Диалог с командой безопасности SlowMist: как обычные пользователи Web3 могут безопасно исследовать мир в сети?

Автор: Исследование NFTGo

Как компания, специализирующаяся на экологической безопасности блокчейна, SlowMist Technology была основана в январе 2018 года командой, которая более десяти лет занимается наступательными и оборонительными действиями в области сетевой безопасности. SlowMist Technology независимо обнаружила и объявила о нескольких распространенных в отрасли уязвимостях безопасности блокчейна с высоким уровнем риска, которые получили широкое внимание и признание со стороны отрасли.

Сегодня проблемы с безопасностью блокчейна встречаются часто, и Web3er также долгое время беспокоился об этом. Поэтому во втором диалоге мы очень рады пригласить команду безопасности SlowMist поделиться с вами информацией о безопасности блокчейна и помочь вам более безопасно исследовать мир в цепочке. Давайте начнём прямо сейчас~

**1. Сначала познакомьте всех с Slow Mist. **

Ответ: Привет всем, SlowMist — это компания, которая специализируется на экологической безопасности блокчейна. Наши возможности экологической безопасности блокчейна состоят из трех колец: самый внутренний уровень — безопасность соответствия, второй уровень — техническая безопасность и третий уровень — безопасность. Уровень — безопасность. экологическая безопасность. Техническая безопасность в основном включает в себя два основных направления деятельности: аудит безопасности и борьбу с отмыванием денег. Содержание аудита безопасности включает в себя код смарт-контракта проекта DeFi, централизованную биржу, приложение кошелька, кошелек подключаемого модуля браузера, базовую публичную цепочку, а также у нас есть служба тестирования Red Team, которая является одной из наши преимущества. На протяжении более пяти лет, с 2018 года по настоящее время, мы обслуживаем многих известных и ведущих клиентов в отрасли, и у нас есть тысячи коммерческих клиентов, получивших высокую оценку. Для борьбы с отмыванием денег у нас есть платформа отслеживания MistTrack. Кроме того, мы также очень обеспокоены соблюдением требований и безопасности.Соблюдение требований является одним из важных краеугольных камней долгосрочного развития этой отрасли.У нас есть строгие юридические процедуры для целевых проектов аудита безопасности или сотрудничества по борьбе с отмыванием денег. Мы знаем, что безопасность — это единое целое, и для обеспечения безопасности необходимо построить полную систему безопасности, поэтому мы предоставляем интегрированные решения безопасности, адаптированные к местным условиям, от обнаружения угроз до защиты от угроз. Проще говоря, это на самом деле военная система круговой обороны, многоуровневая защита. Обнаружение угроз на самом внешнем уровне заключается в обнаружении и выявлении угроз через партнеров в зоне SlowMist и собственной системе анализа угроз SlowMist (это также наша экологическая безопасность), а затем публикацию их для всей экосистемы для раннего предупреждения через каналы СМИ; защита от угроз Относится к нашей системе защиты, от BTI (системы анализа угроз блокчейна) до развертывания индивидуальных и систематических решений защиты, внедрения усиления безопасности горячего и холодного кошелька и т. д., выбора сетевой безопасности, безопасности контроля рисков, безопасности кошелька и других областей для клиентов. поставщик высококачественных решений безопасности в Китае позволяет клиентам гибко выбирать и легко справляться с различными трудностями, возникающими в процессе развития бизнеса.Мы надеемся на сотрудничество с высококачественными партнерами в отрасли и обществе для совместной работы по обеспечению безопасности и совместной оборонной работы.

**2. Проблемы безопасности Web3 всегда непредсказуемы. Помимо некоторых основных правил, таких как копирование мнемонических фраз вручную и внимание к аутентичности веб-сайтов, есть ли у SlowMist какие-либо предложения по безопасности для пользователей Web3, которые часто взаимодействуют? **

Ответ: Поскольку речь идет о безопасности взаимодействия, давайте сначала разберемся, как распространенные атаки крадут активы пользователей.

Злоумышленники обычно крадут ресурсы пользователей двумя способами:

Во-первых, обманом заставьте пользователей подписывать данные вредоносных транзакций, которые крадут активы, например, обманом заставляя пользователей авторизоваться или передать активы злоумышленникам. Во-вторых, обманом заставить пользователя ввести мнемоническую фразу кошелька на вредоносном веб-сайте или в приложении.

После того, как мы узнаем, как злоумышленник крадет активы кошелька, мы должны предотвратить возможные риски:

1. Перед подписанием вы должны идентифицировать подписанные данные, знать, для чего предназначена транзакция, которую вы подписали, тщательно проверить правильность подписанного объекта и не является ли авторизованная сумма слишком большой;
2. Используйте как можно больше аппаратных кошельков. Поскольку аппаратные кошельки, как правило, не могут напрямую экспортировать мнемонические слова или закрытые ключи, это может увеличить порог кражи закрытого ключа мнемонических слов;
3. Различные методы фишинга и инциденты возникают бесконечно.Пользователи должны научиться самостоятельно распознавать различные методы фишинга, повышать осведомленность о безопасности, проводить самообучение, чтобы не быть обманутыми, и овладевать навыками самоспасения.Мошенничество или фишинг. Конечно, я настоятельно рекомендую всем прочитать «Руководство по самопомощи Blockchain Dark Forest», выпущенное SlowMist, в котором полно галантерейных товаров;
4. Пользователям рекомендуется использовать разные кошельки для различных сценариев, чтобы держать риск активов под контролем. Например: большие объемы активов обычно не используются часто.Рекомендуется хранить их в холодном кошельке и обеспечивать безопасность сетевой и физической среды при их использовании. Кошельки, которые участвуют в таких мероприятиях, как раздача по воздуху, рекомендуются для хранения небольших активов из-за их высокой частоты использования. Кошелек может управляться иерархически по различным активам и частоте использования, чтобы гарантировать контролируемость рисков.

**3. 8.16 босс косинуса прислал интересный твит — откуда взялась ваша иллюзия, что «Mac более безопасен, чем компьютеры с Win»? Что SlowMist считает преимуществами и недостатками компьютеров Mac и Win для пользователей Web3? **

Ответ: Да, этот твит тоже вызвал много дискуссий. Напротив, мы спросили: «Откуда взялась иллюзия, что Win более безопасен, чем компьютеры Mac?» Это тоже схожий ракурс и ответ. С точки зрения защиты от вторжений в одной системе, закрытый характер Mac и строгий контроль разрешений действительно лучше, чем у Windows, а доля Mac на мировом рынке ПК очень мала, в то время как на долю Win приходится высокая доля, поэтому больше атак происходят на Win. Поверхность атаки слишком зрелая. Было бы преувеличением сказать, что 99% нынешних сотрудников службы безопасности, занимающихся проникновением, вторжением и APT, не будут нацелены на Mac. Напротив, 100% из них будут нацелены на Win. Помимо того, что было сказано выше, если вы атакуете Mac и Win с помощью троянского коня, препятствующего убийству, основной результат будет тот же, и вы будете поражены. В общем, половина оборудования — это половина человека. Если осведомленности пользователя в вопросах безопасности недостаточно, его легко обмануть и имплантировать в компьютер вредоносные программы, что может привести к краже конфиденциальных данных на компьютере. компьютер (например, мнемотехника). Вредоносное ПО может вести себя по-разному: оно может скрываться во вложении электронного письма или использовать камеру вашего устройства для слежки за ним. Рекомендуется, чтобы каждый повышал свою осведомленность о безопасности, например, не загружайте и не запускайте программы, предоставленные пользователями сети, а загружайте приложения, программное обеспечение или мультимедийные файлы только с надежных сайтов; не открывайте легко вложения из незнакомых электронных писем; регулярно обновляйте операционную систему. системе, чтобы получить новейшую защиту; установите на устройство антивирусное программное обеспечение, например, Kaspersky.

**4. У многих проектов были украдены «средства». Что, по мнению SlowMist, является основными причинами проблем безопасности? Можно ли быть охраняемым и украденным? **

Ответ: По статистике SlowMist Hacked, по состоянию на 24 августа, в 2023 году произойдет 253 инцидента безопасности с потерями до 1,45 млрд долларов США. С точки зрения вредоносных методов блокчейна, в основном существует несколько аспектов: фишинговые атаки, атаки «троянских коней», атаки на вычислительную мощность, атаки на смарт-контракты, атаки на инфраструктуру, атаки на цепочку поставок и внутренние преступления. В качестве примера возьмем распространенные атаки на смарт-контракты.Существуют следующие методы атак: атаки с использованием флэш-кредита, лазейки в контрактах, проблемы совместимости или архитектуры, а также некоторые методы: вредоносные атаки на внешний интерфейс и фишинг для разработчиков. Кроме того, когда речь идет о самокраже, нельзя не упомянуть об утечке приватных ключей. Утечка закрытых ключей зависит от ситуации, а утечка личных ключей частных лиц и бирж сильно различается. Утечка личного закрытого ключа. Как правило, закрытый ключ или мнемоника хранятся в Интернете, например, в коллекции WeChat, почтовом ящике 163, заметках, заметках Youdao и других службах облачного хранения. Хакеры часто собирают базы данных учетных записей и паролей, просочившиеся в Интернет, например, пароли учетных записей CSDN в открытом виде много лет назад, а затем заходят на эти веб-сайты облачных хранилищ и облачных сервисов, чтобы попробовать. связанный контент. Биржа сложнее.Как правило, это крупная хакерская организация, имеющая возможность прорваться через уровни безопасности биржи и шаг за шагом вторгнуться, чтобы получить приватный ключ горячего кошелька на сервере биржи. . Специально напоминаем, что это незаконное действие, имитировать его нельзя. Мы предлагаем, чтобы участник проекта сделал все возможное, чтобы найти охранную компанию для проведения аудита безопасности кода собственного проекта, чтобы повысить уровень безопасности проекта.Он также может выпустить Bug Bounty, чтобы избежать проблем с безопасностью во время непрерывной работы. В то же время рекомендуется, чтобы во всех проектах Fang улучшилось внутреннее управление и технический механизм, а также повысилась интенсивность защиты активов за счет внедрения механизма мультиподписи и механизма нулевого доверия.

**5. Перекрестный цепной мост когда-то прозвали хакерским банкоматом. На какие моменты следует обратить внимание Web3er, который относительно новичок в технологиях при использовании межцепочных мостов? **

Ответ: Когда дело доходит до межцепных мостов, во-первых, бизнес межцепных мостов сложен, объем кода велик, и при кодировании и реализации могут возникать лазейки; во-вторых, безопасность третьих сторон. Сторонние компоненты, упомянутые в проекте, также являются одной из важных причин уязвимостей безопасности; наконец, однако отсутствие более крупного сообщества разработчиков межцепных мостов означает, что код не подвергался тщательному и тщательному поиску потенциальных ошибок. Для пользователей при использовании кросс-чейн мостов важно понимать, как ваши средства защищены.Вы можете посмотреть на уровень риска кроссчейн мостов с некоторых сторон, например: Является ли проектный контракт открытым исходным кодом? Является ли проект многосторонним аудитом безопасности? Схема управления закрытым ключом представляет собой многостороннее вычисление MPC? Или многоузловая мультиподпись? Или закрытый ключ хранится у участника проекта? При выборе межцепочного моста пользователи также должны выбирать межсетевые команды с сильными возможностями обеспечения безопасности.Во-первых, они должны иметь все версии аудита безопасности кода, а во-вторых, в команде должен быть штатный персонал службы безопасности.Мы также рекомендовать соответствующим командам межсетевого моста работать. Быть более прозрачным, чтобы можно было получать больше вопросов и предложений от пользователей, а также своевременно проверять и устранять пробелы.

**6. В дополнение к некоторым типичным случаям мошенничества и фишинга, может ли SlowMist привести несколько примеров, которые являются относительно редкими и от которых трудно защититься? **

Ответ: Ранее мы сообщали об инцидентах, в которых злоумышленники использовали недостатки в реализации WalletConncet кошельков Web3 для повышения вероятности успеха фишинговых атак. В частности, когда некоторые кошельки Web3 поддерживают WalletConncet, нет ограничений на то, в какой области появится всплывающее окно транзакции WalletConncet, но запрос подписи появится в любом интерфейсе кошелька. Злоумышленники используют этот дефект, чтобы направлять пользователей через Фишинговые веб-сайты. WalletConncet подключается к фишинговым страницам, а затем постоянно создает вредоносные запросы на подпись eth_sign. После того, как пользователь осознает, что eth_sign может быть небезопасным, и отказывается подписывать, поскольку WalletConncet использует wss для подключения, если пользователь не закроет соединение вовремя, фишинговая страница продолжит инициировать вредоносные запросы подписи eth_sign. велика вероятность того, что кнопка входа будет нажата по ошибке, что приведет к краже активов пользователя. Фактически, пока вы выходите или закрываете браузер DApp, соединение WalletConncet должно быть приостановлено. В противном случае, когда у пользователя внезапно выскакивает подпись при использовании кошелька, его легко запутать и привести к риску кражи. Сказав это, позвольте мне еще раз упомянуть eth_sign. eth_sign — это метод открытой подписи, который в последние два года часто использовался злоумышленниками для фишинга. Он позволяет использовать произвольный хеш, то есть любую транзакцию или любые данные можно подписать, что представляет собой опасный риск фишинга. При входе в систему или входе в систему вам следует внимательно проверять приложение или веб-сайт, который вы используете, и не вводить пароль и не подписывать транзакцию, если он неясен.Отказ от слепой подписи может избежать многих рисков безопасности.

**7. Я хочу услышать, какой самый серьезный инцидент безопасности, с которым SlowMist столкнулся в сфере безопасности блокчейна за многие годы? **

Ответ: Больше всего меня впечатлил за последние два-три года инцидент с Poly Network, произошедший в 2021 году. Около 20:00 10 августа, когда произошла атака, мы сохраняли высокую степень внимания, анализируя процесс атаки, отслеживая потоки средств, подсчитывая украденные потери и т. д., чувствуя себя немного на передовой. . А потеря в 610 миллионов долларов США в то время считалась особенно крупной потерей в результате нападения. Наша команда немедленно опубликовала анализ атаки и информацию об IP-адресе злоумышленника, которую мы нашли в 5:00 утра 11 числа. В 16:00 11 числа на хакера оказывалось сильное давление, чтобы он начал возвращать активы. Некоторые последующие комментарии хакеров о цепочке также были более «интересными». Весь процесс был очень полезным для охранной компании.

8. Наконец, задайте интересный вопрос. Новые технологии, такие как формальная проверка и аудит искусственного интеллекта, продолжают развиваться. Как SlowMist смотрит на развитие новых технологий?

О: Когда речь идет о новых технологиях, таких как ChatGPT для повышения эффективности традиционного текста, например CodeGPT для повышения эффективности написания кода. Мы также использовали исторически распространенные коды уязвимостей в качестве внутренних тестовых примеров, чтобы проверить способность GPT обнаруживать основные уязвимости. Результаты теста показали, что модель GPT хороша для обнаружения простых уязвимых блоков кода, но временно неспособна обнаруживать несколько более сложные уязвимые коды, а общую контекстуальную читаемость GPT-4 (Интернет) можно увидеть в тесте. Очень высокая , формат вывода относительно ясен. GPT имеет возможности частичного обнаружения основных простых уязвимостей в кодах контрактов, а после обнаружения уязвимостей объясняет уязвимости с высокой читабельностью.Такая функция больше подходит для предоставления быстрого руководства по предварительному обучению младших аудиторов контрактов и простых вопросов. Но есть и некоторые недостатки: например, GPT имеет определенные колебания вывода каждого диалога, которые можно регулировать с помощью параметров интерфейса API, но это все равно не постоянный вывод.Хотя такая изменчивость является хорошим способом для языкового диалога, он большой, но это плохой вопрос для классов анализа кода. Потому что, чтобы охватить различные ответы на уязвимости, которые может сообщить нам ИИ, нам нужно несколько раз задавать один и тот же вопрос и проводить сравнительный отбор, что незаметно увеличивает рабочую нагрузку и нарушает базовую цель ИИ, помогающую людям повысить эффективность. Более того, обнаружение несколько более сложных уязвимостей покажет, что текущая модель обучения (2024.3.16) не может правильно анализировать и находить соответствующие ключевые точки уязвимости. Хотя способность GPT анализировать и обнаруживать уязвимости контрактов в настоящее время все еще относительно слаба, ее способность анализировать небольшие блоки кода распространенных уязвимостей и генерировать тексты отчетов по-прежнему волнует пользователей. что более быстрые, разумные и комплексные вспомогательные проверки для крупных и сложных контрактов обязательно будут реализованы.

Заключение

Большое спасибо за ответ от команды безопасности SlowMist. Там, где есть свет, есть и тени, и индустрия блокчейнов не является исключением; но именно из-за существования компаний, занимающихся безопасностью блокчейнов, таких как SlowMist Technology, свет также может проникать в тень. Я считаю, что по мере развития индустрия блокчейнов станет более стандартизированной, и я с нетерпением жду будущего развития технологии SlowMist~