Dialogue avec l'équipe de sécurité SlowMist : Comment les utilisateurs ordinaires du Web3 peuvent-ils explorer en toute sécurité le monde sur la chaîne ?

Auteur : Recherche NFTGo

En tant qu’entreprise axée sur la sécurité écologique de la blockchain, SlowMist Technology a été créée en janvier 2018 par une équipe avec plus de dix ans d’expérience dans le combat offensif et défensif en première ligne en matière de sécurité des réseaux. SlowMist Technology a découvert et annoncé de manière indépendante plusieurs vulnérabilités courantes de sécurité de la blockchain à haut risque dans l’industrie, qui ont reçu une large attention et une large reconnaissance de la part de l’industrie.

Les problèmes de sécurité de la blockchain d’aujourd’hui sont fréquents, et Web3er en est également troublé depuis longtemps. Par conséquent, dans le deuxième dialogue, nous sommes très heureux d’inviter l’équipe de sécurité de SlowMist à partager avec vous des informations sur la sécurité de la blockchain et à vous aider à explorer le monde de la chaîne de manière plus sécurisée. Commençons maintenant~

**1. Tout d’abord, veuillez présenter Slow Mist à tout le monde. **

Réponse : Bonjour à tous, SlowMist est une entreprise qui se concentre sur la sécurité écologique de la blockchain. Notre capacité de sécurité écologique de la blockchain se compose de trois anneaux : la couche la plus interne est la sécurité de conformité, la deuxième couche est la sécurité technique et la troisième couche est la sécurité. sécurité écologique. La sécurité technique comprend principalement deux grands métiers, l’audit de sécurité et la lutte contre le blanchiment d’argent. Le contenu de l’audit de sécurité comprend le code du contrat intelligent du projet DeFi, l’échange centralisé, l’application de portefeuille, le portefeuille de plug-in de navigateur, la chaîne publique sous-jacente, et nous disposons également d’un service de test de l’équipe rouge, qui est l’un des nos avantages. Depuis plus de cinq ans, de 2018 à aujourd’hui, nous avons servi de nombreux clients connus et leaders du secteur, et nous avons des milliers de clients commerciaux, avec un taux d’éloges élevé. Pour la lutte contre le blanchiment d’argent, nous disposons d’une plateforme de suivi en chaîne, MistTrack. En outre, nous sommes également très préoccupés par la conformité et la sécurité. La conformité est l’une des pierres angulaires importantes du développement à long terme de cette industrie. Nous avons des procédures juridiques strictes pour les projets cibles d’audit de sécurité ou de coopération anti-blanchiment d’argent. Nous savons que la sécurité est un tout et qu’elle doit construire un système de sécurité complet. Nous proposons donc des solutions de sécurité intégrées adaptées aux conditions locales, de la découverte des menaces à la défense contre les menaces. Pour le dire simplement, il s’agit en fait d’un système de défense circulaire de type militaire, à plusieurs niveaux. La découverte des menaces à la couche la plus externe consiste à découvrir et à identifier les menaces par l’intermédiaire des partenaires de la zone SlowMist et du propre système de renseignement sur les menaces de SlowMist (c’est aussi notre sécurité écologique), puis à les publier dans l’ensemble de l’écosystème pour une alerte précoce via les canaux médiatiques ; défense contre les menaces. Il s’agit de notre système de défense, du BTI (Blockchain Threat Intelligence System) au déploiement de solutions de défense sur mesure et systématiques, en passant par la mise en œuvre du renforcement de la sécurité des portefeuilles chauds et froids, etc., en sélectionnant la sécurité du réseau, la sécurité du contrôle des risques, la sécurité des portefeuilles et d’autres domaines pour les clients. Un fournisseur de solutions de sécurité de haute qualité en Chine permet aux clients de choisir de manière flexible et de faire face facilement aux diverses difficultés rencontrées dans le processus de développement commercial. Nous espérons coopérer avec des partenaires de haute qualité de l’industrie et de la communauté pour construire conjointement un travail de défense conjoint en matière de sécurité.

**2. Les problèmes de sécurité Web3 sont toujours imprévisibles. Hormis quelques règles de base telles que copier des phrases mnémoniques à la main et prêter attention à l’authenticité des sites Web, SlowMist a-t-il des suggestions de sécurité pour les Web3ers qui interagissent fréquemment ? **

Réponse : Puisque la question porte sur la sécurité des interactions, voyons d’abord comment les attaques courantes volent les actifs des utilisateurs.

Les attaquants volent généralement les ressources des utilisateurs de deux manières :

Tout d’abord, incitez les utilisateurs à signer des données de transaction malveillantes qui volent des actifs, par exemple en les incitant à autoriser ou à transférer des actifs à des attaquants. Deuxièmement, incitez l’utilisateur à saisir la phrase mnémonique du portefeuille sur un site Web ou une application malveillante.

Une fois que nous savons comment l’attaquant vole les actifs du portefeuille, nous devons prévenir les risques possibles :

1. Avant de signer, vous devez identifier les données signées, savoir à quoi sert la transaction que vous avez signée, vérifier soigneusement si l’objet signé est correct et si le montant autorisé est trop important ;
2. Utilisez autant que possible les portefeuilles matériels. Étant donné que les portefeuilles matériels ne peuvent généralement pas exporter directement des mots mnémoniques ou des clés privées, cela peut augmenter le seuil de vol de la clé privée des mots mnémoniques ;
3. Diverses techniques et incidents de phishing apparaissent sans fin. Les utilisateurs doivent apprendre à identifier diverses techniques de phishing par eux-mêmes, à améliorer leur sensibilisation à la sécurité, à s’auto-éduquer pour éviter d’être trompé et à maîtriser les techniques d’auto-sauvetage. Bien sûr, je recommande fortement à tout le monde de lire le « Manuel d’auto-assistance Blockchain Dark Forest » produit par SlowMist, qui regorge de produits secs ;
4. Il est recommandé aux utilisateurs de conserver différents portefeuilles pour différents scénarios afin de garder le risque des actifs sous contrôle. Par exemple : de grandes quantités d’actifs ne sont généralement pas utilisées fréquemment. Il est recommandé de les stocker dans un portefeuille froid et de s’assurer que l’environnement réseau et l’environnement physique sont sécurisés lors de leur utilisation. Les portefeuilles qui participent à des activités telles que les parachutages sont recommandés pour stocker de petits actifs en raison de leur fréquence d’utilisation élevée. Le portefeuille peut être géré hiérarchiquement par différents actifs et fréquences d’utilisation, afin de garantir que les risques sont contrôlables.

**3. Le 8.16, le patron de Cosinus a envoyé un tweet intéressant : d’où vient votre illusion selon laquelle “Mac est plus sécurisé que les ordinateurs Win” ? Pour les utilisateurs Web3, quels sont, selon SlowMist, les avantages et les inconvénients des ordinateurs Mac et Win ? **

Réponse : Oui, ce tweet a également suscité beaucoup de discussions. Au contraire, nous avons demandé : « D’où vient l’illusion selon laquelle Win est plus sécurisé que les ordinateurs Mac ? » C’est aussi un angle et une réponse similaires. En termes d’anti-intrusion à système unique, la nature fermée de Mac et le contrôle strict des autorisations sont en effet meilleurs que Windows, et la part de marché mondiale des PC de Mac est très faible, tandis que Win représente une proportion élevée, donc plus d’attaques se produire sur Win. La surface d’attaque est trop mature. Il est exagéré de dire que 99 % des agents de sécurité actuels qui effectuent des infiltrations, des intrusions et des APT ne cibleront pas Mac, bien au contraire, 100 % d’entre eux cibleront Win. Mis à part ce qui a été dit ci-dessus, si vous attaquez Mac et Win avec un cheval de Troie anti-meurtre, le résultat de base est le même et vous serez touché. En général, la moitié de l’équipement est la moitié de l’individu. Si la sensibilisation à la sécurité de l’utilisateur n’est pas suffisante, il est facile de se laisser tromper et de provoquer l’implantation de programmes malveillants dans l’ordinateur, ce qui peut conduire au vol de données sensibles sur l’ordinateur. ordinateur (tels que des mnémoniques). Les logiciels malveillants peuvent se comporter de différentes manières : ils peuvent se cacher dans une pièce jointe à un e-mail ou utiliser l’appareil photo de votre appareil pour l’espionner. Il est recommandé à chacun de se sensibiliser à la sécurité, par exemple, de ne pas télécharger et exécuter facilement des programmes fournis par des internautes, et de télécharger uniquement des applications, des logiciels ou des fichiers multimédias à partir de sites de confiance ; de ne pas ouvrir facilement les pièces jointes provenant d’e-mails inconnus ; de mettre régulièrement à jour le système d’exploitation. système pour obtenir la dernière protection de sécurité ; installez un logiciel antivirus sur l’appareil, tel que Kaspersky.

**4. De nombreux projets se sont vu voler leurs « fonds ». Selon SlowMist, quelles sont les principales causes des problèmes de sécurité ? Est-il possible d’être gardé et volé ? **

Réponse : Selon les statistiques de SlowMist Hacked, au 24 août, il y aura 253 incidents de sécurité en 2023, avec une perte pouvant atteindre 1,45 milliard de dollars américains. Du point de vue des méthodes malveillantes de la blockchain, il existe principalement plusieurs aspects : les attaques de phishing, les attaques de chevaux de Troie, les attaques de puissance de calcul, les attaques de contrats intelligents, les attaques d’infrastructure, les attaques de chaîne d’approvisionnement et les crimes internes. Prenons comme exemple les attaques courantes sur les contrats intelligents. Il existe les méthodes d’attaque suivantes : attaques de prêts flash, failles de contrat, problèmes de compatibilité ou d’architecture, et certaines méthodes : attaques malveillantes frontales et phishing pour les développeurs. De plus, lorsqu’il s’agit d’auto-vol, il faut mentionner la fuite de clés privées. La fuite de clés privées dépend de la situation, et la fuite de clés privées de particuliers et d’échanges est très différente. La clé privée personnelle a été divulguée. Généralement, la clé privée ou le mnémonique est stocké sur Internet, comme la collection WeChat, la boîte aux lettres 163, le mémo, les notes Youdao et d’autres services de stockage en nuage. Les pirates collectent souvent des bases de données de comptes et de mots de passe divulguées en ligne, telles que les mots de passe de comptes CSDN en texte clair il y a de nombreuses années, puis se rendent sur ces sites Web de stockage et de services cloud pour les essayer. Si la connexion réussit, entrez pour savoir s’il existe des crypto-monnaies. contenu connexe. L’échange est plus compliqué. Généralement, il s’agit d’une organisation de pirates informatiques à grande échelle qui a la capacité de percer les couches de protection de sécurité de l’échange et de s’immiscer étape par étape pour obtenir la clé privée du hot wallet sur le serveur d’échange. . Voici un rappel spécial qu’il s’agit d’un acte illégal et qu’il ne faut pas l’imiter. Nous suggérons que la partie au projet fasse de son mieux pour trouver une société de sécurité pour effectuer un audit de sécurité sur le code de son propre projet afin d’améliorer le niveau de sécurité du projet. Elle peut également libérer Bug Bounty pour éviter les problèmes de sécurité pendant le fonctionnement continu. et le développement du projet. Dans le même temps, il est recommandé que tous les projets Fang améliorent la gestion interne et le mécanisme technique, et augmentent l’intensité de la protection des actifs en introduisant un mécanisme multi-signature et un mécanisme de confiance zéro.

** 5. Le pont à chaînes croisées était autrefois surnommé : AKA hacker cash machine. Pour Web3er, qui est relativement nouveau dans la technologie, à quels points faut-il prêter attention lors de l’utilisation de ponts inter-chaînes ? **

Réponse : En ce qui concerne les ponts inter-chaînes, tout d’abord, l’activité des ponts inter-chaînes est complexe et la quantité de code est importante, et des failles sont susceptibles de se produire lors du codage et de la mise en œuvre ; deuxièmement, la sécurité des tiers- Les composants tiers référencés dans le projet sont également l’une des raisons importantes des vulnérabilités de sécurité ; cependant, l’absence d’une communauté de développement plus large pour les ponts inter-chaînes signifie que le code n’a pas été recherché de manière approfondie et minutieuse pour détecter les bogues potentiels. Pour les utilisateurs, lorsqu’ils utilisent des ponts inter-chaînes, il est important de comprendre comment vos fonds sont protégés. Vous pouvez examiner le niveau de risque des ponts inter-chaînes sous certains aspects, par exemple : le contrat de projet est-il open source ? Le projet est-il un audit de sécurité multipartite ? Le schéma de gestion de clé privée est-il un calcul multipartite MPC ? Ou multi-signature multi-nœuds ? Ou la clé privée est-elle conservée par la partie du projet ? Lors du choix d’un pont inter-chaînes, les utilisateurs doivent également choisir des équipes inter-chaînes dotées de solides capacités de sécurité. Premièrement, ils doivent disposer de toutes les versions de l’audit de sécurité du code, et deuxièmement, l’équipe doit disposer d’un personnel de sécurité à temps plein. recommander que les équipes concernées du pont inter-chaînes puissent fonctionner Soyez plus transparent, afin que davantage de questions et de suggestions des utilisateurs puissent être reçues et que les lacunes puissent être vérifiées et comblées à temps.

**6. En plus de certaines arnaques et hameçonnages courants, SlowMist peut-il donner quelques exemples relativement rares et contre lesquels il est difficile de se prémunir ? **

R : Nous avons déjà divulgué des incidents dans lesquels des attaquants ont utilisé des failles dans la mise en œuvre de WalletConncet des portefeuilles Web3 pour augmenter le taux de réussite des attaques de phishing. Plus précisément, lorsque certains portefeuilles Web3 prennent en charge WalletConncet, il n’y a aucune restriction quant à la zone dans laquelle la fenêtre contextuelle de transaction WalletConncet apparaîtra, mais une demande de signature apparaîtra sur n’importe quelle interface du portefeuille. sites Web de phishing. WalletConncet se connecte aux pages de phishing, puis construit en permanence des demandes de signature eth_sign malveillantes. Une fois que l’utilisateur a reconnu que eth_sign peut être dangereux et refuse de signer, puisque WalletConncet utilise wss pour se connecter, si l’utilisateur ne ferme pas la connexion à temps, la page de phishing continuera à lancer des demandes de signature eth_sign malveillantes. Il est fort probable que le bouton de signature soit cliqué par erreur, entraînant le vol des actifs de l’utilisateur. En fait, tant que vous quittez ou fermez le navigateur DApp, la connexion WalletConncet doit être suspendue. Sinon, lorsqu’un utilisateur saute soudainement d’une signature lors de l’utilisation du portefeuille, il est facile de se tromper et d’entraîner un risque de vol. Cela dit, permettez-moi de mentionner à nouveau eth_sign. eth_sign est une méthode de signature ouverte qui a souvent été utilisée par les attaquants pour le phishing au cours des deux dernières années. Elle permet un hachage arbitraire, c’est-à-dire que n’importe quelle transaction ou n’importe quelle donnée peut être signée, ce qui présente un dangereux risque de phishing. Lorsque vous vous connectez ou vous connectez, vous devez vérifier attentivement l’application ou le site Web que vous utilisez, et ne pas saisir de mot de passe ni signer une transaction lorsqu’il n’est pas clair. Rejeter la signature aveugle peut éviter de nombreux risques de sécurité.

**7. Je veux savoir quel est l’incident de sécurité le plus grave que SlowMist ait rencontré dans la sécurité de la blockchain depuis tant d’années ? **

Réponse : Ce qui m’a le plus impressionné au cours des deux ou trois dernières années, c’est l’incident de Poly Network survenu en 2021. Vers 20h00 le 10 août, lorsque l’attaque a eu lieu, nous sommes restés très attentifs, analysant le processus d’attaque, suivant le flux de fonds, comptant les pertes volées, etc., nous sentant un peu en première ligne. . Et la perte de 610 millions de dollars américains était considérée à l’époque comme une perte particulièrement importante lors de l’attaque. Notre équipe a immédiatement publié l’analyse de l’attaque et les informations d’identité IP de l’attaquant que nous avons trouvées à 5 heures du matin le 11. À 16 heures le 11, le pirate informatique était sous forte pression pour commencer à restituer ses actifs. Certains commentaires faits par des hackers sur la chaîne dans le suivi étaient également plus “intéressants”. L’ensemble du processus a été très enrichissant en tant qu’entreprise de sécurité.

8. Enfin, posez une question intéressante. Les nouvelles technologies telles que la vérification formelle et l’audit IA continuent d’évoluer. Comment SlowMist voit-il le développement de nouvelles technologies ?

R : Lorsqu’il s’agit de nouvelles technologies, telles que ChatGPT pour améliorer l’efficacité du texte traditionnel, telles que CodeGPT pour améliorer l’efficacité de l’écriture de code. Nous avons également utilisé des codes de vulnérabilité historiquement courants comme scénarios de test en interne pour vérifier la capacité de GPT à détecter les vulnérabilités de base. Les résultats du test montrent que le modèle GPT est efficace pour détecter les blocs de code vulnérables simples, mais il est temporairement incapable de détecter un code vulnérable légèrement plus complexe, et la lisibilité contextuelle globale de GPT-4 (Web) peut être vue dans le test Très élevé , le format de sortie est relativement clair. GPT a des capacités de détection partielle pour les vulnérabilités simples de base dans les codes contractuels, et après avoir détecté les vulnérabilités, il expliquera les vulnérabilités avec une grande lisibilité. Une telle fonctionnalité est plus adaptée pour fournir des conseils rapides pour la formation préliminaire des auditeurs contractuels juniors et des questions simples. Mais il y a aussi quelques inconvénients : par exemple, GPT a certaines fluctuations dans la sortie de chaque dialogue, qui peuvent être ajustées via les paramètres de l’interface API, mais ce n’est toujours pas une sortie constante. Bien qu’une telle volatilité soit un bon moyen pour le dialogue linguistique , il est grand. C’est une mauvaise question sur laquelle les classes d’analyse de code doivent travailler. Parce que pour couvrir les différentes réponses aux vulnérabilités que l’IA peut nous donner, nous devons poser la même question plusieurs fois et effectuer un examen comparatif, ce qui augmente de manière invisible la charge de travail et viole l’objectif de référence selon lequel l’IA aide les humains à améliorer leur efficacité. De plus, la détection de vulnérabilités légèrement plus complexes révélera que le modèle de formation actuel (2024.3.16) ne peut pas analyser correctement et trouver les points de vulnérabilité clés pertinents. Bien que la capacité de GPT à analyser et à exploiter les vulnérabilités des contrats soit encore relativement faible à l’heure actuelle, sa capacité à analyser de petits blocs de code de vulnérabilités courantes et à générer des textes de rapport excite toujours les utilisateurs. Avec la formation et le développement de ce GPT et d’autres modèles d’IA, on pense que des audits auxiliaires plus rapides, plus intelligents et plus complets pour les contrats importants et complexes seront certainement réalisés.

Conclusion

Merci beaucoup pour la réponse de l’équipe de sécurité SlowMist. Là où il y a de la lumière, il y a des ombres, et l’industrie de la blockchain ne fait pas exception ; mais c’est précisément grâce à l’existence de sociétés de sécurité blockchain telles que SlowMist Technology que la lumière peut également pénétrer dans l’ombre. Je crois qu’avec le développement, l’industrie de la blockchain deviendra plus standardisée et j’attends avec impatience le développement futur de la technologie SlowMist ~