Expertos de instituciones líderes hablan sobre las prácticas de seguridad de Web3, y AWS Web3 Developer Camp 2023 es una revisión maravillosa

El pasado 7 de diciembre se celebró con éxito el Web3 Developer Camp, liderado por Amazon Web Services (AWS) y apoyado exclusivamente por la comunidad CrossSpace, en el lugar del evento AWS Causeway Bay. Como sesión de intercambio fuera de línea de la serie de seminarios “Web3 Security”, este evento invitó con éxito a expertos y ejecutivos de seguridad Web3, billeteras, cadenas públicas L1/L2, servicios en la nube, exchanges e instituciones de inversión para compartir en el acto, presentando una conferencia de seguridad Web3 llena de productos secos y muy discutida.

Como líder en el mercado global de servicios en la nube, AWS ha estado prestando atención y explorando activamente las prácticas de seguridad en la industria Web3. Al tomar la iniciativa en la organización de una serie de actividades de seguridad, AWS espera ayudar a mejorar la concienciación de los profesionales del sector sobre la seguridad, construir un ecosistema Web3 sostenible y sentar las bases para el desarrollo saludable de varias vías en 2024. A la conferencia asistieron expertos y panelistas de varios líderes de la industria, incluidos (sin ningún orden en particular): Beosin, Conflux, Hashkey Exchange, OKX Wallet, Polkadot, Scroll, SlowMist, SNZ Capital y Taiko.

Al principio del artículo, repasemos los temas candentes de la mesa redonda de este evento. En esta sesión, invitamos a ejecutivos y expertos de las principales instituciones de Web3 Taiko, Hashkey Exchange, Beosin y SNZ Capital a hablar sobre cómo sus proyectos están implementando la misión de seguridad de Web3, y también tuvimos la suerte de escuchar a Conflux y Scroll, las populares cadenas públicas L1/L2, compartir su hoja de ruta de desarrollo tecnológico y ecológico para 2024 fuera de línea por primera vez.

De izquierda a derecha: Leon, CEO de CrossSpace (moderador), Michael Investment Manager de SNZ Capital, Terence, Chief Strategy Officer de Taiko, Ming Wu, CTO de Conflux, Marcus Liu, Head of Growth for Asia Pacific en Scroll, Vincent Wong, Director de Producto de Exchange en Hashkey Exchange, y Eaton, Investigador de Seguridad en Beosin.

Mesa redonda**: ¿A qué cuestiones de seguridad deben prestar atención los proyectos Web3**?**

En el proceso de desarrollo, los proyectos de Web3 son propensos a perseguir ciegamente la expansión del mercado e ignorar la seguridad básica, y una serie de incidentes de robo de fondos on-chain a gran escala este año han hecho sonar la alarma para los profesionales de Web3. Eaton, un investigador de seguridad de Beosin que ha estado profundamente involucrado en el campo de la seguridad, dio estas sugerencias al equipo del proyecto: "El equipo del proyecto necesita aprender a usar la IA y las herramientas de auditoría para acelerar el proceso de revisión y detectar vulnerabilidades contractuales al comienzo de la operación, a fin de ahorrar tiempo de auditoría y resolver problemas complejos de lógica empresarial. Durante la fase de desarrollo del proyecto, el equipo debe garantizar la precisión de la lógica empresarial, centrándose en las pruebas y utilizando un enfoque de desarrollo basado en pruebas. Al mismo tiempo, es importante tener cuidado con la integración de aplicaciones de terceros para evitar la introducción de vulnerabilidades de seguridad desconocidas. Una vez finalizado el proyecto, se recomienda encarecidamente que el equipo del proyecto contrate a un equipo de auditoría profesional para que realice una auditoría que ayude a identificar y resolver posibles vulnerabilidades para garantizar la seguridad del proyecto. "

SNZ Capital tiene una amplia experiencia en la inversión en proyectos de infraestructura y aplicaciones Web3. Michael, gestor de inversiones, también expresó la importancia que SNZ concede a la seguridad de las empresas de su cartera: "La seguridad es de suma importancia para SNZ y es una consideración importante en nuestra estrategia de inversión. Con este fin, hemos establecido asociaciones con empresas de seguridad para proporcionar una gama completa de servicios de seguridad a los equipos de desarrollo de los proyectos de nuestra cartera. Además de la gestión de la seguridad en el espacio de la infraestructura y el middleware, también proporcionamos servicios de gestión posterior para estas empresas, asegurándonos de que reciban los servicios de los proveedores de seguridad con los que estamos familiarizados. Exigimos a las empresas de nuestra cartera que prioricen la seguridad en sus estrategias comerciales y comprendan la importancia de las auditorías de seguridad, incluido el fraude en tiempo real, el monitoreo de vulnerabilidades y las evaluaciones de compatibilidad, para garantizar la seguridad desde el diseño. "

Mesa redonda Hot Talk:** ¿Cómo lleva a cabo un proyecto Web3 bien gestionado las prácticas de seguridad**?**

Como ZK-rollup de código abierto de rápido crecimiento en el ecosistema ETH, Taiko garantiza su seguridad a través de su arquitectura totalmente descentralizada y la participación de múltiples validadores en la verificación. Terence, co-creador y director de estrategia de Taiko, dijo en la mesa redonda: "Taiko es una red Rollup de capa 2 equivalente a ETH, con una arquitectura totalmente descentralizada. Sus fortalezas incluyen el código abierto, la creación de comunidades y la seguridad, y se compromete a garantizar la calidad y seguridad del código a través de la participación de contribuyentes globales. Taiko se encuentra actualmente en una red de prueba con más de 10.000 nodos de propuesta y validación, y se espera que este número siga creciendo. Esto significa que los usuarios no necesitan confiar en Taiko, y no tenemos un secuenciador centralizado, que es una característica importante que nos diferencia de otras redes de capa 2. "

Como exchange de activos virtuales con licencia en Hong Kong que trata directamente con los usuarios de inversión, Hashkey ha estado ampliando su gama de productos recientemente, y cómo garantizar la confianza de los clientes es una de sus principales prioridades. "Hashkey Exchange se compromete a cumplir estrictamente con la política de custodia establecida por la SFC. El 98% de los activos se almacenan de forma segura en billeteras frías, mientras que solo el 2% se almacena en billeteras calientes para garantizar un alto nivel de seguridad de los activos. Con el fin de proteger aún más los derechos e intereses de los inversores, hemos establecido asociaciones con compañías de seguros como AON y OneDegree para proporcionar a los usuarios una protección de seguro adicional. Vincent Wong, Director de Producto de Hashkey Exchange, compartió: "Hashkey Exchange comienza con la verificación KYC para garantizar que nuestros clientes sean legítimos y auténticos. Al mismo tiempo, proporcionamos una función de recordatorio de contraseña y exigimos a los usuarios que cambien sus contraseñas con regularidad para mejorar la seguridad de sus cuentas. Además de esto, también proporcionaremos materiales educativos a nuestros clientes, invitándolos a aprender, investigar y comprender el conocimiento de blockchain y las instalaciones relacionadas. De esta manera, esperamos poder construir confianza y relaciones a largo plazo con nuestros clientes, asegurando que se sientan seguros y protegidos cuando operan con nuestra plataforma. "

Mesa redonda Hot Talk**:** Layer1/2****Liderando el desarrollo de tecnología de cadenas públicas y apoyo ecológico

Como representante líder de la cadena pública Layer 1, Conflux anunció recientemente su hoja de ruta para desarrolladores para 2024. El director de tecnología, Ming Wu, compartió varias direcciones del plan de Conflux para mejorar la experiencia de los desarrolladores, incluida la búsqueda activa de soluciones de disponibilidad de datos programables que permitan que los contratos inteligentes interactúen con capas DA independientes para un almacenamiento y recuperación eficientes del estado a gran escala; Esfuerzos para integrar la plataforma de IA en Conflux y posicionarla como una capa de incentivos; Explorar activamente arquitecturas heterogéneas de máquinas virtuales para mejorar la escalabilidad y ampliar el ecosistema, así como investigar sobre la integración de la informática multipartita (MPC) para mejorar la protección de la privacidad y las capacidades anti-MEV. “Esperamos hacer que nuestra tecnología sea más madura y práctica en los próximos años mejorando el rendimiento del sistema para adaptarse a más escenarios de aplicación”, dijo Ming Wu. "

Scroll, representante de otra cadena pública de capa 2 que se lanzó recientemente en la red principal, también compartió sus recientes prácticas de seguridad ecológica. Marcus Liu, Jefe de Crecimiento de Scroll Asia Pacific, dijo: "En términos de seguridad, la principal fuente de seguridad para Scroll proviene de nuestro ZKP, que utiliza los principios matemáticos de ZK para garantizar que ZKEVM sea un resultado de operación seguro y confiable, y se cargará en ETH como una cadena de primera capa para la verificación de ZK Proof. Además de las estrictas auditorías de todos los contratos y circuitos, Scroll también ha abierto el programa Bug Bounty para trabajar con los miembros de la comunidad para fortalecer la seguridad en el espíritu del código abierto. Los próximos pasos en la hoja de ruta para Decentralized Prover y Decentralized Sequencer también pueden mejorar la descentralización y la seguridad de Scroll. "

Además de la sesión de mesa redonda, también vale la pena saborear la capacitación de AWS [Web3 Ethical Hacking and Best Security Practices] y el intercambio de productos secos de la agencia de seguridad SlowMist, la cadena pública de próxima generación Polkadot y la aplicación Web3 OKX Wallet. A continuación, acerquémonos a la primera línea de seguridad a través de los registros para comprender el conocimiento y la experiencia de las categorías de riesgo de seguridad, las estrategias prácticas de seguridad, la seguridad del lado de la aplicación y la seguridad del desarrollo ecológico.

**Las vulnerabilidades de los contratos inteligentes siguen dominando la lista como las tres principales categorías de ataques de hackers en *2023

Las vulnerabilidades de los contratos inteligentes siguen siendo uno de los tipos de piratería más comunes en 2023. Según el informe de seguridad de la firma de seguridad Beosin en el tercer trimestre de este año, los exploits por contrato son la tercera categoría de ataque más popular después de las fugas de claves privadas y los ataques a bases de datos. Los 22 exploits de contratos resultaron en una pérdida total de aproximadamente 93,27 millones de dólares. De acuerdo con el desglose de vulnerabilidades, las vulnerabilidades de reentrada causaron la mayor cantidad de pérdidas, y alrededor del 82,8% de las pérdidas en eventos de vulnerabilidad de contratos provinieron de vulnerabilidades de reingresancia. "

Los arquitectos de soluciones Web3 de AWS, David Sung y Gong Tao, compartieron tres tipos de incidentes de piratería que se observan comúnmente en los contratos inteligentes, incluidos los exploits de reentrada. En esta categoría de ataque, un atacante explota una vulnerabilidad de seguridad en el contrato para llamar repetidamente a la misma función antes de que se complete una transacción, lo que resulta en múltiples transferencias o consumo de los fondos del contrato. Este ataque a menudo se debe a una falla en el diseño del contrato o a la falta de estrategias defensivas adecuadas. Dado que los ataques de reentrada suponen una grave amenaza para la seguridad y la estabilidad de los contratos inteligentes, la defensa contra los ataques de reentrada debe considerarse una tarea crítica a la hora de desarrollar contratos inteligentes.

Los otros dos tipos de ataques más comunes incluyen ataques de invocación delegada, ataques de desbordamiento de enteros y ataques de desbordamiento inferior. LOS ATAQUES DE LLAMADA DELEGADA ESTÁN DISEÑADOS PARA FACILITAR LA REUTILIZACIÓN DEL CÓDIGO, Y LA EVM PROPORCIONA UN CÓDIGO DE OPERACIÓN DELEGATECALL PARA INSERTAR EL CÓDIGO DE BYTES DEL CONTRATO DEL AUTOR DE LA LLAMADA EN EL CÓDIGO DE BYTES DEL CONTRATO DEL AUTOR DE LA LLAMADA. Por lo tanto, el contrato de destino malintencionado puede modificar (o manipular) directamente las variables de estado del contrato del autor de la llamada. Los ataques de desbordamiento y subdesbordamiento de enteros son ataques que se producen cuando el resultado de una operación aritmética está fuera del ámbito de un tipo de datos de Solidity, lo que da lugar a una manipulación no autorizada de sus variables de estado.

Si desea aprender a lidiar con los ataques de piratería, puede consultar el curso práctico de seguridad sobre piratería ética y mejores prácticas de seguridad de AWS Web3 y visitar la página dedicada correspondiente.

Políticas de seguridad antes, durante y después de la ejecución del proyecto Web3

Los proyectos Web3 deben ser conscientes de los posibles riesgos de seguridad desde el principio de su funcionamiento, y los incidentes de seguridad suelen producirse en los contratos inteligentes, los monederos de blockchain y los exchanges. Tony, jefe de la comunidad de SlowMist Hong Kong, dijo: "Frente a los incidentes de seguridad de blockchain, SlowMist proporcionará soluciones desde tres etapas: antes, durante y después del incidente. El equipo del proyecto puede evaluar los riesgos potenciales en términos de seguridad de acuerdo con su propia etapa de desarrollo.

Antes de que ocurra un incidente de seguridad, el equipo del proyecto puede realizar una prueba exhaustiva sobre los posibles riesgos de seguridad. En esta etapa, la prueba Red Teaming de SlowMist puede ayudar al equipo del proyecto a evaluar posibles ataques de vulnerabilidades reales, como el personal de la empresa, los sistemas comerciales de la empresa, las cadenas de suministro de la empresa, los sistemas de oficina de la empresa y la seguridad física de la empresa, y proporcionar soluciones de defensa de seguridad personalizadas para priorizar la protección de los nodos vulnerables y aumentar el costo de los atacantes.

En caso de que se produzca un incidente de seguridad, el equipo del proyecto debe reforzar la supervisión en tiempo real de la seguridad dentro y fuera de la cadena, y cooperar con las empresas de seguridad para descubrir y responder a posibles amenazas de seguridad de manera oportuna. Después de que ocurra un incidente de seguridad, se deben tomar medidas defensivas de inmediato, como usar los servicios de soporte de respuesta a emergencias de SlowMist y los servicios de seguimiento e investigación dentro y fuera de la cadena para defenderse de los ataques de manera oportuna y descubrir la causa raíz del incidente.

Teniendo en cuenta que muchos equipos de proyectos Web3 deben tener en cuenta la seguridad en la fase de diseño del código, en lugar de depender únicamente de la orientación a corto plazo de las empresas de seguridad, SlowMist ha abierto sus requisitos de prácticas de seguridad de proyectos Web3 en Github, enumerando en detalle los riesgos de seguridad a los que hay que prestar atención en el entorno de desarrollo. Esto animará eficazmente al equipo del proyecto a construir y mejorar sus propios sistemas de seguridad basados en los requisitos de las prácticas de seguridad de los proyectos Web3, y a tener ciertas capacidades de seguridad después de las auditorías de seguridad.

Adopte activamente la tecnología de vanguardia**, **Cree una aplicación Web3 segura **

Con la madurez de la tecnología subyacente de la cadena de bloques, han surgido cada vez más aplicaciones front-end Web3 una tras otra, y OKX Wallet es, sin duda, un producto con una excelente experiencia de usuario. Como aplicación directa al usuario final, ¿cómo mejorar la experiencia del usuario al tiempo que se garantiza la seguridad de los fondos y datos de los usuarios? Darrel Wang, gerente de producto de OKX Wallet, compartió sus secretos sobre el fortalecimiento de la seguridad en la parte inferior del sistema, las capacidades de seguridad de pila completa y la adopción activa de tecnologías de seguridad de vanguardia. Vamos a compartirlo a continuación:

En primer lugar, OKX Wallet se ha mejorado a nivel de sistema para garantizar que los productos relacionados con los activos de los usuarios tengan la seguridad de las instituciones financieras. Al reforzar la seguridad de la aplicación, nos esforzamos por evitar la piratería y garantizar que los usuarios realicen transacciones en un entorno seguro.

En segundo lugar, OKX Wallet se centra en las capacidades de seguridad de pila completa. Desde los servicios de nodos, los exploradores de bloques hasta los terminales de usuario, las capacidades completas de servicio ascendente y descendente garantizan el cumplimiento del producto y un excelente rendimiento de seguridad en todo el proceso. Por ejemplo, la función de advertencia de riesgo proactiva proporcionada por el producto previene activamente la aparición de sitios web de phishing, lo que garantiza aún más la seguridad de los activos de los usuarios.

En tercer lugar, OKX Wallet hace hincapié en la innovación y adopta activamente la tecnología de vanguardia. Este año, lanzó una cuenta de contrato inteligente basada en el Protocolo de Abstracción de Cuentas (EIP-4337), que mejorará en gran medida las capacidades de gestión de seguridad de la billetera. La billetera sin clave privada MPC en su línea utiliza tecnología informática segura de múltiples partes para reducir el riesgo de seguridad de clave privada causada por un solo punto de falla, de modo que los usuarios no teman perder sus claves privadas.

OKX Wallet se posiciona como una empresa de tecnología, no como una empresa financiera. Su objetivo es resolver problemas desde la perspectiva de los principios y tecnologías fundamentales del producto, y brindar a los usuarios una experiencia de transacción digital segura y conveniente.

Substrate Framework ayuda a los desarrolladores a construir cadenas de bloques más seguras

Muchos desarrolladores están familiarizados con Substrate, un marco de desarrollo de blockchain de código abierto, modular y extensible para construir blockchains. El marco de cadena de bloques subyacente de Polkadot Relay Chain está construido con Substrate. Entonces, ¿cómo proporciona Substrate seguridad a los desarrolladores en este ecosistema? Jimmy, el desarrollador principal del ecosistema Polkadot, señaló en el evento que bajo el marco de Substrate, los desarrolladores pueden preconstruir componentes (paletas) proporcionados por los ingenieros profesionales de Parity, que se pueden actualizar en tiempo de ejecución, no requieren horquillas de cadena y tienen una variedad de mecanismos de consenso para elegir, logrando interoperabilidad y seguridad entre diferentes cadenas.

Jimmy señaló además que el objetivo principal de Polkadot es permitir la interoperabilidad entre cadenas y la escalabilidad de la cadena de bloques. Polkadot conecta diferentes blockchains para que puedan comunicarse entre sí y trabajar en armonía. Esta arquitectura permite el intercambio de datos y la transferencia de valor entre diferentes blockchains, mejorando la eficiencia y la escalabilidad de toda la red. Su arquitectura incluye una cadena de retransmisión y una parachain, donde la cadena de retransmisión es responsable de la verificación y la seguridad, y la parachain proporciona funciones específicas. Además, Polkadot se centra en el equilibrio entre los tres atributos clave de escalabilidad, seguridad y descentralización, y adopta un enfoque arquitectónico único y una tecnología de puente para lograr la transferencia segura y eficiente de activos.

Web3** El equipo del proyecto debe ser bueno en la infraestructura de servicios en la nube****,** Centrarse en la categoría de servicio, la seguridad y la flexibilidad

Los servicios en la nube son una infraestructura subyacente especialmente importante de la Web3, desde los exchanges, las cadenas públicas hasta las aplicaciones front-end, todos ellos inseparables de los servicios en la nube. Para los proyectos Web3, el alcance del servicio, la seguridad y la flexibilidad de la plataforma de servicios en la nube son especialmente importantes. AWS es un proveedor de servicios en la nube de “renombre” en Web3, y David David, arquitecto de soluciones de AWS, respondió a estos tres aspectos en el evento.

En cuanto a las categorías de servicios, AWS es la plataforma en la nube más adoptada del mundo, que ofrece más de 200 servicios ricos en funciones, incluidos centros de datos distribuidos por todo el mundo, para satisfacer las necesidades únicas de infraestructura de varias empresas de Web3. AWS presta servicios a muchos proyectos Web3, y los siete servicios de AWS más utilizados son: EC2 (Nitro Enclaves), KMS/CloudHSM, API Gateway, S3, Elastic Block Store, Shield Advanced y WAF.

En términos de seguridad, AWS se ha comprometido a proporcionar servicios de seguridad, conformidad y gobernanza para las partes del proyecto. Con AWS Nitro System, la seguridad está integrada en el nivel de chip, lo que permite monitorear, proteger y validar continuamente el hardware de la instancia, lo que minimiza la posible superficie de ataque. AWS también admite más estándares de seguridad y certificaciones que cualquier otro proveedor de nube. Entre ellos, Nitro Enclaves combinado con KMS/CloudHSM proporciona a los BUIDLers de Web3 la mejor solución de gestión de seguridad de clave privada basada en la nube y es ampliamente adoptada en el sector, mientras que Shield Advanced y WAF proporcionan protección de seguridad para dApps, Node y varias capas de infraestructura Web3.

En términos de flexibilidad, AWS ofrece a los propietarios de proyectos una variedad de categorías de servicios y opciones de precios para diferentes productos con el fin de ayudarles a optimizar los costos. David añade: "Ofrecemos una amplia selección de servicios de análisis y aprendizaje automático para satisfacer prácticamente todas las necesidades de análisis de datos de su proyecto. Desde el movimiento de datos, el almacenamiento de datos, el análisis de big data, el análisis de registros, el análisis de streaming, la inteligencia empresarial y el aprendizaje automático (ML), le ofrecemos la flexibilidad de elegir servicios para reducir costes. "

Si necesita saber cómo crear aplicaciones seguras en la nube en AWS y respaldar el ecosistema Web3 proporcionado por AWS, puede hacer clic para obtener más información.

Lo anterior es la esencia de este evento, espero inspirar a los BUIDLers y desarrolladores de Web3. Esperamos sinceramente que el ecosistema Web3 pueda marcar el comienzo de la siguiente etapa de rápido crecimiento con el consenso continuo de seguridad de todas las partes de la industria, y CrossSpace continuará trabajando con AWS, las empresas de seguridad de alta calidad de la industria y los participantes del ecosistema Web3 para llevar más actividades de intercambio a todos.