Dialog dengan Tim Keamanan SlowMist: Bagaimana pengguna Web3 biasa dapat menjelajahi dunia dengan aman melalui rantai?

Penulis: Penelitian NFTGo

Sebagai perusahaan yang berfokus pada keamanan ekologi blockchain, SlowMist Technology didirikan pada Januari 2018 oleh sebuah tim yang berpengalaman lebih dari sepuluh tahun dalam pertempuran ofensif dan defensif keamanan jaringan garis depan. SlowMist Technology telah secara independen menemukan dan mengumumkan beberapa kerentanan keamanan blockchain berisiko tinggi yang umum di industri, yang telah mendapat perhatian dan pengakuan luas dari industri.

Masalah keamanan blockchain saat ini sering terjadi, dan Web3er juga telah lama mengalami masalah ini. Oleh karena itu, dalam dialog kedua, kami dengan senang hati mengundang tim keamanan SlowMist untuk berbagi dengan Anda informasi singkat tentang keamanan blockchain, dan membantu Anda menjelajahi dunia dalam rantai dengan lebih aman. Mari kita mulai sekarang~

**1. Pertama, perkenalkan Slow Mist kepada semua orang. **

Jawaban: Halo semuanya, SlowMist adalah perusahaan yang berfokus pada keamanan ekologis blockchain. Kemampuan keamanan ekologis blockchain kami terdiri dari tiga lingkaran: lapisan paling dalam adalah keamanan kepatuhan, lapisan kedua adalah keamanan teknis, dan lapisan ketiga adalah keamanan. Lapisan tersebut adalah Kelestarian lingkungan. Keamanan teknis terutama mencakup dua lini bisnis utama, audit keamanan dan anti pencucian uang. Isi audit keamanan mencakup kode kontrak pintar proyek DeFi, pertukaran terpusat, aplikasi dompet, dompet plug-in browser, rantai publik yang mendasarinya, dan kami juga memiliki layanan pengujian tim merah, yang merupakan salah satu dari keuntungan kita. Selama lebih dari lima tahun dari tahun 2018 hingga saat ini, kami telah melayani banyak pelanggan terkenal dan terkemuka di industri, dan kami memiliki ribuan pelanggan komersial, dengan tingkat pujian yang tinggi. Untuk anti pencucian uang, kami memiliki platform pelacakan on-chain MistTrack. Selain itu, kami juga sangat memperhatikan kepatuhan dan keamanan. Kepatuhan adalah salah satu landasan penting dalam pengembangan jangka panjang industri ini. Kami memiliki prosedur hukum yang ketat untuk proyek sasaran audit keamanan atau kerja sama anti pencucian uang. Kami tahu bahwa keamanan adalah keseluruhan, dan keamanan perlu membangun sistem keamanan yang lengkap, jadi kami menyediakan solusi keamanan terintegrasi yang disesuaikan dengan kondisi lokal mulai dari penemuan ancaman hingga pertahanan ancaman. Sederhananya, ini sebenarnya adalah sistem pertahanan melingkar mirip militer, pertahanan berlapis. Penemuan ancaman di lapisan terluar adalah menemukan dan mengidentifikasi ancaman melalui mitra di zona SlowMist dan sistem intelijen ancaman milik SlowMist (ini juga merupakan keamanan ekologis kami), dan kemudian mempublikasikannya ke seluruh ekosistem untuk peringatan dini melalui saluran media; pertahanan ancaman Mengacu pada sistem pertahanan kami, mulai dari BTI (Blockchain Threat Intelligence System) hingga penerapan solusi pertahanan yang disesuaikan dan sistematis, menerapkan penguatan keamanan dompet panas dan dingin, dll., memilih keamanan jaringan, keamanan pengendalian risiko, keamanan dompet, dan bidang lainnya untuk pelanggan. penyedia solusi keamanan berkualitas tinggi di Tiongkok memungkinkan pelanggan untuk memilih secara fleksibel dan mudah menghadapi berbagai kesulitan yang dihadapi dalam proses pengembangan bisnis.Kami berharap dapat bekerja sama dengan mitra berkualitas tinggi di industri dan masyarakat untuk bersama-sama membangun kerja sama pertahanan keamanan.

**2. Masalah keamanan Web3 selalu tidak dapat diprediksi. Terlepas dari beberapa aturan dasar seperti menyalin frasa mnemonik dengan tangan dan memperhatikan keaslian situs web, apakah SlowMist memiliki saran keamanan untuk Web3er yang sering berinteraksi? **

Jawaban: Karena pertanyaannya adalah tentang keamanan interaksi, pertama-tama mari kita pahami bagaimana serangan umum mencuri aset pengguna.

Penyerang umumnya mencuri aset pengguna dengan dua cara:

Pertama, mengelabui pengguna agar menandatangani data transaksi berbahaya yang mencuri aset, seperti mengelabui pengguna agar memberi otorisasi atau mentransfer aset ke penyerang. Kedua, mengelabui pengguna agar memasukkan frasa mnemonik dompet di situs web atau aplikasi jahat.

Setelah kita mengetahui bagaimana penyerang mencuri aset dompet, kita harus mencegah kemungkinan risiko:

1. Sebelum menandatangani, Anda harus mengidentifikasi data yang ditandatangani, mengetahui untuk apa transaksi yang Anda tandatangani, memeriksa dengan cermat apakah objek yang ditandatangani sudah benar, dan apakah jumlah yang diotorisasi terlalu besar;
2. Gunakan dompet perangkat keras sebanyak mungkin. Karena dompet perangkat keras umumnya tidak dapat secara langsung mengekspor kata-kata mnemonik atau kunci pribadi, hal ini dapat meningkatkan ambang batas pencurian kunci pribadi dari kata-kata mnemonik;
3. Berbagai teknik dan insiden phishing bermunculan tanpa henti. Pengguna harus belajar mengidentifikasi sendiri berbagai teknik phishing, meningkatkan kesadaran keamanan, melakukan edukasi mandiri agar tidak ditipu, dan menguasai keterampilan penyelamatan diri. Penipuan atau Phishing. Tentu saja, saya sangat menyarankan semua orang untuk membaca “Manual Bantuan Mandiri Blockchain Dark Forest” yang diproduksi oleh SlowMist, yang penuh dengan barang-barang kering;
4. Disarankan agar pengguna memiliki dompet yang berbeda untuk berbagai skenario guna menjaga risiko aset tetap terkendali. Misalnya: aset dalam jumlah besar umumnya tidak sering digunakan, disarankan untuk menyimpannya di dompet dingin dan memastikan lingkungan jaringan dan lingkungan fisik aman saat menggunakannya. Dompet yang berpartisipasi dalam aktivitas seperti airdrop disarankan untuk menyimpan aset kecil karena frekuensi penggunaannya yang tinggi. Dompet dapat dikelola secara hierarki berdasarkan aset dan frekuensi penggunaan yang berbeda, untuk memastikan bahwa risiko dapat dikendalikan.

**3. Pada 8.16, cosine boss mengirimkan tweet yang menarik—dari mana ilusi Anda bahwa “Mac lebih aman daripada komputer Win” berasal? Bagi pengguna Web3, menurut SlowMist apa kelebihan dan kekurangan komputer Mac dan Win? **

Jawaban: Ya, tweet ini juga menimbulkan banyak diskusi, sebaliknya kami bertanya, “Dari mana datangnya ilusi bahwa Win lebih aman daripada komputer Mac?” Sudut pandang dan jawabannya juga serupa. Dalam hal anti-intrusi sistem tunggal, sifat tertutup Mac dan kontrol izin yang ketat memang lebih baik daripada Windows, dan pangsa pasar PC global Mac sangat rendah, sedangkan Win menyumbang proporsi yang tinggi, sehingga lebih banyak serangan terjadi pada Win Permukaan serangannya terlalu matang. Terlalu berlebihan jika dikatakan bahwa 99% personel keamanan saat ini yang melakukan infiltrasi, intrusi, dan APT tidak akan menargetkan Mac, sebaliknya 100% akan menargetkan Win. Selain dari apa yang disebutkan di atas, jika Anda menyerang Mac dan Win dengan kuda Trojan anti-pembunuhan, hasil dasarnya sama, dan Anda akan terkena. Secara umum, setengah dari peralatan adalah setengah dari individu. Jika kesadaran keamanan pengguna tidak cukup, maka akan mudah tertipu dan menyebabkan komputer ditanamkan program jahat, yang dapat mengakibatkan pencurian data sensitif di perangkat. komputer (seperti mnemonik). Malware dapat berperilaku dalam berbagai cara, mungkin bersembunyi di lampiran email, atau mungkin menggunakan kamera perangkat Anda untuk memata-matainya. Disarankan agar setiap orang meningkatkan kesadaran keamanannya, misalnya, jangan dengan mudah mengunduh dan menjalankan program yang disediakan oleh netizen, dan hanya mengunduh aplikasi, perangkat lunak, atau file media dari situs tepercaya; jangan dengan mudah membuka lampiran dari email yang tidak dikenal; perbarui operasi secara rutin sistem untuk mendapatkan perlindungan keamanan terbaru; menginstal perangkat lunak anti-virus pada perangkat, seperti Kaspersky.

**4. Banyak proyek yang “dananya” dicuri. Menurut SlowMist, apa penyebab utama masalah keamanan? Apakah mungkin untuk dijaga dan dicuri? **

Jawaban: Menurut statistik SlowMist Hacked, per 24 Agustus, akan terjadi 253 insiden keamanan pada tahun 2023, dengan kerugian hingga 1,45 miliar dollar AS. Dari perspektif metode jahat blockchain, terdapat beberapa aspek utama: serangan phishing, serangan kuda Trojan, serangan daya komputasi, serangan kontrak pintar, serangan infrastruktur, serangan rantai pasokan, dan kejahatan internal. Mari kita ambil contoh serangan kontrak pintar yang umum. Ada metode serangan berikut: serangan pinjaman flash, celah kontrak, masalah kompatibilitas atau arsitektur, dan beberapa metode: serangan jahat front-end dan phishing untuk pengembang. Selain itu, jika menyangkut pencurian diri sendiri, kita harus menyebutkan kebocoran kunci pribadi. Kebocoran kunci privat bergantung pada situasinya, dan kebocoran kunci privat individu dan bursa sangat berbeda. Kunci pribadi pribadi bocor, umumnya kunci pribadi atau mnemonik disimpan di Internet, seperti koleksi WeChat, kotak surat 163, memo, catatan Youdao, dan layanan penyimpanan cloud lainnya. Peretas sering mengumpulkan basis data akun dan kata sandi yang bocor secara online, seperti kata sandi akun teks biasa CSDN beberapa tahun yang lalu, dan kemudian pergi ke situs penyimpanan cloud dan layanan cloud ini untuk mencobanya. Jika login berhasil, masuk ke dalam untuk mencari tahu apakah ada Crypto konten terkait. Pertukarannya lebih rumit. Umumnya, ini adalah organisasi peretas berskala besar yang memiliki kemampuan untuk menembus lapisan perlindungan keamanan pertukaran, dan menyusup selangkah demi selangkah untuk mendapatkan kunci pribadi dompet panas di server pertukaran. . Berikut ini peringatan khusus bahwa ini adalah tindakan ilegal dan tidak boleh ditiru. Kami menyarankan pihak proyek harus berusaha sebaik mungkin untuk menemukan perusahaan keamanan untuk melakukan audit keamanan pada kode proyeknya sendiri untuk meningkatkan tingkat keamanan proyek. Ia juga dapat merilis Bug Bounty untuk menghindari masalah keamanan selama operasi berkelanjutan. dan pengembangan proyek. Pada saat yang sama, direkomendasikan agar semua proyek Fang meningkatkan manajemen internal dan mekanisme teknis, serta meningkatkan intensitas perlindungan aset dengan memperkenalkan mekanisme multi-tanda tangan dan mekanisme zero-trust.

**5. Jembatan lintas rantai ini pernah dijuluki: mesin uang tunai hacker alias. Bagi Web3er yang tergolong baru dalam dunia teknologi, hal apa saja yang harus diperhatikan saat menggunakan jembatan lintas rantai? **

Jawaban: Dalam hal jembatan lintas rantai, pertama-tama, bisnis jembatan lintas rantai itu rumit dan jumlah kodenya besar, dan celah mudah terjadi saat pengkodean dan penerapan; kedua, keamanan ketiga- komponen pihak yang dirujuk dalam proyek juga merupakan salah satu alasan penting untuk kerentanan keamanan; namun, kurangnya komunitas pengembangan yang lebih besar untuk jembatan lintas rantai berarti bahwa kode tersebut belum dicari secara ekstensif dan hati-hati untuk mencari potensi bug. Bagi pengguna, ketika menggunakan jembatan lintas rantai, penting untuk memahami bagaimana dana Anda dilindungi. Anda dapat melihat tingkat risiko jembatan lintas rantai dari beberapa dimensi, misalnya: Apakah kontrak proyek bersifat open source? Apakah proyek ini diaudit keamanannya oleh banyak pihak? Skema pengelolaan kunci privat adalah komputasi multi-pihak MPC? Atau multi-node multi-tanda tangan? Atau apakah kunci pribadinya disimpan oleh pihak proyek? Saat memilih jembatan lintas rantai, pengguna juga harus memilih tim lintas rantai dengan kemampuan keamanan yang kuat. Pertama, mereka harus memiliki semua versi audit keamanan kode, dan kedua, tim harus memiliki personel keamanan penuh waktu. Kami juga merekomendasikan agar tim terkait jembatan lintas rantai dapat beroperasi Lebih transparan, sehingga lebih banyak pertanyaan dan saran dari pengguna dapat diterima, dan kesenjangan dapat diperiksa dan diisi tepat waktu.

**6. Selain beberapa Scam dan Phishing yang umum, dapatkah SlowMist memberikan beberapa contoh yang relatif jarang dan sulit dicegah? **

J: Kami sebelumnya telah mengungkapkan insiden di mana penyerang menggunakan kelemahan dalam implementasi dompet Web3 WalletConncet untuk meningkatkan tingkat keberhasilan serangan phishing. Khususnya, ketika beberapa dompet Web3 menyediakan dukungan WalletConncet, tidak ada batasan di area mana jendela pop-up transaksi WalletConncet akan muncul, namun permintaan tanda tangan akan muncul di antarmuka dompet mana pun. Penyerang menggunakan cacat ini untuk memandu pengguna melewatinya. situs web phishing. WalletConncet terhubung dengan halaman phishing, dan kemudian terus-menerus membuat permintaan tanda tangan eth_sign yang berbahaya. Setelah pengguna mengetahui bahwa eth_sign mungkin tidak aman dan menolak untuk menandatangani, karena WalletConncet menggunakan wss untuk terhubung, jika pengguna tidak menutup koneksi tepat waktu, halaman phishing akan terus memulai permintaan tanda tangan eth_sign yang berbahaya. Terkadang ada kemungkinan besar tombol tanda akan terklik secara tidak sengaja sehingga mengakibatkan aset pengguna dicuri. Faktanya, selama Anda keluar atau menutup DApp Browser, koneksi WalletConncet harus ditangguhkan. Jika tidak, ketika pengguna tiba-tiba keluar dari tanda tangan saat menggunakan dompet, akan mudah menjadi bingung dan menimbulkan risiko pencurian. Karena itu, izinkan saya menyebutkan eth_sign lagi. eth_sign adalah metode tanda tangan terbuka yang sering digunakan oleh penyerang untuk phishing dalam dua tahun terakhir. Ini memungkinkan Hash sewenang-wenang, yaitu, transaksi atau data apa pun dapat ditandatangani, yang menimbulkan risiko phishing yang berbahaya. Saat masuk atau masuk, Anda harus hati-hati memeriksa aplikasi atau situs web yang Anda gunakan, dan jangan memasukkan kata sandi atau menandatangani transaksi jika tidak jelas.Menolak penandatanganan buta dapat menghindari banyak risiko keamanan.

**7. Saya ingin mendengar insiden keamanan paling mendalam apa yang pernah dialami SlowMist dalam keamanan blockchain selama bertahun-tahun? **

Jawaban: Yang paling membuat saya terkesan dalam dua atau tiga tahun terakhir ini adalah kejadian Poly Network yang terjadi pada tahun 2021. Sekitar pukul 20 malam tanggal 10 Agustus, ketika penyerangan terjadi, kami tetap menaruh perhatian tinggi, menganalisis proses penyerangan, melacak aliran dana, menghitung kerugian yang dicuri, dll., Merasa sedikit berada di garis depan. . Dan kerugian sebesar 610 juta dolar AS dianggap sebagai kerugian yang sangat besar dalam serangan tersebut pada saat itu. Tim kami segera merilis analisis serangan dan informasi identitas IP penyerang yang kami temukan pada pukul 5:00 tanggal 11. Pada pukul 16:00 tanggal 11, para peretas berada di bawah tekanan berat. , untuk mulai mengembalikan aset. Beberapa komentar yang dibuat oleh peretas pada rantai selanjutnya juga lebih “menarik” Seluruh prosesnya sangat memuaskan sebagai perusahaan keamanan.

8. Terakhir, ajukan pertanyaan menarik. Teknologi baru seperti verifikasi formal dan audit AI terus berkembang. Bagaimana SlowMist memandang perkembangan teknologi baru?

J: Terkait teknologi baru, seperti ChatGPT untuk meningkatkan efisiensi teks tradisional, seperti CodeGPT untuk meningkatkan efisiensi penulisan kode. Kami juga telah menggunakan kode kerentanan yang umum secara historis sebagai kasus uji secara internal untuk memverifikasi kemampuan GPT dalam mendeteksi kerentanan dasar. Hasil pengujian menunjukkan bahwa model GPT bagus dalam mendeteksi blok kode rentan yang sederhana, namun untuk sementara tidak dapat mendeteksi kode rentan yang sedikit lebih kompleks, dan keterbacaan kontekstual GPT-4 (Web) secara keseluruhan dapat dilihat dalam pengujian Sangat tinggi , format keluarannya relatif jelas. GPT memiliki kemampuan deteksi parsial untuk kerentanan dasar sederhana dalam kode kontrak, dan setelah mendeteksi kerentanan, GPT akan menjelaskan kerentanan dengan keterbacaan tinggi.Fitur seperti itu lebih cocok untuk memberikan panduan cepat untuk pelatihan awal auditor kontrak junior dan pertanyaan sederhana. Namun ada juga beberapa kelemahannya: misalnya, GPT memiliki fluktuasi tertentu pada keluaran setiap dialog, yang dapat disesuaikan melalui parameter antarmuka API, namun keluarannya masih belum konstan. Meskipun volatilitas seperti itu adalah cara yang baik untuk dialog bahasa , itu besar. Ini adalah pertanyaan buruk untuk dikerjakan oleh kelas analisis kode. Karena untuk mencakup berbagai jawaban kerentanan yang mungkin disampaikan AI kepada kita, kita perlu menanyakan pertanyaan yang sama berkali-kali dan melakukan penyaringan komparatif, yang secara tidak kasat mata meningkatkan beban kerja dan melanggar tujuan tolok ukur AI dalam membantu manusia meningkatkan efisiensi. Selain itu, deteksi kerentanan yang sedikit lebih kompleks akan menunjukkan bahwa model pelatihan saat ini (2024.3.16) tidak dapat menganalisis dan menemukan titik kerentanan utama yang relevan dengan tepat. Meskipun kemampuan GPT untuk menganalisis dan menambang kerentanan kontrak masih relatif lemah saat ini, kemampuannya untuk menganalisis blok kode kecil dari kerentanan umum dan menghasilkan teks laporan masih menarik bagi pengguna. Dengan pelatihan dan pengembangan GPT ini dan model AI lainnya, diyakini bahwa audit tambahan yang lebih cepat, cerdas, dan komprehensif untuk kontrak-kontrak besar dan kompleks pasti akan terwujud.

Kesimpulan

Terima kasih banyak atas jawaban dari tim keamanan SlowMist. Di mana ada cahaya, di situ ada bayangan, dan industri blockchain tidak terkecuali; namun justru karena keberadaan perusahaan keamanan blockchain seperti SlowMist Technology maka cahaya juga dapat memasuki bayangan. Saya percaya bahwa dengan perkembangan ini, industri blockchain akan menjadi lebih terstandarisasi, dan saya menantikan perkembangan Teknologi SlowMist di masa depan~