Para ahli dari institusi terkemuka berbicara tentang praktik keamanan Web3, dan AWS Web3 Developer Camp 2023 adalah ulasan yang luar biasa

Pada tanggal 7 Desember, Web3 Developer Camp, yang dipimpin oleh Amazon Web Services (AWS) dan didukung secara eksklusif oleh komunitas CrossSpace, berhasil diadakan di tempat acara AWS Causeway Bay. Sebagai sesi berbagi offline dari seri seminar “Web3 Security”, acara ini berhasil mengundang para ahli dan eksekutif dari keamanan Web3, dompet, rantai publik L1/L2, layanan cloud, bursa, dan lembaga investasi untuk berbagi di tempat, menghadirkan konferensi keamanan Web3 yang penuh dengan barang kering dan sangat dibahas.

Sebagai pemimpin di pasar layanan cloud global, AWS telah memperhatikan dan secara aktif mengeksplorasi praktik keamanan di industri Web3. Dengan memimpin dalam mengatur serangkaian aktivitas keamanan, AWS berharap dapat membantu meningkatkan kesadaran praktisi industri tentang keamanan, membangun ekosistem Web3 yang berkelanjutan, dan meletakkan dasar bagi pengembangan berbagai jalur yang sehat pada tahun 2024. Konferensi ini dihadiri oleh para ahli dan panelis dari sejumlah pemimpin industri, termasuk (tanpa urutan tertentu): Beosin, Conflux, Hashkey Exchange, OKX Wallet, Polkadot, Scroll, SlowMist, SNZ Capital, dan Taiko.

Di awal artikel, mari kita ulas topik hangat meja bundar di acara ini. Dalam sesi ini, kami mengundang para eksekutif dan pakar dari lembaga Web3 terkemuka Taiko, Hashkey Exchange, Beosin, dan SNZ Capital untuk berbicara tentang bagaimana proyek mereka menerapkan misi keamanan Web3, dan kami juga beruntung mendengar Conflux dan Scroll, rantai publik L1/L2 yang populer, berbagi teknologi dan peta jalan pengembangan ekologi mereka untuk tahun 2024 secara offline untuk pertama kalinya.

Dari kiri: Leon, CEO CrossSpace (moderator), Michael Investment Manager di SNZ Capital, Terence, Chief Strategy Officer Taiko, Ming Wu, CTO Conflux, Marcus Liu, Head of Growth for Asia Pacific di Scroll, Vincent Wong, Director of Exchange Product di Hashkey Exchange, dan Eaton, Security Researcher di Beosin.

Roundtable Hot Talk**: Masalah keamanan apa yang harus diperhatikan oleh proyek Web3****?**

Dalam proses pengembangan, proyek Web3 cenderung mengejar ekspansi pasar secara membabi buta dan mengabaikan keamanan dasar, dan sejumlah insiden pencurian dana on-chain skala besar tahun ini telah membunyikan alarm bagi para praktisi Web3. Eaton, seorang peneliti keamanan di Beosin yang telah sangat terlibat dalam bidang keamanan, memberikan saran ini kepada tim proyek: "Tim proyek perlu belajar menggunakan AI dan alat audit untuk mempercepat proses peninjauan dan mendeteksi kerentanan kontrak pada awal operasi, sehingga dapat menghemat waktu audit dan memecahkan masalah logika bisnis yang kompleks. Selama fase pengembangan proyek, tim perlu memastikan keakuratan logika bisnis, dengan fokus pada pengujian dan menggunakan pendekatan pengembangan berbasis tes. Pada saat yang sama, penting untuk berhati-hati dalam mengintegrasikan aplikasi pihak ketiga untuk mencegah masuknya kerentanan keamanan yang tidak diketahui. Setelah proyek selesai, sangat disarankan agar tim proyek menyewa tim audit profesional untuk melakukan audit guna membantu mengidentifikasi dan menyelesaikan potensi kerentanan untuk memastikan keamanan proyek. "

SNZ Capital memiliki pengalaman luas dalam berinvestasi dalam proyek infrastruktur dan aplikasi Web3. Michael, Manajer Investasi, juga menyatakan pentingnya SNZ melekat pada keamanan perusahaan portofolionya: "Keamanan sangat penting bagi SNZ dan merupakan pertimbangan penting dalam strategi investasi kami. Untuk tujuan ini, kami telah menjalin kemitraan dengan perusahaan keamanan untuk menyediakan berbagai layanan keamanan kepada tim pengembangan proyek portofolio kami. Selain manajemen keamanan di ruang infrastruktur dan middleware, kami juga menyediakan layanan pasca-manajemen untuk perusahaan-perusahaan ini, memastikan bahwa mereka menerima layanan vendor keamanan yang kami kenal. Kami mewajibkan perusahaan portofolio kami untuk memprioritaskan keamanan dalam strategi bisnis mereka dan memahami pentingnya audit keamanan, termasuk penipuan real-time, pemantauan kerentanan, dan penilaian kompatibilitas, untuk memastikan keamanan berdasarkan desain. "

Roundtable Hot Talk**:** Bagaimana proyek Web3** yang dikelola dengan baik melakukan praktik keamanan****?**

Sebagai ZK-rollup open-source yang tumbuh cepat di ekosistem ETH, Taiko memastikan keamanannya melalui arsitektur yang sepenuhnya terdesentralisasi dan partisipasi multi-validator dalam verifikasi. Terence, co-creator dan chief strategy officer Taiko, mengatakan di meja bundar: "Taiko adalah jaringan Rollup layer 2 yang setara dengan ETH, dengan arsitektur yang sepenuhnya terdesentralisasi. Kekuatannya meliputi open source, pembangunan komunitas, dan keamanan, dan berkomitmen untuk memastikan kualitas dan keamanan kode melalui partisipasi kontributor global. Taiko saat ini berada di testnet dengan lebih dari 10.000 node proposal dan validator, dan jumlah ini diperkirakan akan terus bertambah. Ini berarti bahwa pengguna tidak perlu mempercayai Taiko, dan kami tidak memiliki sequencer terpusat, yang merupakan fitur penting yang membedakan kami dari jaringan lapisan 2 lainnya. "

Sebagai pertukaran aset virtual berlisensi di Hong Kong yang berhubungan langsung dengan pengguna investasi, Hashkey telah memperluas jangkauan produknya baru-baru ini, dan bagaimana memastikan kepercayaan dan kepercayaan pelanggan adalah salah satu prioritas utamanya. "Hashkey Exchange berkomitmen untuk secara ketat mematuhi kebijakan hak asuh yang ditetapkan oleh SFC. 98% aset disimpan dengan aman di dompet dingin, sementara hanya 2% disimpan di dompet panas untuk memastikan tingkat keamanan aset yang tinggi. Untuk lebih melindungi hak dan kepentingan investor, kami telah menjalin kemitraan dengan perusahaan asuransi seperti AON dan OneDegree untuk memberikan perlindungan asuransi tambahan kepada pengguna. Vincent Wong, Direktur Produk di Hashkey Exchange, lebih lanjut berbagi, "Hashkey Exchange dimulai dengan verifikasi KYC untuk memastikan bahwa pelanggan kami sah dan otentik. Pada saat yang sama, kami menyediakan fungsi pengingat kata sandi dan mengharuskan pengguna untuk mengubah kata sandi mereka secara teratur untuk meningkatkan keamanan akun mereka. Selain itu, kami juga akan memberikan materi pendidikan kepada pelanggan kami, mengundang mereka untuk belajar, meneliti, dan memahami pengetahuan blockchain dan fasilitas terkait. Dengan cara ini, kami berharap dapat membangun kepercayaan dan hubungan jangka panjang dengan pelanggan kami, memastikan bahwa mereka merasa aman dan terlindungi saat berdagang dengan platform kami. "

Roundtable Hot Talk**:** Layer1/2****Memimpin pengembangan teknologi rantai publik dan dukungan ekologis

Sebagai perwakilan rantai publik terkemuka dari Layer 1, Conflux baru-baru ini mengumumkan peta jalan pengembangnya untuk tahun 2024. CTO Ming Wu berbagi beberapa arahan rencana Conflux untuk meningkatkan pengalaman pengembang, termasuk secara aktif mencari solusi ketersediaan data yang dapat diprogram yang memungkinkan kontrak pintar berinteraksi dengan lapisan DA independen untuk penyimpanan dan pengambilan status skala besar yang efisien; Upaya untuk mengintegrasikan platform AI ke Conflux dan memposisikannya sebagai lapisan insentif; Secara aktif mengeksplorasi arsitektur mesin virtual heterogen untuk meningkatkan skalabilitas dan memperluas ekosistem, serta penelitian untuk mengintegrasikan komputasi multi-pihak (MPC) untuk meningkatkan perlindungan privasi dan kemampuan anti-MEV. “Kami berharap dapat membuat teknologi kami lebih matang dan praktis dalam beberapa tahun ke depan dengan meningkatkan kinerja sistem untuk beradaptasi dengan lebih banyak skenario aplikasi,” kata Ming Wu. "

Scroll, perwakilan dari rantai publik Layer 2 lain yang baru-baru ini diluncurkan di mainnet, juga membagikan praktik keamanan ekologisnya baru-baru ini. Marcus Liu, Head of Growth di Scroll Asia Pasifik, mengatakan: "Dalam hal keamanan, sumber utama keamanan untuk Scroll berasal dari ZKP kami, yang menggunakan prinsip-prinsip matematika ZK untuk memastikan bahwa ZKEVM adalah hasil operasi yang aman dan dapat dipercaya, dan akan diunggah ke ETH sebagai rantai lapisan pertama untuk verifikasi ZK Proof. Selain audit ketat dari semua kontrak dan sirkuit, Scroll juga telah membuka program Bug Bounty untuk bekerja dengan anggota komunitas untuk memperkuat keamanan dalam semangat open source. Langkah selanjutnya dalam Roadmap for Decentralized Prover dan Decentralized Sequencer juga dapat meningkatkan desentralisasi dan keamanan Scroll. "

Selain sesi meja bundar, pelatihan [Web3 Ethical Hacking and Best Security Practices] AWS, dan berbagi barang kering dari agen keamanan SlowMist, rantai publik Polkadot generasi berikutnya, dan pakar OKX Wallet aplikasi Web3 juga patut dinikmati. Selanjutnya, mari kita lebih dekat ke garis depan keamanan melalui catatan untuk memahami pengetahuan dan pengalaman kategori risiko keamanan, strategi keamanan praktis, keamanan sisi aplikasi, dan keamanan pembangunan ekologis.

**Kerentanan kontrak pintar terus mendominasi daftar sebagai tiga kategori serangan peretas teratas di *2023

Kerentanan kontrak pintar terus menjadi salah satu jenis peretasan yang paling umum pada tahun 2023. Menurut laporan keamanan perusahaan keamanan Beosin pada kuartal ketiga tahun ini, eksploitasi kontrak adalah kategori serangan paling populer ketiga setelah kebocoran kunci pribadi dan serangan basis data. 22 eksploitasi kontrak mengakibatkan total kerugian sekitar $ 93,27 juta. Menurut rincian kerentanan, kerentanan re-entrancy menyebabkan kerugian paling besar, dan sekitar 82,8% kerugian dalam peristiwa kerentanan kontrak berasal dari kerentanan re-entrancy. "

Arsitek Solusi Web3 AWS David Sung dan Gong Tao membagikan tiga jenis insiden peretasan yang biasanya terlihat dalam kontrak pintar, termasuk eksploitasi re-entrancy. Dalam kategori serangan ini, penyerang mengeksploitasi kerentanan keamanan dalam kontrak untuk berulang kali memanggil fungsi yang sama sebelum transaksi selesai, menghasilkan beberapa transfer atau konsumsi dana kontrak. Serangan ini sering disebabkan oleh cacat dalam desain kontrak atau kurangnya strategi pertahanan yang memadai. Karena serangan re-entrancy menimbulkan ancaman serius terhadap keamanan dan stabilitas kontrak pintar, mempertahankan diri dari serangan re-entrancy harus dianggap sebagai tugas penting ketika mengembangkan kontrak pintar.

Dua jenis serangan lain yang lebih umum termasuk serangan pemanggilan yang didelegasikan, luapan bilangan bulat dan serangan underflow. SERANGAN PANGGILAN DELEGASI DIRANCANG UNTUK MEMFASILITASI PENGGUNAAN KEMBALI KODE, DAN EVM MENYEDIAKAN OPCODE DELEGATECALL UNTUK MEMASUKKAN BYTECODE KONTRAK PEMANGGIL KE DALAM BYTECODE KONTRAK PEMANGGIL. Oleh karena itu, kontrak target berbahaya dapat secara langsung memodifikasi (atau memanipulasi) variabel status kontrak pemanggil. Serangan integer overflow dan underflow adalah serangan yang terjadi ketika hasil operasi aritmatika berada di luar lingkup tipe data Soliditas, yang mengakibatkan manipulasi yang tidak sah dari variabel statusnya.

Jika Anda ingin mempelajari cara menangani serangan peretasan, Anda dapat merujuk ke Kursus Langsung Keamanan Peretasan Etis dan Praktik Keamanan Terbaik Web3 AWS dan mengunjungi halaman khusus yang relevan.

Kebijakan keamanan sebelum, selama, dan setelah proyek Web3 berjalan

Proyek Web3 perlu menyadari potensi risiko keamanan sejak awal operasinya, dan insiden keamanan sering terjadi pada kontrak pintar, dompet blockchain, dan bursa. Tony, Kepala Komunitas SlowMist Hong Kong, mengatakan: "Dalam menghadapi insiden keamanan blockchain, SlowMist akan memberikan solusi dari tiga tahap: sebelum, selama, dan setelah insiden. Tim proyek dapat menilai potensi risiko dalam hal keselamatan sesuai dengan tahap perkembangannya sendiri.

Sebelum insiden keamanan terjadi, tim proyek dapat melakukan tes komprehensif tentang potensi risiko keamanan. Pada tahap ini, tes Red Teaming SlowMist dapat membantu tim proyek mengevaluasi potensi serangan dari kerentanan nyata seperti personel perusahaan, sistem bisnis perusahaan, rantai pasokan perusahaan, sistem kantor perusahaan, dan keamanan fisik perusahaan, dan memberikan solusi pertahanan keamanan yang disesuaikan untuk memprioritaskan perlindungan node yang rentan dan meningkatkan biaya penyerang.

Jika terjadi insiden keamanan, tim proyek harus memperkuat pemantauan real-time keamanan on-chain dan off-chain, dan bekerja sama dengan perusahaan keamanan untuk menemukan dan menanggapi potensi ancaman keamanan secara tepat waktu. Setelah insiden keamanan terjadi, tindakan defensif harus segera diambil, seperti menggunakan layanan dukungan tanggap darurat SlowMist dan layanan pelacakan dan investigasi on-chain dan off-chain untuk mempertahankan diri dari serangan secara tepat waktu dan mencari tahu akar penyebab insiden tersebut.

Mempertimbangkan bahwa banyak tim proyek Web3 perlu mempertimbangkan keamanan dalam tahap desain kode, daripada hanya mengandalkan panduan jangka pendek dari perusahaan keamanan, SlowMist telah membuka sumber persyaratan praktik keamanan proyek Web3 di Github, mencantumkan secara rinci risiko keamanan yang perlu diperhatikan di lingkungan pengembangan. Ini akan secara efektif mendorong tim proyek untuk membangun dan meningkatkan sistem keamanan mereka sendiri berdasarkan persyaratan praktik keamanan proyek Web3, dan memiliki kemampuan keamanan tertentu setelah audit keamanan.

** Secara aktif merangkul teknologi mutakhir ****, **** Buat aplikasi **Web3 ***** yang aman **

Dengan kematangan teknologi dasar blockchain, semakin banyak aplikasi front-end Web3 telah muncul satu demi satu, dan OKX Wallet tidak diragukan lagi merupakan produk dengan pengalaman pengguna yang luar biasa. Sebagai aplikasi pengguna langsung ke ujung, bagaimana cara meningkatkan pengalaman pengguna sambil memastikan keamanan dana dan data pengguna? Darrel Wang, Manajer Produk OKX Wallet, berbagi rahasia mereka mulai dari pengerasan keamanan di bagian bawah sistem, kemampuan keamanan tumpukan penuh, dan secara aktif merangkul teknologi keamanan mutakhir. Mari kita bagikan di bawah ini:

Pertama-tama, Dompet OKX telah ditingkatkan di tingkat sistem untuk memastikan bahwa produk yang terkait dengan aset pengguna memiliki keamanan seperti lembaga keuangan. Dengan memperkuat keamanan aplikasi, kami berusaha untuk mencegah peretasan dan memastikan bahwa pengguna bertransaksi di lingkungan yang aman.

Kedua, OKX Wallet berfokus pada kemampuan keamanan full-stack. Dari layanan node, penjelajah blok hingga terminal pengguna, kemampuan layanan hulu dan hilir yang lengkap memastikan kepatuhan produk dan kinerja keamanan yang sangat baik di seluruh proses. Misalnya, fungsi peringatan risiko proaktif yang disediakan oleh produk secara aktif mencegah munculnya situs web phishing, yang selanjutnya memastikan keamanan aset pengguna.

Ketiga, OKX Wallet menekankan inovasi dan secara aktif merangkul teknologi mutakhir. Tahun ini, ia meluncurkan akun kontrak pintar berdasarkan Account Abstraction Protocol (EIP-4337), yang akan sangat meningkatkan kemampuan manajemen keamanan dompet. MPC no private key wallet pada jalurnya menggunakan teknologi komputasi aman multi-pihak untuk mengurangi risiko keamanan kunci pribadi yang disebabkan oleh satu titik kegagalan, sehingga pengguna tidak takut kehilangan kunci pribadi mereka.

OKX Wallet memposisikan dirinya sebagai perusahaan teknologi, bukan perusahaan keuangan. Tujuan mereka adalah untuk memecahkan masalah dari perspektif prinsip-prinsip inti dan teknologi produk, dan untuk membawa pengguna pengalaman transaksi digital yang aman dan nyaman.

Kerangka Substrat Membantu Pengembang Membangun Blockchain yang Lebih Aman

Banyak pengembang yang akrab dengan Substrat, kerangka kerja pengembangan blockchain open-source, modular, dan dapat diperluas untuk membangun blockchain. Kerangka kerja blockchain yang mendasari Polkadot Relay Chain dibangun dengan Substrat. Jadi, bagaimana Substrat memberikan keamanan bagi pengembang di ekosistem ini? Jimmy, pengembang inti ekosistem Polkadot, menunjukkan pada acara tersebut bahwa di bawah kerangka kerja Substrat, pengembang dapat membangun komponen (Palet) yang disediakan oleh insinyur profesional Parity, yang dapat ditingkatkan saat runtime, tidak memerlukan garpu rantai, dan memiliki berbagai mekanisme konsensus untuk dipilih, mencapai interoperabilitas dan keamanan antara rantai yang berbeda.

Jimmy lebih lanjut mencatat bahwa tujuan inti Polkadot adalah untuk memungkinkan interoperabilitas lintas rantai dan skalabilitas blockchain. Polkadot menghubungkan berbagai blockchain sehingga mereka dapat berkomunikasi satu sama lain dan bekerja secara harmonis. Arsitektur ini memungkinkan pertukaran data dan transfer nilai antara blockchain yang berbeda, meningkatkan efisiensi dan skalabilitas seluruh jaringan. Arsitekturnya mencakup rantai relai dan parachain, di mana rantai relai bertanggung jawab untuk verifikasi dan keamanan, dan parachain menyediakan fungsi khusus. Selain itu, Polkadot berfokus pada trade-off antara tiga atribut utama skalabilitas, keamanan, dan desentralisasi, dan mengadopsi pendekatan arsitektur yang unik dan menjembatani teknologi untuk mencapai transfer aset yang aman dan efisien.

Tim proyek Web3** harus pandai dalam infrastruktur layanan cloud****,** Fokus pada kategori layanan, keamanan, dan fleksibilitas

Layanan cloud adalah infrastruktur dasar Web3 yang sangat penting, mulai dari pertukaran, rantai publik hingga aplikasi front-end, yang semuanya tidak dapat dipisahkan dari layanan cloud. Untuk proyek Web3, cakupan layanan, keamanan, dan fleksibilitas platform layanan cloud sangat penting. AWS adalah penyedia layanan cloud “nama rumah tangga” di Web3, dan David David, AWS Solution Architect, menanggapi ketiga aspek ini di acara tersebut.

Dalam hal kategori layanan, AWS adalah platform cloud yang paling banyak diadopsi di dunia, menawarkan lebih dari 200 layanan kaya fitur, termasuk pusat data yang didistribusikan secara global, untuk memenuhi kebutuhan infrastruktur unik berbagai perusahaan Web3. AWS melayani banyak proyek Web3, dan tujuh layanan AWS yang paling banyak digunakan meliputi: EC2 (Nitro Enclaves), KMS/CloudHSM, API Gateway, S3, Elastic Block Store, Shield Advanced, dan WAF.

Dalam hal keamanan, AWS telah berkomitmen untuk menyediakan layanan keamanan, kepatuhan, dan tata kelola untuk pihak proyek. Dengan AWS Nitro System, keamanan dibangun ke dalam tingkat chip, terus memantau, melindungi, dan memvalidasi perangkat keras instans, meminimalkan potensi permukaan serangan. AWS juga mendukung lebih banyak standar keamanan dan sertifikasi daripada penyedia cloud lainnya. Diantaranya, Nitro Enclaves yang dikombinasikan dengan KMS/CloudHSM menyediakan Web3 BUIDLers dengan solusi manajemen keamanan kunci pribadi berbasis cloud terbaik dan diadopsi secara luas di industri, sementara Shield Advanced dan WAF memberikan perlindungan keamanan untuk dApps, Node, dan berbagai lapisan infrastruktur Web3.

Dalam hal fleksibilitas, AWS memberi pemilik proyek berbagai kategori layanan dan opsi harga untuk berbagai produk untuk membantu mereka mengoptimalkan biaya. David menambahkan, "Kami menawarkan berbagai pilihan layanan analitik dan pembelajaran mesin untuk memenuhi hampir semua kebutuhan analisis data proyek Anda. Dari pergerakan data, penyimpanan data, analitik big data, analitik log, analitik streaming, kecerdasan bisnis, dan pembelajaran mesin (ML), kami memberi Anda fleksibilitas untuk memilih layanan guna mengurangi biaya. "

Jika Anda perlu mengetahui cara membangun aplikasi cloud yang aman di AWS dan mendukung ekosistem Web3 yang disediakan oleh AWS, Anda dapat mengklik untuk mempelajari selengkapnya.

Di atas adalah inti dari acara ini, saya berharap dapat menginspirasi BUIDLers dan pengembang Web3. Kami sangat berharap bahwa ekosistem Web3 dapat mengantarkan tahap pertumbuhan cepat berikutnya dengan konsensus keamanan berkelanjutan dari semua pihak di industri, dan CrossSpace akan terus bekerja dengan AWS, perusahaan keamanan berkualitas tinggi di industri, dan peserta ekosistem Web3 untuk menghadirkan lebih banyak aktivitas berbagi kepada semua orang.