Діалог із командою безпеки SlowMist: як звичайні користувачі Web3 можуть безпечно досліджувати світ у мережі?

Автор: NFTGo Research

Як компанію, яка зосереджується на екологічній безпеці блокчейну, SlowMist Technology була заснована в січні 2018 року командою, яка більше десяти років займалася фронтовою мережевою безпекою, наступальною та оборонною боротьбою. SlowMist Technology незалежно виявила та оголосила про декілька поширених уразливостей безпеки блокчейну з високим ризиком у галузі, що привернуло широку увагу та визнання галузі.

Сучасні проблеми з безпекою блокчейну є частими, і Web3er також турбував це протягом тривалого часу. Тому в другому діалозі ми дуже раді запросити команду безпеки SlowMist поділитися з вами новинами про безпеку блокчейну та допомогти вам безпечніше досліджувати світ у ланцюзі. Почнемо зараз ~

**1. Спочатку познайомте всіх із Slow Mist. **

Відповідь: Привіт усім, SlowMist — це компанія, яка зосереджується на екологічній безпеці блокчейну. Наші можливості екологічної безпеки блокчейну складаються з трьох кілець: внутрішній рівень — це безпека відповідності, другий — технічна безпека, а третій — безпека. екологічна безпека. Технічна безпека в основному включає два основних напрямки діяльності: аудит безпеки та боротьбу з відмиванням грошей. Вміст аудиту безпеки включає код смарт-контракту проекту DeFi, централізовану біржу, додаток гаманця, гаманець плагіна браузера, базовий публічний ланцюжок, а також ми маємо службу тестування червоної команди, яка є однією з наші переваги. Протягом понад п’яти років, починаючи з 2018 року і дотепер, ми обслуговували багатьох відомих і провідних клієнтів у галузі, і у нас є тисячі комерційних клієнтів, які отримали високу оцінку. Для боротьби з відмиванням грошей у нас є мережева платформа відстеження MistTrack. Крім того, ми також дуже стурбовані відповідністю та безпекою. Відповідність є одним із важливих наріжних каменів довгострокового розвитку цієї галузі. У нас є суворі юридичні процедури для цільових проектів аудиту безпеки або співпраці з боротьби з відмиванням грошей. Ми знаємо, що безпека — це єдине ціле, і безпека потребує побудови повної системи безпеки, тому ми надаємо комплексні рішення безпеки, адаптовані до місцевих умов, від виявлення загроз до захисту від них. Простіше кажучи, це фактично військова система кругової оборони, ешелонована оборона. Виявлення загроз на самому зовнішньому рівні полягає у виявленні та ідентифікації загроз через партнерів у зоні SlowMist і власну систему аналізу загроз SlowMist (це також наша екологічна безпека), а потім опублікування їх у всій екосистемі для раннього попередження через медіа-канали; захист від загроз Це відноситься до нашої системи захисту, від BTI (Blockchain Threat Intelligence System) до розгортання індивідуальних і систематичних рішень захисту, впровадження гарячого та холодного посилення безпеки гаманця тощо, вибору безпеки мережі, безпеки контролю ризиків, безпеки гаманця та інших сфер для клієнтів. високоякісний постачальник рішень безпеки в Китаї дозволяє клієнтам гнучко вибирати та легко вирішувати різноманітні труднощі, що виникають у процесі розвитку бізнесу. Ми сподіваємося співпрацювати з високоякісними партнерами в галузі та спільноті, щоб спільно будувати безпеку, спільну оборонну роботу.

**2. Проблеми безпеки Web3 завжди непередбачувані. Окрім деяких основних правил, таких як копіювання мнемонічних фраз вручну та звернення уваги на автентичність веб-сайтів, чи має SlowMist якісь пропозиції щодо безпеки для Web3er, які часто взаємодіють? **

Відповідь: Оскільки мова йде про безпеку взаємодії, давайте спочатку розберемося, як звичайні атаки викрадають активи користувачів.

Зазвичай зловмисники викрадають ресурси користувача двома способами:

По-перше, змусьте користувачів підписати дані зловмисних транзакцій, які викрадають активи, наприклад, змусьте користувачів авторизуватися або передати активи зловмисникам. По-друге, змусити користувача ввести мнемонічну фразу гаманця на зловмисному веб-сайті чи програмі.

Дізнавшись, як зловмисник викрадає активи гаманця, ми повинні запобігти можливим ризикам:

1. Перед підписанням ви повинні ідентифікувати підписані дані, знати, для чого призначена транзакція, яку ви підписали, уважно перевірити, чи правильний підписаний об’єкт і чи не є авторизована сума занадто великою;
2. Використовуйте апаратні гаманці якомога частіше. Оскільки апаратні гаманці зазвичай не можуть напряму експортувати мнемонічні слова чи приватні ключі, це може підвищити поріг для приватного ключа мнемонічних слів, які можуть бути викрадені;
3. Різноманітні техніки та інциденти фішингу виникають нескінченно. Користувачі повинні навчитися самостійно розпізнавати різні методи фішингу, підвищити рівень безпеки, проводити самоосвіту, щоб уникнути обману, і оволодіти навичками саморятування. Шахрайство або фішинг. Звичайно, я настійно рекомендую всім прочитати «Посібник із самодопомоги в темному лісі блокчейну», створений SlowMist, який повний сухих речей;
4. Рекомендується, щоб користувачі підтримували різні гаманці для різних сценаріїв, щоб контролювати ризик активів. Наприклад: велика кількість активів зазвичай не використовується часто. Рекомендується зберігати їх у холодному гаманці та переконатися, що мережеве та фізичне середовище є безпечними під час їх використання. Гаманцям, які беруть участь у таких діях, як airdrops, рекомендується зберігати невеликі активи через їх високу частоту використання. Гаманцем можна керувати ієрархічно різними активами та частотою використання, щоб гарантувати контрольованість ризиків.

**3. 8.16 бос косинуса надіслав цікавий твіт — звідки взялася ваша ілюзія, що «Mac безпечніший за комп’ютери Win»? Для користувачів Web3, що, на думку SlowMist, є перевагами та недоліками комп’ютерів Mac і Win? **

Відповідь: Так, цей твіт також викликав багато дискусій. Навпаки, ми запитали: «Звідки береться ілюзія, що Win більш безпечний, ніж комп’ютери Mac?» Це також схожий кут і відповідь. З точки зору односистемного захисту від вторгнення, закритий характер Mac і строгий контроль дозволів справді кращі, ніж Windows, і глобальна частка комп’ютерного ринку Mac дуже низька, тоді як на Win припадає велика частка, тому більше атак відбуваються на Win Поверхня атаки занадто зріла. Буде перебільшенням сказати, що 99% нинішнього персоналу безпеки, який займається інфільтрацією, вторгненням і APT, не будуть націлені на Mac. Навпаки, 100% з них будуть націлені на Win. Крім того, що було сказано вище, якщо ви атакуєте Mac і Win за допомогою троянського коня, що запобігає вбивству, основний результат буде тим самим, і вас буде вражено. Загалом, половина обладнання – це половина окремої людини. Якщо користувача недостатньо обізнано про безпеку, його легко обдурити й спричинити імплантацію на комп’ютер шкідливих програм, що може призвести до викрадення конфіденційних даних на комп’ютер (наприклад, мнемотехніка). Зловмисне програмне забезпечення може поводитися різними способами, воно може ховатися у вкладенні електронної пошти або використовувати камеру вашого пристрою, щоб стежити за ним. Рекомендується, щоб кожен підвищив свою обізнаність щодо безпеки, наприклад, не легко завантажувати та запускати програми, надані користувачами мережі, а завантажувати програми, програмне забезпечення або медіафайли лише з надійних сайтів; не легко відкривати вкладення з незнайомих електронних листів; регулярно оновлювати операційну систему, щоб отримати найновіший захист безпеки; установіть на пристрій антивірусне програмне забезпечення, наприклад Kaspersky.

**4. У багатьох проектів були вкрадені «кошти». Що, на думку SlowMist, є основними причинами проблем безпеки? Чи можна бути охороняним і вкраденим? **

Відповідь: Згідно зі статистичними даними SlowMist Hacked, станом на 24 серпня у 2023 році буде 253 інциденти з безпекою зі збитками до 1,45 мільярда доларів США. З точки зору зловмисних методів блокчейну існує в основному кілька аспектів: фішингові атаки, атаки на троянських коней, атаки на обчислювальну потужність, атаки на смарт-контракт, атаки на інфраструктуру, атаки на ланцюги поставок і внутрішні злочини. Розглянемо для прикладу поширені атаки на смарт-контракт. Існують наступні методи атаки: атаки на флеш-позики, лазівки в контрактах, проблеми сумісності чи архітектури, а також деякі методи: зловмисні атаки на передньому плані та фішинг для розробників. Крім того, коли мова заходить про самовикрадення, ми повинні згадати про витік закритих ключів. Витік приватних ключів залежить від ситуації, і витік приватних ключів окремих осіб і бірж дуже різний. Стався витік особистого приватного ключа. Як правило, приватний ключ або мнемоніка зберігається в Інтернеті, як-от колекція WeChat, поштова скринька 163, нагадування, нотатки Youdao та інші служби хмарного зберігання. Хакери часто збирають бази даних облікових записів і паролів, витоку в Інтернеті, наприклад паролі облікових записів відкритого тексту CSDN багато років тому, а потім переходять на ці веб-сайти хмарних сховищ і хмарних служб, щоб спробувати. Якщо вхід успішний, зайдіть всередину, щоб дізнатися, чи є Crypto пов’язаний вміст. Обмін є складнішим. Загалом, це велика хакерська організація, яка має можливість зламати рівень безпеки обміну та крок за кроком вторгатися, щоб отримати приватний ключ гарячого гаманця на сервері обміну. . Ось спеціальне нагадування, що це незаконна дія, і її не можна імітувати. Ми пропонуємо, щоб сторона проекту зробила все можливе, щоб знайти охоронну компанію для проведення аудиту безпеки коду свого власного проекту, щоб підвищити рівень безпеки проекту. Вона також може випустити Bug Bounty, щоб уникнути проблем безпеки під час безперервної роботи. У той же час, рекомендується, щоб усі проекти Fang вдосконалювали внутрішнє управління та технічний механізм, а також підвищували інтенсивність захисту активів шляхом запровадження механізму мультипідпису та механізму нульової довіри.

**5. Перехресний ланцюговий міст колись отримав прізвисько: AKA хакерський банкомат. Для Web3er, який відносно новачок у технології, на які моменти слід звернути увагу під час використання крос-ланцюгових мостів? **

Відповідь: коли мова заходить про крос-ланцюгові мости, по-перше, бізнес міжланцюгових мостів є складним, і кількість коду є великою, і під час кодування та впровадження можуть виникати лазівки; по-друге, безпека третього Сторонні компоненти, на які посилаються в проекті, також є однією з важливих причин уразливості безпеки; нарешті, однак відсутність більшої спільноти розробників для крос-ланцюгових мостів означає, що код не досліджувався широко й ретельно на наявність потенційних помилок. Для користувачів, коли ви використовуєте перехресний міст, важливо розуміти, як захищені ваші кошти. Ви можете подивитися на рівень ризику перехресного мосту за деякими параметрами, наприклад: чи є проектний контракт відкритим кодом? Чи є проект багатостороннім аудитом безпеки? Схема керування закритим ключем — це багатостороннє обчислення MPC? Або багатовузловий мультипідпис? Або закритий ключ зберігається стороною проекту? Вибираючи крос-ланцюжковий міст, користувачі також повинні вибирати ті крос-ланцюгові команди з потужними можливостями безпеки. По-перше, вони повинні мати всі версії аудиту безпеки коду, а по-друге, команда повинна мати штатний персонал безпеки. Ми також рекомендуємо, щоб відповідні команди крос-ланцюгового мосту могли працювати. Будьте більш прозорими, щоб можна було отримати більше запитань і пропозицій від користувачів, а прогалини можна було перевірити та вчасно заповнити.

**6. Окрім деяких поширених випадків шахрайства та фішингу, чи може SlowMist навести кілька прикладів, які є відносно рідкісними та від яких важко захиститися? **

Відповідь: Раніше ми повідомляли про випадки, коли зловмисники використовували недоліки в реалізації WalletConncet гаманців Web3, щоб підвищити рівень успішності фішингових атак. Зокрема, коли деякі гаманці Web3 підтримують WalletConncet, немає обмежень щодо того, в якій області з’явиться спливаюче вікно транзакції WalletConncet, але запит на підпис з’явиться в будь-якому інтерфейсі гаманця. Зловмисники використовують цей недолік, щоб направляти користувачів через Фішингові веб-сайти. WalletConncet підключається до фішингових сторінок, а потім постійно створює шкідливі запити підпису eth_sign. Після того, як користувач визнає, що eth_sign може бути небезпечним, і відмовляється підписувати, оскільки WalletConncet використовує wss для з’єднання, якщо користувач вчасно не закриє з’єднання, фішингова сторінка продовжить ініціювати зловмисні запити підпису eth_sign. Іноді Велика ймовірність того, що кнопку підпису буде натиснуто помилково, що призведе до крадіжки активів користувача. Насправді, поки ви залишаєте або закриваєте браузер DApp, підключення WalletConncet має бути призупинено. В іншому випадку, коли користувач раптово вискакує з підпису під час використання гаманця, його легко заплутати та призвести до ризику крадіжки. Сказавши це, дозвольте мені ще раз згадати eth_sign. eth_sign — відкритий метод підпису, який часто використовувався зловмисниками для фішингу протягом останніх двох років. Він дозволяє довільний хеш, тобто будь-яка транзакція або будь-які дані можуть бути підписані, що становить небезпечний ризик фішингу. Під час входу або входу вам слід уважно перевірити програму чи веб-сайт, які ви використовуєте, і не вводьте пароль і не підписуйте транзакцію, якщо вона незрозуміла. Відмова від сліпого підпису може уникнути багатьох ризиків безпеки.

**7. Я хочу почути, який найсерйозніший інцидент безпеки, з яким SlowMist стикався у сфері безпеки блокчейну за стільки років? **

Відповідь: За останні два-три роки мене найбільше вразив інцидент з Poly Network, який стався у 2021 році. Близько 20:00 10 серпня, коли стався напад, ми тримали високу увагу, аналізуючи процес нападу, відстежуючи рух коштів, підраховуючи вкрадені збитки тощо, відчуваючи себе трохи на передовій. . А втрата в розмірі 610 мільйонів доларів США на той час була розцінена як особливо велика втрата в результаті нападу. Наша команда негайно оприлюднила аналіз атаки та інформацію про IP-адресу зловмисника, яку ми знайшли о 5:00 ранку 11 числа. О 16:00 11 числа хакер був під сильним тиском, щоб почати повертати активи. Деякі коментарі, зроблені хакерами в ланцюжку в подальшому, також були більш «цікавими». Весь процес був дуже повноцінним для охоронної компанії.

8. Наостанок задайте цікаве запитання. Нові технології, такі як формальна перевірка та аудит штучного інтелекту, продовжують розвиватися. Як SlowMist дивиться на розвиток нових технологій?

В: Що стосується нових технологій, таких як ChatGPT для підвищення ефективності традиційного тексту, наприклад CodeGPT для підвищення ефективності написання коду. Ми також використовували історично поширені коди вразливостей як внутрішні тестові випадки, щоб перевірити здатність GPT виявляти основні вразливості. Результати тестування показали, що модель GPT добре виявляє прості вразливі блоки коду, але тимчасово не може виявляти дещо складніші вразливі коди, і загальну контекстну читабельність GPT-4 (веб) можна побачити в тесті Дуже висока , вихідний формат є відносно чітким. GPT має часткові можливості виявлення основних простих уразливостей у контрактних кодах, і після виявлення уразливостей пояснює вразливості з високою читабельністю. Така функція більше підходить для надання швидких інструкцій для попереднього навчання молодших контрактних аудиторів та простих запитань. Але є й недоліки: наприклад, GPT має певні флуктуації у виводі кожного діалогу, які можна регулювати за допомогою параметрів інтерфейсу API, але це все одно не є постійним виходом. Хоча така мінливість є хорошим способом для мовного діалогу, він великий, але це погане питання для класів аналізу коду. Тому що для того, щоб охопити різні відповіді щодо вразливості, які може повідомити нам штучний інтелект, нам потрібно запитувати одне й те саме запитання кілька разів і виконувати порівняльний відбір, що непомітно збільшує навантаження та порушує контрольну мету штучного інтелекту допомагати людям підвищувати ефективність. Крім того, виявлення дещо складніших уразливостей покаже, що поточна модель навчання (2024.3.16) не може правильно проаналізувати та знайти відповідні ключові точки вразливості. Незважаючи на те, що здатність GPT аналізувати та виявляти вразливості контрактів наразі відносно слабка, її здатність аналізувати невеликі блоки коду поширених уразливостей і створювати тексти звітів усе ще захоплює користувачів. Завдяки навчанню та розробці цього GPT та інших моделей AI, вважається, що що швидші, розумніші та більш комплексні допоміжні аудити для великих і складних контрактів точно будуть реалізовані.

Висновок

Щиро вдячні за відповідь від команди безпеки SlowMist. Там, де є світло, є й тіні, і індустрія блокчейнів не є винятком; але саме через існування компаній із захисту блокчейнів, таких як SlowMist Technology, світло також може проникати в тіні. Я вірю, що з розвитком індустрія блокчейну стане більш стандартизованою, і я з нетерпінням чекаю майбутнього розвитку технології SlowMist ~