著者: NFTGo リサーチ
SlowMist Technology は、ブロックチェーンのエコロジカル セキュリティに焦点を当てた企業として、10 年以上ネットワーク セキュリティの最前線で攻防戦を行ってきたチームによって 2018 年 1 月に設立されました。 SlowMist Technology は、業界内で一般的な高リスクのブロックチェーン セキュリティの脆弱性をいくつか独自に発見して発表し、業界から幅広い注目と認識を得ています。
現在、ブロックチェーンのセキュリティ問題は頻繁に発生しており、Web3er も長年にわたってこの問題に悩まされてきました。したがって、2 回目の対話では、SlowMist セキュリティ チームを招待して、ブロックチェーンのセキュリティについて共有し、チェーン上の世界をより安全に探索できるよう支援していただきます。さあ始めましょう~
**1. まずは皆さんにスローミストを紹介してください。 **
回答: みなさん、こんにちは。SlowMist はブロックチェーンのエコロジカル セキュリティに焦点を当てている会社です。当社のブロックチェーンのエコロジー セキュリティ機能は 3 つのリングで構成されています: 最も内側の層はコンプライアンス セキュリティ、2 番目の層は技術的セキュリティ、3 番目の層はセキュリティです。生態学的安全性。技術セキュリティには主に、セキュリティ監査とマネーロンダリング対策という 2 つの主要な事業分野が含まれます。セキュリティ監査の内容には、DeFi プロジェクトのスマート コントラクト コード、集中型取引所、ウォレット アプリ、ブラウザ プラグイン ウォレット、基盤となるパブリック チェーンが含まれます。また、以下の 1 つであるレッド チーム テスト サービスも提供しています。私たちの利点。 2018年から現在までの5年以上にわたり、当社は業界の多くの著名な大手顧客にサービスを提供しており、数千の商業顧客があり、高い評価を得ています。マネーロンダリング対策として、オンチェーン追跡プラットフォーム MistTrack を導入しています。また、当社はコンプライアンスとセキュリティにも細心の注意を払っており、コンプライアンスはこの業界の長期的発展の重要な基盤の一つであり、セキュリティ監査やマネーロンダリング対策協力の対象プロジェクトについては厳格な法的手続きを行っております。当社は、セキュリティは全体であり、セキュリティは完全なセキュリティ システムを構築する必要があることを認識しているため、脅威の発見から脅威の防御まで、地域の状況に合わせた統合セキュリティ ソリューションを提供します。簡単に言うと、実際には軍事的な循環型防御システム、多層防御です。最外層での脅威の発見は、SlowMist ゾーンのパートナーと SlowMist 独自の脅威インテリジェンス システム (これは当社の生態学的セキュリティでもあります) を通じて脅威を発見および特定し、メディア チャネルを通じて早期警告のためにエコシステム全体に公開します。脅威防御BTI(ブロックチェーン脅威インテリジェンスシステム)から、カスタマイズされた体系的な防御ソリューションの展開、ホットウォレットおよびコールドウォレットのセキュリティ強化の実装など、お客様向けにネットワークセキュリティ、リスクコントロールセキュリティ、ウォレットセキュリティなどの分野を選択する当社の防御システムを指します。中国の高品質なセキュリティソリューションプロバイダーは、顧客が事業展開の過程で遭遇するさまざまな困難に柔軟かつ簡単に対処できるように選択することができ、業界およびコミュニティの高品質のパートナーと協力して、セキュリティの共同防御作業を共同で構築したいと考えています。
**2. Web3 のセキュリティ問題は常に予測できません。ニーモニックフレーズを手でコピーすることや、Web サイトの信頼性に注意を払うことなどのいくつかの基本的なルールとは別に、SlowMist は頻繁にやり取りする Web3er に対してセキュリティに関する提案をしていますか? **
回答: 質問はインタラクションのセキュリティに関するものなので、まず一般的な攻撃がユーザーの資産をどのように盗むのかを整理しましょう。
攻撃者は通常、次の 2 つの方法でユーザー資産を盗みます。
まず、ユーザーを騙して資産を承認させたり、攻撃者に資産を譲渡させたりするなど、資産を盗む悪意のあるトランザクション データに署名させます。次に、ユーザーをだまして、悪意のある Web サイトまたはアプリでウォレットのニーモニック フレーズを入力させます。
攻撃者がウォレット資産を盗む方法がわかったら、考えられるリスクを防ぐ必要があります。
**3. 8.16 に、cosine の上司が興味深いツイートを送信しました。「Mac は Win コンピュータよりも安全である」というあなたの幻想はどこから来たのでしょうか? Web3 ユーザーにとって、Mac と Win コンピューターの長所と短所は何だと SlowMist は考えていますか? **
回答: はい、このツイートも多くの議論を巻き起こしましたが、逆に「Win のほうが Mac コンピュータよりも安全であるという幻想はどこから来るのですか?」という質問も同様の角度からの回答です。単一システムの侵入防止という点では、Mac の閉鎖的な性質とアクセス許可の厳密な制御は Windows よりも優れています。また、Mac の世界的な PC 市場シェアは非常に低く、Win が高い割合を占めているため、より多くの攻撃が行われます。 Win で発生します。攻撃対象領域が成熟しすぎています。現在、侵入、侵入、APT を行うセキュリティ担当者の 99% は Mac をターゲットにせず、それどころか 100% が Win をターゲットにすると言っても過言ではありません。上記の内容とは別に、Mac と Win を抗殺人型トロイの木馬で攻撃すると、基本的な結果は同じで、攻撃を受けることになります。一般に、機器の半分は個人の半分であり、ユーザーのセキュリティ意識が十分でない場合、簡単に騙されてコンピュータに悪意のあるプログラムが埋め込まれ、コンピュータ上の機密データが盗まれる可能性があります。コンピュータ(ニーモニックなど)。マルウェアはさまざまな方法で動作する可能性があり、電子メールの添付ファイルに隠れたり、デバイスのカメラを使用して監視したりすることがあります。たとえば、ネットユーザーが提供するプログラムを安易にダウンロードして実行しないこと、信頼できるサイトからのみアプリケーション、ソフトウェア、メディア ファイルをダウンロードすること、見慣れないメールの添付ファイルを安易に開かないこと、オペレーティング システムを定期的に更新することなど、セキュリティ意識を高めることをお勧めします。システムに最新のセキュリティ保護を適用するには、Kaspersky などのウイルス対策ソフトウェアをデバイスにインストールします。
**4. 多くのプロジェクトが「資金」を盗まれました。 SlowMist はセキュリティ問題の主な原因は何だと考えていますか?守られて盗まれることはありますか? **
回答: SlowMist Hacked の統計によると、8 月 24 日の時点で、2023 年には 253 件のセキュリティ インシデントが発生し、最大 14 億 5,000 万米ドルの損失が発生すると予想されています。ブロックチェーンの悪意のある手法の観点から見ると、主にフィッシング攻撃、トロイの木馬攻撃、コンピューティング能力攻撃、スマートコントラクト攻撃、インフラストラクチャ攻撃、サプライチェーン攻撃、内部犯罪といったいくつかの側面があります。一般的なスマート コントラクト攻撃を例に挙げると、フラッシュ ローン攻撃、契約の抜け穴、互換性またはアーキテクチャの問題、およびフロントエンドの悪意のある攻撃や開発者向けのフィッシングなどの攻撃方法があります。さらに、自己窃盗に関して言えば、秘密鍵の漏洩についても言及する必要があります。秘密鍵の漏洩は状況によって異なり、個人と取引所の秘密鍵の漏洩は大きく異なります。個人の秘密キーが漏洩する一般的に、秘密キーまたはニーモニックは、WeChat コレクション、163 メールボックス、メモ、Youdao メモ、その他のクラウド ストレージ サービスなどのインターネット上に保存されます。ハッカーは、何年も前に CSDN の平文アカウントのパスワードなど、オンラインで漏洩したアカウントとパスワードのデータベースを収集し、これらのクラウド ストレージやクラウド サービスの Web サイトにアクセスして試行します。ログインに成功した場合は、内部にアクセスして暗号化が存在するかどうかを確認します。関連性のあるコンテンツ。取引所はより複雑で、通常、取引所のセキュリティ保護層を突破し、段階的に侵入して取引所サーバー内のホットウォレットの秘密キーを取得する能力を持つ大規模なハッカー組織です。 。これは違法行為ですので、絶対に真似しないでください。プロジェクト当事者は、プロジェクトのセキュリティ レベルを向上させるために、自分のプロジェクトのコードのセキュリティ監査を実施してくれるセキュリティ会社を見つけるよう最善を尽くすことをお勧めします。また、継続的な運用中のセキュリティ問題を回避するためにバグ報奨金をリリースすることもできます。同時に、Fang はすべてのプロジェクトで内部管理と技術メカニズムを改善し、マルチ署名メカニズムとゼロトラスト メカニズムを導入することで資産保護の強度を高めることを推奨します。
**5. クロスチェーンブリッジはかつて「別名ハッカー現金自動預け払い機」というあだ名が付けられていました。テクノロジーに比較的慣れていない Web3er がクロスチェーン ブリッジを使用する際に注意すべき点は何ですか? **
回答: クロスチェーン ブリッジに関して言えば、第一に、クロスチェーン ブリッジのビジネスは複雑でコード量が多く、コーディングと実装の際に抜け穴が発生しやすいこと、第二に、第 3 にセキュリティの確保です。プロジェクトで参照されているパーティ コンポーネントも、セキュリティ脆弱性の重要な理由の 1 つです; 最後に、クロスチェーン ブリッジのための大規模な開発コミュニティが存在しないことは、潜在的なバグについてコードが広範かつ慎重に検索されていないことを意味します。ユーザーにとって、クロスチェーン ブリッジを使用する場合、資金がどのように保護されているかを理解することが重要です。たとえば、プロジェクト契約はオープンソースですか? など、いくつかの側面からクロスチェーン ブリッジのリスク レベルを確認できます。プロジェクトは複数の関係者によるセキュリティ監査ですか?秘密鍵管理方式は MPC マルチパーティ計算ですか?それともマルチノードマルチシグネチャですか?それとも秘密鍵はプロジェクト当事者によって保管されていますか?クロスチェーン ブリッジを選択する際、ユーザーは強力なセキュリティ機能を備えたクロスチェーン チームを選択する必要があります。第一に、すべてのバージョンのコード セキュリティ監査が必要であり、第二に、チームにはフルタイムのセキュリティ担当者が必要です。クロスチェーンブリッジの関連チームがより透明性を高めて運営し、ユーザーからより多くの質問や提案を受け取り、ギャップを確認して時間内に埋めることができるようにすることをお勧めします。
**6. いくつかの一般的な詐欺やフィッシングに加えて、SlowMist は比較的珍しい、防御が難しい例をいくつか挙げることができますか? **
A: 以前、攻撃者が Web3 ウォレットの WalletConncet 実装の欠陥を利用してフィッシング攻撃の成功率を高めたインシデントを明らかにしました。具体的には、一部の Web3 ウォレットが WalletConncet サポートを提供している場合、WalletConncet トランザクション ポップアップ ウィンドウがポップアップする領域に制限はありませんが、署名リクエストはウォレットのどのインターフェイスでもポップアップ表示されます。攻撃者はこの欠陥を利用してユーザーを誘導します。 WalletConncet はフィッシング ページに接続し、悪意のある eth_sign 署名リクエストを継続的に構築します。 WalletConncet は接続に wss を使用するため、ユーザーが eth_sign が安全でない可能性があることを認識して署名を拒否した後、ユーザーが時間内に接続を閉じないと、フィッシング ページは引き続き悪意のある eth_sign 署名リクエストを開始します。署名ボタンが誤ってクリックされ、ユーザーの資産が盗難される可能性が非常に高くなります。実際、DApp ブラウザを離れるか閉じる限り、WalletConncet 接続は一時停止されます。そうしないと、ユーザーが財布を使用するときに突然署名から飛び出したときに混乱しやすく、盗難の危険につながります。そうは言っても、もう一度 eth_sign について触れておきます。 eth_sign は、過去 2 年間、攻撃者によってフィッシングによく使用されてきたオープンな署名方法です。これにより、任意のハッシュが許可されます。つまり、あらゆるトランザクションまたはあらゆるデータに署名できるため、危険なフィッシング リスクが生じます。署名またはログインするときは、使用しているアプリケーションや Web サイトを注意深く確認し、不明な場合はパスワードを入力したりトランザクションに署名したりしないでください。ブラインド署名を拒否すると、多くのセキュリティ リスクを回避できます。
**7. SlowMist が長年ブロックチェーン セキュリティで遭遇した最も深刻なセキュリティ インシデントは何ですか? **
回答:ここ 2 ~ 3 年で最も印象に残っているのは、2021 年に発生した Poly Network 事件です。攻撃が発生した8月10日午後20時頃、私たちは最前線の気分で攻撃過程の分析、資金の流れの追跡、盗まれた損失の集計など、高い注意を払い続けました。 。そして、6 億 1,000 万米ドルの損失は、当時の攻撃の中でも特に大きな損失とみなされていました。私たちのチームは、11日午前5時に発見した攻撃の分析と攻撃者のIP識別情報を直ちに公開し、11日16時にハッカーは資産の返還を開始するよう強い圧力を受けました。フォローアップでは、チェーン上のハッカーからのコメントも「興味深い」もので、セキュリティ会社としては非常に充実したプロセスでした。
8. 最後に、興味深い質問をしてみます。形式的検証や AI 監査などの新しいテクノロジーが次々と登場していますが、SlowMist は新しいテクノロジーの発展をどのように見ていますか?
A: 新しいテクノロジーに関して言えば、従来のテキストの効率を向上させる ChatGPT や、コード作成の効率を向上させる CodeGPT などです。また、GPT の基本的な脆弱性を検出する能力を検証するために、歴史的に一般的な脆弱性コードを内部のテスト ケースとして使用しました。テスト結果では、GPT モデルは単純な脆弱なコード ブロックの検出には優れていますが、少し複雑な脆弱なコードを一時的に検出できず、GPT-4 (Web) の全体的なコンテキストの可読性がテストで確認できます。 、出力形式は比較的明確です。 GPTは、契約コードの基本的な単純な脆弱性を部分的に検出する機能を備えており、脆弱性を検出した後は可読性の高い脆弱性を説明する機能があり、若手契約監査人の事前研修や簡単な質問などの迅速な指導に適しています。しかし、いくつかの欠点もあります: たとえば、GPT には各ダイアログの出力に一定の変動があり、API インターフェイスのパラメーターを通じて調整できますが、それでも一定の出力ではありません。このような変動性は言語ダイアログにとっては良い方法ですが、これは大きいですが、これはコード分析クラスが取り組むには悪い質問です。なぜなら、AI が教えてくれるさまざまな脆弱性の回答をカバーするには、同じ質問を複数回リクエストして比較スクリーニングを実行する必要があるため、目に見えない作業負荷が増加し、AI が人間の効率向上を支援するというベンチマーク目標に違反するからです。さらに、もう少し複雑な脆弱性が検出されると、現在 (2024.3.16) のトレーニング モデルでは、関連する主要な脆弱性ポイントを正しく分析して見つけることができないことが明らかになります。コントラクトの脆弱性を分析してマイニングする GPT の能力は、現時点ではまだ比較的弱いですが、一般的な脆弱性の小さなコード ブロックを分析し、レポート テキストを生成する能力は依然としてユーザーを興奮させています。この GPT と他の AI モデルのトレーニングと開発により、大規模で複雑な契約に対する、より迅速で、よりスマートで、より包括的な補助監査が確実に実現されるでしょう。
### 結論
SlowMist セキュリティ チームからの回答に心より感謝いたします。光あれば影あり、ブロックチェーン業界も例外ではありませんが、SlowMist Technologyのようなブロックチェーンセキュリティ企業の存在があるからこそ、影にも光が入り込みます。この発展により、ブロックチェーン業界はより標準化されると信じており、SlowMistテクノロジーの今後の発展を楽しみにしています~
16.64M 人気度
397.82K 人気度
14.42K 人気度
45.36K 人気度
3.42M 人気度
SlowMist セキュリティ チームとの対話: 一般の Web3 ユーザーはどうすればチェーン上の世界を安全に探索できるでしょうか?
著者: NFTGo リサーチ
SlowMist Technology は、ブロックチェーンのエコロジカル セキュリティに焦点を当てた企業として、10 年以上ネットワーク セキュリティの最前線で攻防戦を行ってきたチームによって 2018 年 1 月に設立されました。 SlowMist Technology は、業界内で一般的な高リスクのブロックチェーン セキュリティの脆弱性をいくつか独自に発見して発表し、業界から幅広い注目と認識を得ています。
現在、ブロックチェーンのセキュリティ問題は頻繁に発生しており、Web3er も長年にわたってこの問題に悩まされてきました。したがって、2 回目の対話では、SlowMist セキュリティ チームを招待して、ブロックチェーンのセキュリティについて共有し、チェーン上の世界をより安全に探索できるよう支援していただきます。さあ始めましょう~
**1. まずは皆さんにスローミストを紹介してください。 **
回答: みなさん、こんにちは。SlowMist はブロックチェーンのエコロジカル セキュリティに焦点を当てている会社です。当社のブロックチェーンのエコロジー セキュリティ機能は 3 つのリングで構成されています: 最も内側の層はコンプライアンス セキュリティ、2 番目の層は技術的セキュリティ、3 番目の層はセキュリティです。生態学的安全性。技術セキュリティには主に、セキュリティ監査とマネーロンダリング対策という 2 つの主要な事業分野が含まれます。セキュリティ監査の内容には、DeFi プロジェクトのスマート コントラクト コード、集中型取引所、ウォレット アプリ、ブラウザ プラグイン ウォレット、基盤となるパブリック チェーンが含まれます。また、以下の 1 つであるレッド チーム テスト サービスも提供しています。私たちの利点。 2018年から現在までの5年以上にわたり、当社は業界の多くの著名な大手顧客にサービスを提供しており、数千の商業顧客があり、高い評価を得ています。マネーロンダリング対策として、オンチェーン追跡プラットフォーム MistTrack を導入しています。また、当社はコンプライアンスとセキュリティにも細心の注意を払っており、コンプライアンスはこの業界の長期的発展の重要な基盤の一つであり、セキュリティ監査やマネーロンダリング対策協力の対象プロジェクトについては厳格な法的手続きを行っております。当社は、セキュリティは全体であり、セキュリティは完全なセキュリティ システムを構築する必要があることを認識しているため、脅威の発見から脅威の防御まで、地域の状況に合わせた統合セキュリティ ソリューションを提供します。簡単に言うと、実際には軍事的な循環型防御システム、多層防御です。最外層での脅威の発見は、SlowMist ゾーンのパートナーと SlowMist 独自の脅威インテリジェンス システム (これは当社の生態学的セキュリティでもあります) を通じて脅威を発見および特定し、メディア チャネルを通じて早期警告のためにエコシステム全体に公開します。脅威防御BTI(ブロックチェーン脅威インテリジェンスシステム)から、カスタマイズされた体系的な防御ソリューションの展開、ホットウォレットおよびコールドウォレットのセキュリティ強化の実装など、お客様向けにネットワークセキュリティ、リスクコントロールセキュリティ、ウォレットセキュリティなどの分野を選択する当社の防御システムを指します。中国の高品質なセキュリティソリューションプロバイダーは、顧客が事業展開の過程で遭遇するさまざまな困難に柔軟かつ簡単に対処できるように選択することができ、業界およびコミュニティの高品質のパートナーと協力して、セキュリティの共同防御作業を共同で構築したいと考えています。
**2. Web3 のセキュリティ問題は常に予測できません。ニーモニックフレーズを手でコピーすることや、Web サイトの信頼性に注意を払うことなどのいくつかの基本的なルールとは別に、SlowMist は頻繁にやり取りする Web3er に対してセキュリティに関する提案をしていますか? **
回答: 質問はインタラクションのセキュリティに関するものなので、まず一般的な攻撃がユーザーの資産をどのように盗むのかを整理しましょう。
攻撃者は通常、次の 2 つの方法でユーザー資産を盗みます。
まず、ユーザーを騙して資産を承認させたり、攻撃者に資産を譲渡させたりするなど、資産を盗む悪意のあるトランザクション データに署名させます。次に、ユーザーをだまして、悪意のある Web サイトまたはアプリでウォレットのニーモニック フレーズを入力させます。
攻撃者がウォレット資産を盗む方法がわかったら、考えられるリスクを防ぐ必要があります。
**3. 8.16 に、cosine の上司が興味深いツイートを送信しました。「Mac は Win コンピュータよりも安全である」というあなたの幻想はどこから来たのでしょうか? Web3 ユーザーにとって、Mac と Win コンピューターの長所と短所は何だと SlowMist は考えていますか? **
回答: はい、このツイートも多くの議論を巻き起こしましたが、逆に「Win のほうが Mac コンピュータよりも安全であるという幻想はどこから来るのですか?」という質問も同様の角度からの回答です。単一システムの侵入防止という点では、Mac の閉鎖的な性質とアクセス許可の厳密な制御は Windows よりも優れています。また、Mac の世界的な PC 市場シェアは非常に低く、Win が高い割合を占めているため、より多くの攻撃が行われます。 Win で発生します。攻撃対象領域が成熟しすぎています。現在、侵入、侵入、APT を行うセキュリティ担当者の 99% は Mac をターゲットにせず、それどころか 100% が Win をターゲットにすると言っても過言ではありません。上記の内容とは別に、Mac と Win を抗殺人型トロイの木馬で攻撃すると、基本的な結果は同じで、攻撃を受けることになります。一般に、機器の半分は個人の半分であり、ユーザーのセキュリティ意識が十分でない場合、簡単に騙されてコンピュータに悪意のあるプログラムが埋め込まれ、コンピュータ上の機密データが盗まれる可能性があります。コンピュータ(ニーモニックなど)。マルウェアはさまざまな方法で動作する可能性があり、電子メールの添付ファイルに隠れたり、デバイスのカメラを使用して監視したりすることがあります。たとえば、ネットユーザーが提供するプログラムを安易にダウンロードして実行しないこと、信頼できるサイトからのみアプリケーション、ソフトウェア、メディア ファイルをダウンロードすること、見慣れないメールの添付ファイルを安易に開かないこと、オペレーティング システムを定期的に更新することなど、セキュリティ意識を高めることをお勧めします。システムに最新のセキュリティ保護を適用するには、Kaspersky などのウイルス対策ソフトウェアをデバイスにインストールします。
**4. 多くのプロジェクトが「資金」を盗まれました。 SlowMist はセキュリティ問題の主な原因は何だと考えていますか?守られて盗まれることはありますか? **
回答: SlowMist Hacked の統計によると、8 月 24 日の時点で、2023 年には 253 件のセキュリティ インシデントが発生し、最大 14 億 5,000 万米ドルの損失が発生すると予想されています。ブロックチェーンの悪意のある手法の観点から見ると、主にフィッシング攻撃、トロイの木馬攻撃、コンピューティング能力攻撃、スマートコントラクト攻撃、インフラストラクチャ攻撃、サプライチェーン攻撃、内部犯罪といったいくつかの側面があります。一般的なスマート コントラクト攻撃を例に挙げると、フラッシュ ローン攻撃、契約の抜け穴、互換性またはアーキテクチャの問題、およびフロントエンドの悪意のある攻撃や開発者向けのフィッシングなどの攻撃方法があります。さらに、自己窃盗に関して言えば、秘密鍵の漏洩についても言及する必要があります。秘密鍵の漏洩は状況によって異なり、個人と取引所の秘密鍵の漏洩は大きく異なります。個人の秘密キーが漏洩する一般的に、秘密キーまたはニーモニックは、WeChat コレクション、163 メールボックス、メモ、Youdao メモ、その他のクラウド ストレージ サービスなどのインターネット上に保存されます。ハッカーは、何年も前に CSDN の平文アカウントのパスワードなど、オンラインで漏洩したアカウントとパスワードのデータベースを収集し、これらのクラウド ストレージやクラウド サービスの Web サイトにアクセスして試行します。ログインに成功した場合は、内部にアクセスして暗号化が存在するかどうかを確認します。関連性のあるコンテンツ。取引所はより複雑で、通常、取引所のセキュリティ保護層を突破し、段階的に侵入して取引所サーバー内のホットウォレットの秘密キーを取得する能力を持つ大規模なハッカー組織です。 。これは違法行為ですので、絶対に真似しないでください。プロジェクト当事者は、プロジェクトのセキュリティ レベルを向上させるために、自分のプロジェクトのコードのセキュリティ監査を実施してくれるセキュリティ会社を見つけるよう最善を尽くすことをお勧めします。また、継続的な運用中のセキュリティ問題を回避するためにバグ報奨金をリリースすることもできます。同時に、Fang はすべてのプロジェクトで内部管理と技術メカニズムを改善し、マルチ署名メカニズムとゼロトラスト メカニズムを導入することで資産保護の強度を高めることを推奨します。
**5. クロスチェーンブリッジはかつて「別名ハッカー現金自動預け払い機」というあだ名が付けられていました。テクノロジーに比較的慣れていない Web3er がクロスチェーン ブリッジを使用する際に注意すべき点は何ですか? **
回答: クロスチェーン ブリッジに関して言えば、第一に、クロスチェーン ブリッジのビジネスは複雑でコード量が多く、コーディングと実装の際に抜け穴が発生しやすいこと、第二に、第 3 にセキュリティの確保です。プロジェクトで参照されているパーティ コンポーネントも、セキュリティ脆弱性の重要な理由の 1 つです; 最後に、クロスチェーン ブリッジのための大規模な開発コミュニティが存在しないことは、潜在的なバグについてコードが広範かつ慎重に検索されていないことを意味します。ユーザーにとって、クロスチェーン ブリッジを使用する場合、資金がどのように保護されているかを理解することが重要です。たとえば、プロジェクト契約はオープンソースですか? など、いくつかの側面からクロスチェーン ブリッジのリスク レベルを確認できます。プロジェクトは複数の関係者によるセキュリティ監査ですか?秘密鍵管理方式は MPC マルチパーティ計算ですか?それともマルチノードマルチシグネチャですか?それとも秘密鍵はプロジェクト当事者によって保管されていますか?クロスチェーン ブリッジを選択する際、ユーザーは強力なセキュリティ機能を備えたクロスチェーン チームを選択する必要があります。第一に、すべてのバージョンのコード セキュリティ監査が必要であり、第二に、チームにはフルタイムのセキュリティ担当者が必要です。クロスチェーンブリッジの関連チームがより透明性を高めて運営し、ユーザーからより多くの質問や提案を受け取り、ギャップを確認して時間内に埋めることができるようにすることをお勧めします。
**6. いくつかの一般的な詐欺やフィッシングに加えて、SlowMist は比較的珍しい、防御が難しい例をいくつか挙げることができますか? **
A: 以前、攻撃者が Web3 ウォレットの WalletConncet 実装の欠陥を利用してフィッシング攻撃の成功率を高めたインシデントを明らかにしました。具体的には、一部の Web3 ウォレットが WalletConncet サポートを提供している場合、WalletConncet トランザクション ポップアップ ウィンドウがポップアップする領域に制限はありませんが、署名リクエストはウォレットのどのインターフェイスでもポップアップ表示されます。攻撃者はこの欠陥を利用してユーザーを誘導します。 WalletConncet はフィッシング ページに接続し、悪意のある eth_sign 署名リクエストを継続的に構築します。 WalletConncet は接続に wss を使用するため、ユーザーが eth_sign が安全でない可能性があることを認識して署名を拒否した後、ユーザーが時間内に接続を閉じないと、フィッシング ページは引き続き悪意のある eth_sign 署名リクエストを開始します。署名ボタンが誤ってクリックされ、ユーザーの資産が盗難される可能性が非常に高くなります。実際、DApp ブラウザを離れるか閉じる限り、WalletConncet 接続は一時停止されます。そうしないと、ユーザーが財布を使用するときに突然署名から飛び出したときに混乱しやすく、盗難の危険につながります。そうは言っても、もう一度 eth_sign について触れておきます。 eth_sign は、過去 2 年間、攻撃者によってフィッシングによく使用されてきたオープンな署名方法です。これにより、任意のハッシュが許可されます。つまり、あらゆるトランザクションまたはあらゆるデータに署名できるため、危険なフィッシング リスクが生じます。署名またはログインするときは、使用しているアプリケーションや Web サイトを注意深く確認し、不明な場合はパスワードを入力したりトランザクションに署名したりしないでください。ブラインド署名を拒否すると、多くのセキュリティ リスクを回避できます。
**7. SlowMist が長年ブロックチェーン セキュリティで遭遇した最も深刻なセキュリティ インシデントは何ですか? **
回答:ここ 2 ~ 3 年で最も印象に残っているのは、2021 年に発生した Poly Network 事件です。攻撃が発生した8月10日午後20時頃、私たちは最前線の気分で攻撃過程の分析、資金の流れの追跡、盗まれた損失の集計など、高い注意を払い続けました。 。そして、6 億 1,000 万米ドルの損失は、当時の攻撃の中でも特に大きな損失とみなされていました。私たちのチームは、11日午前5時に発見した攻撃の分析と攻撃者のIP識別情報を直ちに公開し、11日16時にハッカーは資産の返還を開始するよう強い圧力を受けました。フォローアップでは、チェーン上のハッカーからのコメントも「興味深い」もので、セキュリティ会社としては非常に充実したプロセスでした。
8. 最後に、興味深い質問をしてみます。形式的検証や AI 監査などの新しいテクノロジーが次々と登場していますが、SlowMist は新しいテクノロジーの発展をどのように見ていますか?
A: 新しいテクノロジーに関して言えば、従来のテキストの効率を向上させる ChatGPT や、コード作成の効率を向上させる CodeGPT などです。また、GPT の基本的な脆弱性を検出する能力を検証するために、歴史的に一般的な脆弱性コードを内部のテスト ケースとして使用しました。テスト結果では、GPT モデルは単純な脆弱なコード ブロックの検出には優れていますが、少し複雑な脆弱なコードを一時的に検出できず、GPT-4 (Web) の全体的なコンテキストの可読性がテストで確認できます。 、出力形式は比較的明確です。 GPTは、契約コードの基本的な単純な脆弱性を部分的に検出する機能を備えており、脆弱性を検出した後は可読性の高い脆弱性を説明する機能があり、若手契約監査人の事前研修や簡単な質問などの迅速な指導に適しています。しかし、いくつかの欠点もあります: たとえば、GPT には各ダイアログの出力に一定の変動があり、API インターフェイスのパラメーターを通じて調整できますが、それでも一定の出力ではありません。このような変動性は言語ダイアログにとっては良い方法ですが、これは大きいですが、これはコード分析クラスが取り組むには悪い質問です。なぜなら、AI が教えてくれるさまざまな脆弱性の回答をカバーするには、同じ質問を複数回リクエストして比較スクリーニングを実行する必要があるため、目に見えない作業負荷が増加し、AI が人間の効率向上を支援するというベンチマーク目標に違反するからです。さらに、もう少し複雑な脆弱性が検出されると、現在 (2024.3.16) のトレーニング モデルでは、関連する主要な脆弱性ポイントを正しく分析して見つけることができないことが明らかになります。コントラクトの脆弱性を分析してマイニングする GPT の能力は、現時点ではまだ比較的弱いですが、一般的な脆弱性の小さなコード ブロックを分析し、レポート テキストを生成する能力は依然としてユーザーを興奮させています。この GPT と他の AI モデルのトレーニングと開発により、大規模で複雑な契約に対する、より迅速で、よりスマートで、より包括的な補助監査が確実に実現されるでしょう。
### 結論
SlowMist セキュリティ チームからの回答に心より感謝いたします。光あれば影あり、ブロックチェーン業界も例外ではありませんが、SlowMist Technologyのようなブロックチェーンセキュリティ企業の存在があるからこそ、影にも光が入り込みます。この発展により、ブロックチェーン業界はより標準化されると信じており、SlowMistテクノロジーの今後の発展を楽しみにしています~