Especialistas das principais instituições falam sobre as práticas de segurança Web3, e o AWS Web3 Developer Camp 2023 é uma análise maravilhosa

No dia 7 de dezembro, o Web3 Developer Camp, liderado pela Amazon Web Services (AWS) e apoiado exclusivamente pela comunidade CrossSpace, foi realizado com sucesso no local do evento AWS Causeway Bay. Como a sessão de compartilhamento offline da série de seminários “Web3 Security”, este evento convidou com sucesso especialistas e executivos de segurança Web3, carteiras, cadeias públicas L1/L2, serviços em nuvem, bolsas e instituições de investimento para compartilhar no local, apresentando uma conferência de segurança Web3 cheia de produtos secos e altamente discutida.

Como líder no mercado global de serviços em nuvem, a AWS tem prestado atenção e explorado ativamente as práticas de segurança no setor Web3. Ao assumir a liderança na organização de uma série de atividades de segurança, a AWS espera ajudar a melhorar a conscientização dos profissionais do setor sobre segurança, construir um ecossistema Web3 sustentável e estabelecer as bases para o desenvolvimento saudável de várias trilhas em 2024. A conferência contou com a presença de especialistas e painelistas de vários líderes da indústria, incluindo (sem ordem específica): Beosin, Conflux, Hashkey Exchange, OKX Wallet, Polkadot, Scroll, SlowMist, SNZ Capital e Taiko.

No início do artigo, vamos rever os temas quentes da mesa redonda neste evento. Nesta sessão, convidamos executivos e especialistas das principais instituições Web3 Taiko, Hashkey Exchange, Beosin e SNZ Capital para falar sobre como seus projetos estão implementando a missão de segurança Web3, e também tivemos a sorte de ouvir Conflux e Scroll, as populares cadeias públicas L1/L2, compartilharem sua tecnologia e roteiro de desenvolvimento ecológico para 2024 offline pela primeira vez.

A partir da esquerda: Leon, CEO da CrossSpace (moderador), Michael Investment Manager na SNZ Capital, Terence, Diretor de Estratégia da Taiko, Ming Wu, CTO da Conflux, Marcus Liu, Chefe de Crescimento para a Ásia-Pacífico na Scroll, Vincent Wong, Diretor de Produto de Troca na Hashkey Exchange, e Eaton, Pesquisador de Segurança na Beosin.

Mesa Redonda Hot Talk**: Quais questões de segurança os projetos Web3**** devem prestar atenção****?**

No processo de desenvolvimento, os projetos Web3 são propensos a perseguir cegamente a expansão do mercado e ignorar a segurança básica, e uma série de incidentes de roubo de fundos on-chain em grande escala este ano soaram o alarme para os profissionais da Web3. Eaton, um pesquisador de segurança da Beosin que tem estado profundamente envolvido no campo da segurança, deu estas sugestões à equipe do projeto: "A equipe do projeto precisa aprender a usar ferramentas de IA e auditoria para acelerar o processo de revisão e detetar vulnerabilidades contratuais no início da operação, de modo a economizar tempo de auditoria e resolver problemas complexos de lógica de negócios. Durante a fase de desenvolvimento do projeto, a equipe precisa garantir a precisão da lógica de negócios, concentrando-se em testes e usando uma abordagem de desenvolvimento orientada a testes. Ao mesmo tempo, é importante ser cauteloso sobre a integração de aplicativos de terceiros para evitar a introdução de vulnerabilidades de segurança desconhecidas. Após a conclusão do projeto, é altamente recomendável que a equipe do projeto contrate uma equipe de auditoria profissional para conduzir uma auditoria para ajudar a identificar e resolver possíveis vulnerabilidades para garantir a segurança do projeto. "

A SNZ Capital tem uma vasta experiência em investir em projetos de infraestrutura e aplicações Web3. Michael, Gerente de Investimentos, também expressou a importância que a SNZ atribui à segurança das empresas de seu portfólio: "A segurança é de suma importância para a SNZ e é uma consideração importante em nossa estratégia de investimento. Para isso, estabelecemos parcerias com empresas de segurança para fornecer uma gama completa de serviços de segurança para as equipes de desenvolvimento de nossos projetos de portfólio. Além do gerenciamento de segurança na infraestrutura e no espaço de middleware, também fornecemos serviços de pós-gerenciamento para essas empresas, garantindo que elas recebam os serviços de fornecedores de segurança com os quais estamos familiarizados. Exigimos que as empresas do nosso portfólio priorizem a segurança em suas estratégias de negócios e entendam a importância das auditorias de segurança, incluindo fraudes em tempo real, monitoramento de vulnerabilidades e avaliações de compatibilidade, para garantir a segurança desde o projeto. "

Mesa Redonda Hot Talk**:** Como um projeto Web3** bem gerido realiza práticas de segurança****?**

Como um rollup ZK de código aberto em rápido crescimento no ecossistema ETH, o Taiko garante sua segurança por meio de sua arquitetura totalmente descentralizada e participação de vários validadores na verificação. Terence, cocriador e diretor de estratégia da Taiko, disse na mesa redonda: "Taiko é uma rede Rollup camada 2 equivalente à ETH, com uma arquitetura totalmente descentralizada. Seus pontos fortes incluem código aberto, construção de comunidades e segurança, e está comprometida em garantir a qualidade e a segurança do código através da participação de colaboradores globais. Taiko está atualmente em uma testnet com mais de 10.000 nós de proposta e validador, e espera-se que esse número continue a crescer. Isso significa que os usuários não precisam confiar no Taiko, e não temos um sequenciador centralizado, que é um recurso importante que nos diferencia de outras redes de camada 2. "

Como uma bolsa de ativos virtuais licenciada em Hong Kong que lida diretamente com usuários de investimento, a Hashkey tem expandido sua gama de produtos recentemente, e como garantir a confiança dos clientes é uma de suas principais prioridades. "A Hashkey Exchange está comprometida em aderir estritamente à política de custódia definida pelo SFC. 98% dos ativos são armazenados com segurança em carteiras frias, enquanto apenas 2% são armazenados em hot wallets para garantir um alto nível de segurança dos ativos. A fim de proteger ainda mais os direitos e interesses dos investidores, estabelecemos parcerias com companhias de seguros como AON e OneDegree para fornecer aos usuários proteção adicional de seguro. Vincent Wong, Diretor de Produto da Hashkey Exchange, compartilhou ainda: "A Hashkey Exchange começa com a verificação KYC para garantir que nossos clientes sejam legítimos e autênticos. Ao mesmo tempo, fornecemos uma função de lembrete de senha e exigimos que os usuários alterem suas senhas regularmente para aumentar a segurança de suas contas. Além disso, também forneceremos materiais educacionais aos nossos clientes, convidando-os a aprender, pesquisar e entender o conhecimento de blockchain e instalações relacionadas. Desta forma, esperamos ser capazes de construir confiança e relacionamentos de longo prazo com nossos clientes, garantindo que eles se sintam seguros e protegidos ao negociar com nossa plataforma. "

Mesa Redonda Hot Talk**:** Layer1/2****Liderando o desenvolvimento de tecnologia de cadeia pública e suporte ecológico

Como representante líder da cadeia pública da Camada 1, a Conflux anunciou recentemente seu roteiro de desenvolvedores para 2024. O CTO Ming Wu compartilhou várias direções do plano da Conflux para melhorar a experiência do desenvolvedor, incluindo a busca ativa de soluções programáveis de disponibilidade de dados que permitam que contratos inteligentes interajam com camadas DA independentes para armazenamento eficiente e recuperação de estado em grande escala; Esforços para integrar a plataforma de IA no Conflux e posicioná-la como uma camada de incentivo; Explore ativamente arquiteturas heterogêneas de máquinas virtuais para melhorar a escalabilidade e expandir o ecossistema, bem como pesquisar sobre a integração de computação multipartidária (MPC) para melhorar a proteção de privacidade e os recursos anti-MEV. “Estamos ansiosos para tornar nossa tecnologia mais madura e prática nos próximos anos, melhorando o desempenho do sistema para se adaptar a mais cenários de aplicação”, disse Ming Wu. "

A Scroll, representante de outra cadeia pública de Camada 2 que foi lançada recentemente na rede principal, também compartilhou suas recentes práticas de segurança ecológica. Marcus Liu, chefe de crescimento da Scroll Ásia-Pacífico, disse: "Em termos de segurança, a principal fonte de segurança para o Scroll vem do nosso ZKP, que usa os princípios matemáticos do ZK para garantir que o ZKEVM seja um resultado de operação seguro e confiável, e será carregado no ETH como uma cadeia de primeira camada para verificação do ZK Proof. Além de auditorias rigorosas de todos os contratos e circuitos, a Scroll também abriu o programa Bug Bounty para trabalhar com membros da comunidade para fortalecer a segurança no espírito de código aberto. Os próximos passos no Roadmap for Decentralized Prover e Decentralized Sequencer também podem melhorar a descentralização e a segurança do Scroll. "

Além da mesa redonda, vale a pena saborear o treinamento da AWS [Web3 Ethical Hacking and Best Security Practices] e o compartilhamento de produtos secos da agência de segurança SlowMist, da cadeia pública de próxima geração Polkadot e dos especialistas em aplicativos Web3 OKX Wallet. Em seguida, vamos nos aproximar da linha de frente da segurança por meio de registros para entender o conhecimento e a experiência de categorias de risco de segurança, estratégias práticas de segurança, segurança do lado do aplicativo e segurança de desenvolvimento ecológico.

As vulnerabilidades dos contratos inteligentes continuam a dominar a lista como as três principais categorias de ataques de hackers em 2023

As vulnerabilidades dos contratos inteligentes continuam a ser um dos tipos mais comuns de pirataria informática em 2023. De acordo com o relatório de segurança da empresa de segurança Beosin no terceiro trimestre deste ano, as explorações contratuais são a terceira categoria de ataque mais popular depois de vazamentos de chaves privadas e ataques de banco de dados. As 22 explorações contratuais resultaram em uma perda total de aproximadamente US$ 93,27 milhões. De acordo com o detalhamento das vulnerabilidades, as vulnerabilidades de re-entrância causaram mais perdas, e cerca de 82,8% das perdas em eventos de vulnerabilidade de contrato vieram de vulnerabilidades de re-entrancy. "

Os arquitetos de soluções Web 3 da AWS, David Sung e Gong Tao, compartilharam três tipos de incidentes de hacking que são comumente vistos em contratos inteligentes, incluindo explorações de re-entrincheira. Nesta categoria de ataque, um invasor explora uma vulnerabilidade de segurança no contrato para chamar repetidamente a mesma função antes que uma transação seja concluída, resultando em várias transferências ou consumo dos fundos do contrato. Este ataque deve-se frequentemente a uma falha na conceção do contrato ou à falta de estratégias defensivas adequadas. Uma vez que os ataques de reentrância representam uma séria ameaça à segurança e estabilidade dos contratos inteligentes, a defesa contra ataques de reentrância deve ser considerada uma tarefa crítica ao desenvolver contratos inteligentes.

Os outros dois tipos mais comuns de ataques incluem ataques de invocação delegada, ataques de estouro de número inteiro e ataques de subfluxo. OS ATAQUES DE CHAMADA DELEGADA SÃO PROJETADOS PARA FACILITAR A REUTILIZAÇÃO DE CÓDIGO, E O EVM FORNECE UM OPCODE DELEGATECALL PARA INSERIR O BYTECODE DO CONTRATO DO CHAMADOR NO BYTECODE DO CONTRATO DO CHAMADOR. Portanto, o contrato de destino mal-intencionado pode modificar diretamente (ou manipular) as variáveis de estado do contrato do chamador. Ataques de estouro e subfluxo de inteiros são ataques que ocorrem quando o resultado de uma operação aritmética está fora do escopo de um tipo de dados Solidity, resultando em manipulação não autorizada de suas variáveis de estado.

Se quiser saber como lidar com ataques de hackers, consulte o curso prático de segurança AWS Web3 Ethical Hacking and Best Security Practices e visite a página dedicada relevante.

Políticas de segurança antes, durante e após a execução do projeto Web3

Os projetos Web3 precisam estar cientes dos potenciais riscos de segurança desde o início de sua operação, e os incidentes de segurança geralmente ocorrem em contratos inteligentes, carteiras blockchain e exchanges. Tony, chefe da comunidade SlowMist Hong Kong, disse: "Diante de incidentes de segurança blockchain, o SlowMist fornecerá soluções de três estágios: antes, durante e depois do incidente. A equipa do projeto pode avaliar os riscos potenciais em termos de segurança de acordo com o seu próprio estádio de desenvolvimento.

Antes de ocorrer um incidente de segurança, a equipe do projeto pode realizar um teste abrangente sobre possíveis riscos de segurança. Nesta etapa, o teste Red Teaming do SlowMist pode ajudar a equipe do projeto a avaliar possíveis ataques de vulnerabilidades reais, como pessoal corporativo, sistemas de negócios corporativos, cadeias de suprimentos corporativas, sistemas de escritório corporativos e segurança física corporativa, e fornecer soluções personalizadas de defesa de segurança para priorizar a proteção de nós vulneráveis e aumentar o custo dos invasores.

No caso de um incidente de segurança, a equipe do projeto deve fortalecer o monitoramento em tempo real da segurança on-chain e off-chain, e cooperar com as empresas de segurança para descobrir e responder a potenciais ameaças à segurança em tempo hábil. Depois que um incidente de segurança ocorre, ações defensivas devem ser tomadas imediatamente, como usar os serviços de suporte de resposta de emergência do SlowMist e serviços de rastreamento e investigação on-chain e off-chain para se defender contra ataques em tempo hábil e descobrir a causa raiz do incidente.

Considerando que muitas equipes de projeto Web3 precisam considerar a segurança no estágio de design de código, em vez de depender apenas de orientação de curto prazo de empresas de segurança, a SlowMist abriu seus requisitos de prática de segurança de projeto Web3 no Github, listando em detalhes os riscos de segurança que precisam ser atendidos no ambiente de desenvolvimento. Isso incentivará efetivamente a equipe do projeto a construir e melhorar seus próprios sistemas de segurança com base nos requisitos das práticas de segurança do projeto Web3 e a ter certos recursos de segurança após auditorias de segurança.

Adote ativamente a tecnologia de ponta**, **Crie uma aplicação segura Web3

Com a maturidade da tecnologia subjacente da blockchain, cada vez mais aplicações Web3 front-end têm surgido uma após a outra, e OKX Wallet é, sem dúvida, um produto com uma excelente experiência de utilizador. Como um aplicativo direto para o usuário final, como melhorar a experiência do usuário e, ao mesmo tempo, garantir a segurança dos fundos e dados do usuário? Darrel Wang, gerente de produtos da OKX Wallet, compartilhou seus segredos do fortalecimento da segurança na parte inferior do sistema, dos recursos de segurança full-stack e da adoção ativa de tecnologias de segurança de ponta. Vamos compartilhá-lo abaixo:

Em primeiro lugar, a OKX Wallet foi aprimorada no nível do sistema para garantir que os produtos relacionados aos ativos dos usuários tenham a segurança das instituições financeiras. Ao reforçar a segurança da aplicação, esforçamo-nos para prevenir a pirataria informática e garantir que os utilizadores efetuam transações num ambiente seguro.

Em segundo lugar, a OKX Wallet concentra-se nas capacidades de segurança full-stack. De serviços de nó, exploradores de blocos a terminais de usuário, recursos completos de serviço upstream e downstream garantem a conformidade do produto e um excelente desempenho de segurança em todo o processo. Por exemplo, a função proativa de alerta de risco fornecida pelo produto impede ativamente o surgimento de sites de phishing, garantindo ainda mais a segurança dos ativos dos usuários.

Em terceiro lugar, a OKX Wallet enfatiza a inovação e abraça ativamente a tecnologia de ponta. Este ano, lançou uma conta de contrato inteligente baseada no Account Abstraction Protocol (EIP-4337), que melhorará muito as capacidades de gestão de segurança da carteira. A MPC sem carteira de chave privada em sua linha usa tecnologia de computação segura de várias partes para reduzir o risco de segurança de chave privada causada por um único ponto de falha, para que os usuários não tenham medo de perder suas chaves privadas.

A OKX Wallet posiciona-se como uma empresa de tecnologia, não como uma empresa financeira. Seu objetivo é resolver problemas da perspetiva dos princípios e tecnologias fundamentais do produto, e trazer aos usuários uma experiência de transação digital segura e conveniente.

Substrate Framework ajuda desenvolvedores a construir blockchains mais seguras

Muitos desenvolvedores estão familiarizados com o Substrate, uma estrutura de desenvolvimento de blockchain de código aberto, modular e extensível para a construção de blockchains. A estrutura blockchain subjacente da Polkadot Relay Chain é construída com Substrato. Então, como o Substrate fornece segurança para desenvolvedores nesse ecossistema? Jimmy, o principal desenvolvedor do ecossistema Polkadot, destacou no evento que, sob a estrutura Substrate, os desenvolvedores podem pré-construir componentes (Pallets) fornecidos pelos engenheiros profissionais da Parity, que podem ser atualizados em tempo de execução, não exigem garfos de cadeia e têm uma variedade de mecanismos de consenso para escolher, alcançando interoperabilidade e segurança entre diferentes cadeias.

Jimmy observou ainda que o principal objetivo da Polkadot é permitir a interoperabilidade entre cadeias e a escalabilidade do blockchain. Polkadot conecta diferentes blockchains para que eles possam se comunicar uns com os outros e trabalhar em harmonia. Esta arquitetura permite a troca de dados e transferência de valor entre diferentes blockchains, melhorando a eficiência e escalabilidade de toda a rede. Sua arquitetura inclui uma cadeia de relé e uma parachain, onde a cadeia de relé é responsável pela verificação e segurança, e a parachain fornece funções específicas. Além disso, Polkadot se concentra no trade-off entre os três principais atributos de escalabilidade, segurança e descentralização, e adota uma abordagem arquitetônica única e tecnologia de ponte para alcançar a transferência segura e eficiente de ativos.

Web3** equipe de projeto precisa ser boa em infraestrutura de serviços em nuvem****,** Foco na categoria de serviço, segurança e flexibilidade

Os serviços em nuvem são uma infraestrutura subjacente particularmente importante da Web3, desde trocas, cadeias públicas até aplicativos front-end, todos inseparáveis dos serviços em nuvem. Para projetos Web3, o escopo do serviço, a segurança e a flexibilidade da plataforma de serviços em nuvem são particularmente importantes. A AWS é um provedor de serviços de nuvem de “nome familiar” na Web3, e David David, arquiteto de soluções da AWS, respondeu a esses três aspetos no evento.

Em termos de categorias de serviços, a AWS é a plataforma de nuvem mais adotada do mundo, oferecendo mais de 200 serviços ricos em recursos, incluindo data centers distribuídos globalmente, para atender às necessidades exclusivas de infraestrutura de várias empresas Web3. A AWS atende a muitos projetos Web3, e os sete serviços da AWS mais usados incluem: EC2 (Nitro Enclaves), KMS/CloudHSM, API Gateway, S3, Elastic Block Store, Shield Advanced e WAF.

Em termos de segurança, a AWS tem o compromisso de fornecer serviços de segurança, conformidade e governança para as partes do projeto. Com o AWS Nitro System, a segurança é incorporada ao nível do chip, monitorando, protegendo e validando continuamente o hardware da instância, minimizando a superfície de ataque potencial. A AWS também oferece suporte a mais padrões e certificações de segurança do que qualquer outro provedor de nuvem. Entre eles, o Nitro Enclaves combinado com KMS/CloudHSM fornece Web3 BUIDLers com a melhor solução de gerenciamento de segurança de chave privada baseada em nuvem e é amplamente adotado no setor, enquanto Shield Advanced e WAF fornecem proteção de segurança para dApps, Node e várias camadas de infraestrutura Web3.

Em termos de flexibilidade, a AWS oferece aos proprietários de projetos uma variedade de categorias de serviços e opções de preços para diferentes produtos para ajudá-los a otimizar custos. David acrescenta: "Oferecemos uma ampla seleção de serviços de análise e aprendizado de máquina para atender a praticamente todas as necessidades de análise de dados do seu projeto. Desde movimentação de dados, armazenamento de dados, análise de big data, análise de logs, análise de streaming, business intelligence e aprendizado de máquina (ML), oferecemos a flexibilidade de escolher serviços para reduzir custos. "

Se você precisa saber como criar aplicativos de nuvem seguros na AWS e oferecer suporte ao ecossistema Web3 fornecido pela AWS, clique para saber mais.

O acima é a essência deste evento, espero inspirar Web3 BUIDLers e desenvolvedores. Esperamos sinceramente que o ecossistema Web3 possa inaugurar o próximo estágio de rápido crescimento com o consenso contínuo de segurança de todas as partes do setor, e o CrossSpace continuará a trabalhar com a AWS, empresas de segurança de alta qualidade no setor e participantes do ecossistema Web3 para trazer mais atividades de compartilhamento para todos.