phishing en los últimos dos años y permite Hash arbitrario, es decir, se puede firmar cualquier transacción o cualquier dato, lo que supone un peligroso riesgo de phishing. Al iniciar sesión o iniciar sesión, debe verificar cuidadosamente la aplicación o el sitio web que está utilizando y no ingresar una contraseña ni firmar una transacción cuando no esté clara. Rechazar la firma ciega puede evitar muchos riesgos de seguridad.

** 7. Quiero saber cuál es el incidente de seguridad más profundo que SlowMist ha encontrado en la seguridad de blockchain durante tantos años. **

Respuesta: Lo que más me impresionó en los últimos dos o tres años es el incidente de Poly Network que ocurrió en 2021. Alrededor de las 20:00 horas del 10 de agosto, cuando ocurrió el ataque, mantuvimos un alto grado de atención, analizando el proceso de ataque, rastreando el flujo de fondos y contando las pérdidas robadas, etc., sintiéndonos un poco en primera línea. . Y la pérdida de 610 millones de dólares se consideró una pérdida particularmente grande en el ataque en ese momento. Nuestro equipo publicó inmediatamente el análisis del ataque y la información de identidad IP del atacante que encontramos a las 5:00 am del día 11. A las 16:00 del día 11, el pirata informático estaba bajo una fuerte presión para comenzar a devolver los activos. Algunos comentarios hechos por los piratas informáticos en la cadena en el seguimiento también fueron más “interesantes”. Todo el proceso fue muy satisfactorio como empresa de seguridad.

8. Finalmente, haz una pregunta interesante. Nuevas tecnologías como la verificación formal y la auditoría de IA continúan iterando. ¿Cómo ve SlowMist el desarrollo de nuevas tecnologías?

R: Cuando se trata de nuevas tecnologías, como ChatGPT para mejorar la eficiencia del texto tradicional, como CodeGPT para mejorar la eficiencia de la escritura de código. También hemos utilizado códigos de vulnerabilidad históricamente comunes como casos de prueba internamente para verificar la capacidad de GPT para detectar vulnerabilidades básicas. Los resultados de la prueba encontraron que el modelo GPT es bueno para detectar bloques de código vulnerables simples, pero temporalmente no puede detectar códigos vulnerables un poco más complejos, y la legibilidad contextual general de GPT-4 (Web) se puede ver en la prueba Muy alta , el formato de salida es relativamente claro. GPT tiene capacidades de detección parcial de vulnerabilidades básicas simples en los códigos de contrato y, después de detectar las vulnerabilidades, las explicará con alta legibilidad. Esta característica es más adecuada para proporcionar orientación rápida para la capacitación preliminar de auditores de contratos junior y preguntas simples. Pero también hay algunas desventajas: por ejemplo, GPT tiene ciertas fluctuaciones en la salida de cada diálogo, que se pueden ajustar a través de los parámetros de la interfaz API, pero aún no es una salida constante. Aunque tal volatilidad es una buena forma para el diálogo de idiomas, Es grande, pero esta es una mala pregunta para que trabajen las clases de análisis de código. Porque para cubrir las diversas respuestas sobre vulnerabilidades que la IA puede darnos, debemos hacer la misma pregunta varias veces y realizar una evaluación comparativa, lo que aumenta de manera invisible la carga de trabajo y viola el objetivo de referencia de que la IA ayude a los humanos a mejorar la eficiencia. Además, la detección de vulnerabilidades ligeramente más complejas revelará que el modelo de entrenamiento actual (2024.3.16) no puede analizar ni encontrar correctamente puntos de vulnerabilidad clave relevantes. Aunque la capacidad de GPT para analizar y extraer vulnerabilidades de contratos todavía es relativamente débil en la actualidad, su capacidad para analizar pequeños bloques de código de vulnerabilidades comunes y generar textos de informes aún entusiasma a los usuarios. Con la capacitación y el desarrollo de este GPT y otros modelos de IA, se cree que definitivamente se realizarán auditorías auxiliares más rápidas, más inteligentes y más completas para contratos grandes y complejos.

Conclusión

Muchas gracias por la respuesta del equipo de seguridad de SlowMist. Donde hay luz, hay sombras, y la industria blockchain no es una excepción; pero es precisamente gracias a la existencia de empresas de seguridad blockchain como SlowMist Technology que la luz también puede entrar en las sombras. Creo que con el desarrollo, la industria blockchain se volverá más estandarizada y espero con ansias el desarrollo futuro de la tecnología SlowMist ~