Diálogo com a equipe de segurança SlowMist: Como os usuários comuns da Web3 podem explorar com segurança o mundo na cadeia?

Autor: Pesquisa NFTGo

Como uma empresa focada na segurança ecológica de blockchain, a SlowMist Technology foi criada em janeiro de 2018 por uma equipe com mais de dez anos de combate ofensivo e defensivo em segurança de rede na linha de frente. A SlowMist Technology descobriu e anunciou de forma independente várias vulnerabilidades comuns de segurança de blockchain de alto risco na indústria, que receberam ampla atenção e reconhecimento da indústria.

Os problemas atuais de segurança do blockchain são frequentes e a Web3er também tem sido incomodada por isso há muito tempo. Portanto, no segundo diálogo, estamos muito felizes em convidar a equipe de segurança da SlowMist para compartilhar com vocês produtos secos sobre a segurança do blockchain e ajudá-los a explorar o mundo na cadeia com mais segurança. Vamos começar agora~

** 1. Primeiro, apresente Slow Mist a todos. **

Resposta: Olá a todos, SlowMist é uma empresa que se concentra na segurança ecológica de blockchain. Nossa capacidade de segurança ecológica de blockchain consiste em três anéis: a camada mais interna é a segurança de conformidade, a segunda camada é a segurança técnica e a terceira camada é a segurança. A camada é segurança ecológica. A segurança técnica inclui principalmente duas linhas de negócios principais: auditoria de segurança e combate à lavagem de dinheiro. O conteúdo da auditoria de segurança inclui o código de contrato inteligente do projeto DeFi, a troca centralizada, o aplicativo de carteira, a carteira de plug-in do navegador, a cadeia pública subjacente, e também temos um serviço de teste de equipe vermelha, que é um dos Nossas vantagens. Por mais de cinco anos, de 2018 até o presente, atendemos muitos clientes conhecidos e líderes do setor e temos milhares de clientes comerciais, com um alto índice de elogios. Para combate à lavagem de dinheiro, temos uma plataforma de rastreamento on-chain MistTrack. Além disso, também estamos muito preocupados com a conformidade e a segurança. A conformidade é um dos pilares importantes do desenvolvimento a longo prazo desta indústria. Temos procedimentos legais rigorosos para os projetos alvo de auditoria de segurança ou cooperação contra lavagem de dinheiro. Sabemos que a segurança é um todo e que a segurança precisa construir um sistema de segurança completo, por isso fornecemos soluções de segurança integradas e adaptadas às condições locais, desde a descoberta de ameaças até a defesa contra ameaças. Simplificando, é na verdade um sistema de defesa circular de estilo militar, uma defesa em camadas. A descoberta de ameaças na camada mais externa consiste em descobrir e identificar ameaças através de parceiros na zona SlowMist e no próprio sistema de inteligência de ameaças do SlowMist (esta é também a nossa segurança ecológica) e, em seguida, publicá-las para todo o ecossistema para aviso prévio através de canais de mídia; defesa contra ameaças is Refere-se ao nosso sistema de defesa, desde BTI (Blockchain Threat Intelligence System) até a implantação de soluções de defesa sistemáticas e personalizadas, implementação de reforço de segurança de carteira quente e fria, etc., selecionando segurança de rede, segurança de controle de risco, segurança de carteira e outros campos para clientes. fornecedor de soluções de segurança de alta qualidade na China permite que os clientes escolham de forma flexível e fácil lidar com várias dificuldades encontradas no processo de desenvolvimento de negócios.Esperamos cooperar com parceiros de alta qualidade na indústria e na comunidade para construir conjuntamente um trabalho de defesa conjunta de segurança.

**2. Os problemas de segurança do Web3 são sempre imprevisíveis. Além de algumas regras básicas, como copiar frases mnemônicas à mão e prestar atenção à autenticidade dos sites, o SlowMist tem alguma sugestão de segurança para Web3er que interage com frequência? **

Resposta: Como a questão é sobre a segurança da interação, vamos primeiro analisar como os ataques comuns roubam os ativos dos usuários.

Os invasores geralmente roubam os ativos dos usuários de duas maneiras:

Primeiro, engane os usuários para que assinem dados de transações maliciosas que roubam ativos, como enganar os usuários para que autorizem ou transfiram ativos para invasores. Em segundo lugar, induza o usuário a inserir a frase mnemônica da carteira em um site ou aplicativo malicioso.

Depois de sabermos como o invasor rouba os ativos da carteira, devemos prevenir possíveis riscos:

1. Antes de assinar, você deve identificar os dados assinados, saber para que serve a transação que você assinou, verificar cuidadosamente se o objeto assinado está correto e se o valor autorizado é muito grande;
2. Use carteiras de hardware tanto quanto possível. Como as carteiras de hardware geralmente não podem exportar diretamente palavras mnemônicas ou chaves privadas, isso pode aumentar o limite para o roubo da chave privada das palavras mnemônicas;
3. Várias técnicas e incidentes de phishing surgem indefinidamente. Os usuários devem aprender a identificar várias técnicas de phishing por si próprios, melhorar a conscientização sobre segurança, realizar autoeducação para evitar serem enganados e dominar habilidades de auto-resgate. Golpe ou Phishing. Claro, eu recomendo fortemente a todos que leiam o “Manual de Autoajuda Blockchain Dark Forest” produzido pela SlowMist, que está cheio de produtos secos;
4. Recomenda-se que os usuários mantenham carteiras diferentes para vários cenários para manter o risco dos ativos sob controle. Por exemplo: grandes quantidades de ativos geralmente não são usadas com frequência. Recomenda-se armazená-los em uma carteira fria e garantir que o ambiente de rede e o ambiente físico sejam seguros ao usá-los. Carteiras que participam de atividades como airdrops são recomendadas para armazenar pequenos ativos devido à sua alta frequência de uso. A carteira pode ser gerida hierarquicamente por diferentes ativos e frequência de utilização, de forma a garantir que os riscos sejam controláveis.

**3. No dia 16/08, o chefe do cosseno enviou um tweet interessante - de onde veio sua ilusão de que “Mac é mais seguro que computadores Win”? Para usuários do Web3, quais são as vantagens e desvantagens dos computadores Mac e Win do SlowMist? **

Resposta: Sim, este tweet também causou muita discussão. Pelo contrário, perguntamos “De onde vem a ilusão de que o Win é mais seguro do que os computadores Mac?” É também um ângulo e uma resposta semelhantes. Em termos de anti-intrusão de sistema único, a natureza fechada do Mac e o controle estrito de permissões são realmente melhores do que o Windows, e a participação do Mac no mercado global de PC é muito baixa, enquanto o Win é responsável por uma alta proporção, então mais ataques ocorrer no Win. A superfície de ataque é muito madura. É um exagero dizer que 99% do pessoal de segurança atual que faz infiltração, intrusão e APT não terá como alvo o Mac. Pelo contrário, 100% deles terá como alvo o Win. Além do que foi dito acima, se você atacar o Mac e o Win com um cavalo de Tróia anti-matança, o resultado básico será o mesmo e você será atingido. Em geral, metade do equipamento é metade do indivíduo. Se a consciência de segurança do usuário não for suficiente, é fácil ser enganado e fazer com que o computador seja implantado com programas maliciosos, o que pode levar ao roubo de dados sensíveis no computador (como mnemônicos). O malware pode se comportar de muitas maneiras diferentes: pode se esconder em um anexo de e-mail ou usar a câmera do seu dispositivo para espioná-lo. Recomenda-se que todos aumentem a sua consciência de segurança, por exemplo, não baixem e executem facilmente programas fornecidos por internautas, e apenas baixem aplicativos, software ou arquivos de mídia de sites confiáveis; não abram facilmente anexos de e-mails desconhecidos; atualizem regularmente o sistema operacional sistema para obter a proteção de segurança mais recente; instale software antivírus no dispositivo, como o Kaspersky.

**4. Muitos projetos tiveram seus “fundos” roubados. Quais são as principais causas dos problemas de segurança que o SlowMist considera? É possível ser guardado e roubado? **

Resposta: De acordo com as estatísticas do SlowMist Hacked, em 24 de agosto, haverá 253 incidentes de segurança em 2023, com perdas de até 1,45 bilhão de dólares americanos. Do ponto de vista dos métodos maliciosos do blockchain, existem principalmente vários aspectos: ataques de phishing, ataques de cavalos de Tróia, ataques de poder computacional, ataques de contratos inteligentes, ataques de infraestrutura, ataques à cadeia de suprimentos e crimes internos. Tomemos como exemplo ataques comuns de contratos inteligentes: existem os seguintes métodos de ataque: ataques de empréstimo instantâneo, lacunas de contrato, problemas de compatibilidade ou arquitetura e alguns métodos: ataques maliciosos de front-end e phishing para desenvolvedores. Além disso, quando se trata de auto-roubo, temos que mencionar o vazamento de chaves privadas. O vazamento de chaves privadas depende da situação, e o vazamento de chaves privadas de indivíduos e bolsas é muito diferente. A chave privada pessoal vazou. Geralmente, a chave privada ou mnemônico é armazenada na Internet, como coleção WeChat, caixa de correio 163, memorando, notas Youdao e outros serviços de armazenamento em nuvem. Os hackers geralmente coletam bancos de dados de contas e senhas vazados on-line, como senhas de contas em texto simples CSDN há muitos anos, e depois acessam esses sites de armazenamento em nuvem e serviços em nuvem para tentar.Se o login for bem-sucedido, entre para descobrir se há alguma criptografia. Conteúdo Relacionado. A troca é mais complicada. Geralmente, é uma organização hacker em grande escala que tem a capacidade de romper as camadas de proteção de segurança da troca e invadir passo a passo para obter a chave privada da carteira quente no servidor de troca. . Aqui está um lembrete especial de que este é um ato ilegal e não deve ser imitado. Sugerimos que a parte do projeto faça o possível para encontrar uma empresa de segurança para realizar uma auditoria de segurança no código de seu próprio projeto para melhorar o nível de segurança do projeto. Ele também pode liberar Bug Bounty para evitar problemas de segurança durante a operação contínua. e desenvolvimento do projeto.Ao mesmo tempo, recomenda-se que todos os projetos Fang melhorem a gestão interna e o mecanismo técnico e aumentem a intensidade da proteção de ativos através da introdução de um mecanismo de assinatura múltipla e um mecanismo de confiança zero.

**5. A ponte entre cadeias já foi apelidada de: Também conhecida como caixa eletrônico hacker. Para Web3er, que é relativamente novo em tecnologia, a quais pontos deve-se prestar atenção ao usar pontes entre cadeias? **

Resposta: Quando se trata de pontes entre cadeias, em primeiro lugar, o negócio das pontes entre cadeias é complexo e a quantidade de código é grande, e é provável que ocorram brechas durante a codificação e implementação; em segundo lugar, a segurança de terceiros Os componentes de terceiros mencionados no projeto também são uma das razões importantes para vulnerabilidades de segurança; finalmente, no entanto, a falta de uma comunidade de desenvolvimento maior para pontes entre cadeias significa que o código não foi pesquisado extensiva e cuidadosamente em busca de possíveis bugs. Para os usuários, ao usar uma ponte entre cadeias, é importante entender como seus fundos são protegidos. Você pode observar o nível de risco da ponte entre cadeias a partir de algumas dimensões, por exemplo: O contrato do projeto é de código aberto? O projeto é uma auditoria de segurança multipartidária? O esquema de gerenciamento de chave privada é computação multipartidária MPC? Ou assinatura múltipla de vários nós? Ou a chave privada é mantida pela parte do projeto? Ao escolher uma ponte cross-chain, os usuários também devem escolher aquelas equipes cross-chain com fortes capacidades de segurança. Primeiro, eles devem ter todas as versões do código de auditoria de segurança e, em segundo lugar, a equipe deve ter pessoal de segurança em tempo integral. Nós também recomendo que as equipes relevantes da ponte entre cadeias possam operar Seja mais transparente, para que mais perguntas e sugestões dos usuários possam ser recebidas e as lacunas possam ser verificadas e preenchidas a tempo.

**6. Além de alguns golpes e phishing comuns, o SlowMist pode dar alguns exemplos que são relativamente incomuns e contra os quais é difícil se proteger? **

R: Já divulgamos anteriormente incidentes em que invasores usaram falhas na implementação da WalletConncet de carteiras Web3 para aumentar a taxa de sucesso de ataques de phishing. Especificamente, quando algumas carteiras Web3 fornecem suporte a WalletConncet, não há restrição sobre a área em que a janela pop-up de transação WalletConncet irá aparecer, mas uma solicitação de assinatura aparecerá em qualquer interface da carteira. Os invasores usam esse defeito para orientar os usuários. sites de phishing. WalletConncet se conecta a páginas de phishing e, em seguida, constrói continuamente solicitações maliciosas de assinatura eth_sign. Depois que o usuário reconhece que eth_sign pode ser inseguro e se recusa a assinar, uma vez que WalletConncet usa wss para se conectar, se o usuário não fechar a conexão a tempo, a página de phishing continuará a iniciar solicitações maliciosas de assinatura eth_sign. Às vezes, há há uma grande possibilidade de o botão de assinatura ser clicado por engano, resultando no roubo dos bens do usuário. Na verdade, desde que você saia ou feche o DApp Browser, a conexão WalletConncet deverá ser suspensa. Caso contrário, quando um usuário sai repentinamente de uma assinatura ao usar a carteira, é fácil ficar confuso e correr o risco de roubo. Dito isto, deixe-me mencionar eth_sign novamente. eth_sign é um método de assinatura aberta que tem sido frequentemente usado por invasores para phishing nos últimos dois anos. Ele permite Hash arbitrário, ou seja, qualquer transação ou qualquer dado pode ser assinado, o que representa um perigoso risco de phishing. Ao fazer login ou fazer login, você deve verificar cuidadosamente o aplicativo ou site que está usando e não inserir uma senha ou assinar uma transação quando ela não estiver clara. Rejeitar a assinatura cega pode evitar muitos riscos de segurança.

**7. Quero saber qual foi o incidente de segurança mais profundo que o SlowMist encontrou na segurança blockchain por tantos anos? **

Resposta: O que mais me impressionou nos últimos dois ou três anos foi o incidente da Poly Network que ocorreu em 2021. Por volta das 20h do dia 10 de agosto, quando ocorreu o ataque, mantivemos um alto grau de atenção, analisando o processo do ataque, acompanhando o fluxo de recursos, contabilizando as perdas roubadas, etc., sentindo-nos um pouco na linha de frente . E a perda de 610 milhões de dólares americanos foi considerada uma perda particularmente grande no ataque da época. Nossa equipe divulgou imediatamente a análise do ataque e as informações de identidade IP do invasor que encontramos às 5h do dia 11. Às 16h do dia 11, o hacker estava sob forte pressão, para começar a devolver os ativos. Alguns comentários feitos por hackers na rede no acompanhamento também foram mais “interessantes”, todo o processo foi muito gratificante para uma empresa de segurança.

8. Finalmente, faça uma pergunta interessante. Novas tecnologias, como verificação formal e auditoria de IA, continuam a iterar. Como o SlowMist vê o desenvolvimento de novas tecnologias?

R: Quando se trata de novas tecnologias, como ChatGPT para melhorar a eficiência do texto tradicional, como CodeGPT para melhorar a eficiência da escrita de código. Também usamos códigos de vulnerabilidade historicamente comuns como casos de teste internos para verificar a capacidade da GPT de detectar vulnerabilidades básicas. Os resultados do teste descobriram que o modelo GPT é bom na detecção de blocos de código vulneráveis simples, mas é temporariamente incapaz de detectar códigos vulneráveis um pouco mais complexos, e a legibilidade contextual geral do GPT-4 (Web) pode ser vista no teste. , o formato de saída é relativamente claro. GPT possui capacidade de detecção parcial para vulnerabilidades simples básicas em códigos de contrato e, após detectar vulnerabilidades, explicará as vulnerabilidades com alta legibilidade.Esse recurso é mais adequado para fornecer orientação rápida para treinamento preliminar de auditores de contratos juniores e perguntas simples. Mas também existem algumas desvantagens: por exemplo, o GPT tem certas flutuações na saída de cada diálogo, que podem ser ajustadas através dos parâmetros da interface API, mas ainda não é uma saída constante. Embora essa volatilidade seja uma boa maneira para o diálogo linguístico, é grande, mas Esta é uma pergunta ruim para as classes de análise de código trabalharem. Porque, para cobrir as várias respostas de vulnerabilidade que a IA nos pode dar, precisamos de solicitar a mesma pergunta várias vezes e realizar uma triagem comparativa, o que aumenta invisivelmente a carga de trabalho e viola o objetivo de referência de a IA ajudar os humanos a melhorar a eficiência. Além disso, a detecção de vulnerabilidades um pouco mais complexas revelará que o modelo de treinamento atual (2024.3.16) não consegue analisar e encontrar corretamente os principais pontos de vulnerabilidade relevantes. Embora a capacidade do GPT de analisar e explorar vulnerabilidades contratuais ainda seja relativamente fraca no momento, sua capacidade de analisar pequenos blocos de código de vulnerabilidades comuns e gerar textos de relatórios ainda entusiasma os usuários. Com o treinamento e desenvolvimento deste GPT e de outros modelos de IA, acredita-se que auditorias auxiliares mais rápidas, inteligentes e abrangentes para contratos grandes e complexos serão definitivamente realizadas.

Conclusão

Muito obrigado pela resposta da equipe de segurança do SlowMist. Onde há luz, há sombras, e a indústria blockchain não é exceção; mas é precisamente devido à existência de empresas de segurança blockchain, como a SlowMist Technology, que a luz também pode entrar nas sombras. Acredito que com o desenvolvimento, a indústria blockchain se tornará mais padronizada e estou ansioso pelo desenvolvimento futuro da tecnologia SlowMist ~