Експерти з провідних установ розповідають про практики безпеки Web3, і AWS Web3 Developer Camp 2023 — чудовий огляд

7 грудня на майданчику заходу AWS Causeway Bay успішно відбувся табір розробників Web3, очолюваний Amazon Web Services (AWS) та ексклюзивно підтриманий спільнотою CrossSpace. Як офлайн-сесія обміну серією семінарів «Безпека Web3», цей захід успішно запросив експертів і керівників з безпеки Web3, гаманців, публічних мереж L1/L2, хмарних сервісів, бірж та інвестиційних установ поділитися на місці, представивши конференцію з безпеки Web3, повну сухих продуктів і широко обговорювану.

Як лідер на світовому ринку хмарних сервісів, AWS приділяє увагу та активно досліджує практики безпеки в індустрії Web3. Взявши на себе провідну роль в організації низки заходів з безпеки, AWS сподівається допомогти підвищити обізнаність практиків галузі щодо безпеки, побудувати стійку екосистему Web3 та закласти основу для здорового розвитку різних напрямків у 2024 році. У конференції взяли участь експерти та учасники дискусії з низки лідерів галузі, зокрема (у довільному порядку): Beosin, Conflux, Hashkey Exchange, OKX Wallet, Polkadot, Scroll, SlowMist, SNZ Capital і Taiko.

На початку статті розглянемо гарячі теми круглого столу на цьому заході. На цій сесії ми запросили керівників та експертів провідних Web3-інституцій Taiko, Hashkey Exchange, Beosin та SNZ Capital, щоб поговорити про те, як їхні проєкти реалізують місію безпеки Web3, а також нам пощастило почути, як Conflux та Scroll, популярні публічні мережі L1/L2, вперше діляться своїми технологіями та дорожньою картою екологічного розвитку на 2024 рік офлайн.

Зліва направо: Леон, генеральний директор CrossSpace (модератор), Майкл Інвестиційний менеджер в SNZ Capital, Теренс, директор зі стратегії Taiko, Мін Ву, технічний директор Conflux, Маркус Лю, керівник відділу розвитку в Азіатсько-Тихоокеанському регіоні в Scroll, Вінсент Вонг, директор з біржових продуктів Hashkey Exchange, і Ітон, дослідник безпеки в Beosin.

Круглий стіл Hot Talk**: На які питання безпеки варто звернути увагу Web3***** проєктам*?**

У процесі розробки проєкти Web3 схильні сліпо прагнути до розширення ринку та ігнорувати базову безпеку, а низка масштабних інцидентів крадіжки коштів у мережі цього року забила на сполох для практиків Web3. Ітон, дослідник безпеки в Beosin, який глибоко занурений у сферу безпеки, дав такі пропозиції команді проєкту: «Команді проєкту необхідно навчитися використовувати штучний інтелект та інструменти аудиту, щоб прискорити процес перевірки та виявити вразливості контрактів на початку роботи, щоб заощадити час аудиту та вирішити складні завдання бізнес-логіки. На етапі розробки проєкту команді необхідно забезпечити точність бізнес-логіки, зосередившись на тестуванні та використанні тест-орієнтованого підходу до розробки. У той же час важливо обережно ставитися до інтеграції сторонніх додатків, щоб запобігти впровадженню невідомих вразливостей безпеки. Після завершення проекту настійно рекомендується, щоб команда проекту найняла професійну команду аудиторів для проведення аудиту, який допоможе виявити та усунути потенційні вразливості для забезпечення безпеки проекту. "

SNZ Capital має великий досвід інвестування в інфраструктуру Web3 та проєкти додатків. Майкл, інвестиційний менеджер, також висловив важливість, яку SNZ надає безпеці своїх портфельних компаній: «Безпека має першорядне значення для SNZ і є важливим фактором у нашій інвестиційній стратегії. З цією метою ми налагодили партнерські відносини з охоронними компаніями для надання повного спектру охоронних послуг командам розробників наших портфельних проектів. На додаток до управління безпекою в сфері інфраструктури та проміжного програмного забезпечення, ми також надаємо послуги пост-менеджменту для цих компаній, гарантуючи, що вони отримують послуги від постачальників безпеки, з якими ми знайомі. Ми вимагаємо, щоб наші портфельні компанії надавали пріоритет безпеці у своїх бізнес-стратегіях і розуміли важливість аудитів безпеки, включаючи шахрайство в режимі реального часу, моніторинг вразливостей та оцінку сумісності, щоб забезпечити безпеку за задумом. "

Круглий стіл Hot Talk**:** Як добре керований проєкт Web3** реалізує практики безпеки****?**

Як швидкозростаючий ZK-rollup з відкритим вихідним кодом в екосистемі ETH, Taiko забезпечує свою безпеку завдяки повністю децентралізованій архітектурі та участі мультивалідаторів у верифікації. Теренс, співавтор і головний стратегічний директор Taiko, сказав під час круглого столу: «Taiko — це зведена мережа рівня 2, еквівалентна ETH, з повністю децентралізованою архітектурою. Його сильні сторони включають відкритий вихідний код, створення спільноти та безпеку, а також він прагне забезпечити якість та безпеку коду за участю глобальних учасників. В даний час Taiko знаходиться в тестовій мережі з більш ніж 10 000 вузлів пропозицій і валідаторів, і очікується, що це число продовжить зростати. Це означає, що користувачам не потрібно довіряти Taiko, і у нас немає централізованого секвенсора, що є важливою особливістю, яка відрізняє нас від інших мереж рівня 2. "

Як ліцензована біржа віртуальних активів у Гонконзі, яка має справу безпосередньо з користувачами інвестицій, Hashkey останнім часом розширює асортимент своїх продуктів, і те, як забезпечити впевненість і довіру клієнтів, є одним із її головних пріоритетів. «Hashkey Exchange зобов’язується суворо дотримуватися політики зберігання, встановленої SFC. 98% активів надійно зберігаються в холодних гаманцях, і лише 2% зберігаються в гарячих гаманцях, щоб забезпечити високий рівень безпеки активів. З метою подальшого захисту прав та інтересів інвесторів ми налагодили партнерські відносини зі страховими компаніями, такими як AON та OneDegree, щоб забезпечити користувачам додатковий страховий захист. Вінсент Вонг, директор з продуктів Hashkey Exchange, також поділився: «Hashkey Exchange починається з перевірки KYC, щоб переконатися, що наші клієнти є законними та автентичними. У той же час ми надаємо функцію нагадування пароля та вимагаємо від користувачів регулярно змінювати свої паролі, щоб підвищити безпеку своїх облікових записів. На додаток до цього, ми також надамо освітні матеріали нашим клієнтам, запрошуючи їх вивчати, досліджувати та розуміти знання про блокчейн та пов’язані з ними засоби. Таким чином, ми сподіваємося, що зможемо побудувати довгострокову довіру та відносини з нашими клієнтами, гарантуючи, що вони почуваються в безпеці та захищені під час торгівлі з нашою платформою. "

Круглий стіл Hot Talk**:** Layer1/2****Провідний розвиток технологій публічної мережі та екологічна підтримка

Як провідний представник публічної мережі Layer 1, Conflux нещодавно оголосив свою дорожню карту для розробників на 2024 рік. Технічний директор Мін Ву поділився кількома напрямками плану Conflux щодо покращення досвіду розробників, включаючи активний пошук програмованих рішень для доступності даних, які дозволяють смарт-контрактам взаємодіяти з незалежними рівнями DA для ефективного зберігання та отримання великомасштабного стану; Зусилля з інтеграції платформи штучного інтелекту в Conflux і позиціонування її як стимулюючого рівня; Активно досліджуйте гетерогенні архітектури віртуальних машин для покращення масштабованості та розширення екосистеми, а також досліджуйте інтеграцію багатосторонніх обчислень (MPC) для покращення захисту конфіденційності та можливостей захисту від MEV. «Ми з нетерпінням чекаємо можливості зробити нашу технологію більш зрілою та практичною в найближчі кілька років, покращивши продуктивність системи, щоб адаптуватися до більшої кількості сценаріїв застосування», — сказав Мін Ву. "

Scroll, представник іншої публічної мережі рівня 2, яка нещодавно була запущена в основній мережі, також поділився своїми нещодавніми практиками екологічної безпеки. Маркус Лю, керівник відділу розвитку Scroll Asia Pacific, сказав: «З точки зору безпеки, основним джерелом безпеки для Scroll є наш ZKP, який використовує математичні принципи ZK, щоб гарантувати, що ZKEVM є безпечним і надійним результатом роботи, і буде завантажений в ETH як ланцюжок першого рівня для перевірки ZK Proof. На додаток до суворого аудиту всіх контрактів і схем, Scroll також відкрив програму Bug Bounty для роботи з членами спільноти для посилення безпеки в дусі відкритого вихідного коду. Наступні кроки в Дорожній карті для децентралізованого Prover і Децентралізованого секвенсера також можуть підвищити децентралізацію та безпеку Scroll. "

Окрім круглого столу, також варто скуштувати тренінг AWS [Web3 Ethical Hacking and Best Security Practices], а також обмін сухими продуктами від агентства безпеки SlowMist, публічної мережі нового покоління Polkadot та експертів Web3-додатку OKX Wallet. Далі давайте наблизимося до передової лінії безпеки за допомогою записів, щоб зрозуміти знання та досвід категорій ризиків безпеки, практичних стратегій безпеки, безпеки на стороні додатків та безпеки екологічного розвитку.

Уразливості смарт-контрактів продовжують домінувати в списку як три основні категорії хакерських атак у 2023

Уразливості смарт-контрактів продовжують залишатися одним із найпоширеніших видів злому у 2023 році. Згідно зі звітом про безпеку охоронної фірми Beosin у третьому кварталі цього року, контрактні експлойти є третьою за популярністю категорією атак після витоків приватних ключів та атак на бази даних. 22 експлуатації контрактів призвели до загальних збитків у розмірі приблизно 93,27 мільйона доларів. Згідно з розподілом вразливостей, найбільше втрат принесли уразливості повторного входу, а близько 82,8% втрат у подіях вразливості контрактів припали на уразливості повторного входу. "

Архітектори рішень AWS Web3 Девід Сон і Гонг Тао поділилися трьома типами хакерських інцидентів, які зазвичай спостерігаються в смарт-контрактах, включаючи експлойти повторного входу. У цій категорії атак зловмисник використовує вразливість безпеки в контракті, щоб багаторазово викликати одну й ту саму функцію до завершення транзакції, що призводить до багаторазових переказів або споживання коштів контракту. Ця атака часто пов’язана з недоліком у дизайні контракту або відсутністю адекватних захисних стратегій. Оскільки атаки повторного входу становлять серйозну загрозу безпеці та стабільності смарт-контрактів, захист від атак повторного входу слід вважати критично важливим завданням при розробці смарт-контрактів.

Інші два найбільш поширених типи атак включають атаки делегованого виклику, атаки цілочисельного переповнення та атаки андерфлоу. АТАКИ ВИКЛИКУ ДЕЛЕГАТІВ ПРИЗНАЧЕНІ ДЛЯ ПОЛЕГШЕННЯ ПОВТОРНОГО ВИКОРИСТАННЯ КОДУ, А EVM НАДАЄ ДЕЛЕГОВАНИЙ ВИКЛИК КОДУ ОПЕРАЦІЇ ДЛЯ ВСТАВКИ БАЙТ-КОДУ КОНТРАКТУ АБОНЕНТА В БАЙТ-КОД КОНТРАКТУ АБОНЕНТА. Таким чином, шкідливий цільовий контракт може безпосередньо змінювати (або маніпулювати) змінні стану контракту абонента. Атаки цілочисельного переповнення та андерфлоу – це атаки, які виникають, коли результат арифметичної операції виходить за межі області дії типу даних Solidity, що призводить до несанкціонованого маніпулювання змінними його стану.

Якщо ви хочете дізнатися, як боротися з хакерськими атаками, ви можете звернутися до практичного курсу AWS Web3 Ethical Hacking and Best Security Practices Security Practices і відвідати відповідну спеціальну сторінку.

Політики безпеки до, під час та після запуску проєкту Web3

Web3-проєкти повинні знати про потенційні ризики безпеки з самого початку своєї роботи, а інциденти безпеки часто трапляються в смарт-контрактах, блокчейн-гаманцях і біржах. Тоні, керівник спільноти SlowMist у Гонконзі, сказав: «Перед обличчям інцидентів безпеки блокчейну, SlowMist надаватиме рішення на трьох етапах: до, під час та після інциденту. Команда проекту може оцінити потенційні ризики з точки зору безпеки відповідно до власного етапу розробки.

Перш ніж станеться інцидент безпеки, команда проєкту може провести комплексний тест на потенційні ризики безпеки. На цьому етапі тест Red Teaming від SlowMist може допомогти команді проекту оцінити потенційні атаки з боку реальних вразливостей, таких як корпоративний персонал, корпоративні бізнес-системи, корпоративні ланцюги поставок, корпоративні офісні системи та фізична безпека підприємства, а також надати індивідуальні рішення для захисту безпеки для пріоритетного захисту вразливих вузлів і збільшення витрат зловмисників.

У разі інциденту безпеки команда проєкту повинна посилити моніторинг у режимі реального часу ончейн і офчейн безпеки, а також співпрацювати з охоронними компаніями для своєчасного виявлення та реагування на потенційні загрози безпеці. Після того, як стався інцидент безпеки, слід негайно вжити захисних заходів, таких як використання служб підтримки реагування на надзвичайні ситуації SlowMist, а також ончейн і офчейн служб відстеження та розслідування, щоб своєчасно захиститися від атак і з’ясувати першопричину інциденту.

Враховуючи, що багатьом командам проєктів Web3 потрібно враховувати безпеку на етапі розробки коду, а не покладатися лише на короткострокові вказівки від компаній, що займаються безпекою, SlowMist відкрив вихідний код своїх вимог до практики безпеки проєктів Web3 на Github, детально перерахувавши ризики безпеки, на які потрібно звернути увагу в середовищі розробки. Це ефективно стимулюватиме команду проєкту створювати та вдосконалювати власні системи безпеки на основі вимог практик безпеки проєктів Web3, а також мати певні можливості безпеки після аудитів безпеки.

Активно впроваджуйте передові технології**, Створіть безпечну Web3 програму

Зі зрілістю базової технології блокчейну один за одним з’являється все більше інтерфейсних додатків Web3, і гаманець OKX, безсумнівно, є продуктом із чудовим користувацьким досвідом. Як покращити взаємодію з користувачем, забезпечуючи при цьому безпеку коштів і даних користувачів? Даррел Ван (Darrel Wang), менеджер із продуктів OKX Wallet, поділився своїми секретами зміцнення безпеки в нижній частині системи, повноцінних можливостей безпеки та активного впровадження передових технологій безпеки. Поділимося ним нижче:

Перш за все, гаманець OKX було вдосконалено на системному рівні, щоб гарантувати, що продукти, пов’язані з активами користувачів, мають безпеку фінансових установ. Посилюючи безпеку програми, ми прагнемо запобігти злому та гарантувати, що користувачі здійснюють транзакції в безпечному середовищі.

По-друге, OKX Wallet фокусується на можливостях безпеки повного стека. Від служб вузлів, провідників блоків до користувацьких терміналів, повні можливості висхідного та низхідного сервісів забезпечують відповідність продукту та відмінну продуктивність безпеки у всьому процесі. Наприклад, функція проактивного попередження про ризики, передбачена продуктом, активно запобігає появі фішингових веб-сайтів, додатково забезпечуючи безпеку активів користувачів.

По-третє, гаманець OKX наголошує на інноваціях і активно використовує передові технології. Цього року він запустив обліковий запис смарт-контракту на основі протоколу абстракції облікового запису (EIP-4337), який значно покращить можливості управління безпекою гаманця. Гаманець MPC no private key у своїй лінійці використовує багатосторонню технологію безпечних обчислень, щоб зменшити ризик захисту приватного ключа, викликаного єдиною точкою відмови, щоб користувачі не боялися втратити свої приватні ключі.

OKX Wallet позиціонує себе як технологічна, а не фінансова компанія. Їхня мета — вирішувати проблеми з точки зору основних принципів і технологій продукту, а також надавати користувачам безпечний і зручний досвід цифрових транзакцій.

Фреймворк Substrate допомагає розробникам створювати більш безпечні блокчейни

Багато розробників знайомі з Substrate, модульним і розширюваним фреймворком блокчейну з відкритим вихідним кодом для створення блокчейнів. Базовий блокчейн-фреймворк Polkadot Relay Chain побудований за допомогою Substrate. Отже, як Substrate забезпечує безпеку для розробників у цій екосистемі? Джиммі, основний розробник екосистеми Polkadot, зазначив на заході, що в рамках фреймворку Substrate розробники можуть попередньо створювати компоненти (піддони), надані професійними інженерами Parity, які можуть бути оновлені під час виконання, не вимагають ланцюгових форків і мають різноманітні механізми консенсусу на вибір, досягаючи сумісності та безпеки між різними ланцюгами.

Джиммі також зазначив, що основна мета Polkadot полягає в тому, щоб забезпечити міжланцюгову сумісність і масштабованість блокчейну. Polkadot з’єднує різні блокчейни, щоб вони могли спілкуватися один з одним і працювати в гармонії. Ця архітектура дозволяє обмінюватися даними та передавати цінності між різними блокчейнами, підвищуючи ефективність та масштабованість усієї мережі. Його архітектура включає ретрансляційний ланцюг і парачейн, де ретрансляційний ланцюг відповідає за перевірку та безпеку, а парачейн забезпечує певні функції. Крім того, Polkadot зосереджується на компромісі між трьома ключовими атрибутами: масштабованістю, безпекою та децентралізацією, а також застосовує унікальний архітектурний підхід і технологію моста для досягнення безпечної та ефективної передачі активів.

Web3** проектна команда повинна добре розбиратися в інфраструктурі хмарних сервісів****,** Зосередьтеся на категорії послуг, безпеці та гнучкості

Хмарні сервіси є особливо важливою базовою інфраструктурою Web3, від бірж, публічних ланцюжків до фронтенд-додатків, які невіддільні від хмарних сервісів. Для Web3-проєктів особливо важливим є обсяг послуг, безпека та гнучкість платформи хмарних сервісів. AWS є «відомим» постачальником хмарних послуг у Web3, і Девід Девід, архітектор рішень AWS, відповів на ці три аспекти на заході.

З точки зору категорій послуг, AWS є найпоширенішою у світі хмарною платформою, яка пропонує понад 200 багатофункціональних послуг, включаючи глобально розподілені центри обробки даних, для задоволення унікальних інфраструктурних потреб різних компаній Web3. AWS обслуговує багато проєктів Web3, і сім найпоширеніших сервісів AWS включають: EC2 (Nitro Enclaves), KMS/CloudHSM, API Gateway, S3, Elastic Block Store, Shield Advanced і WAF.

З точки зору безпеки, AWS прагне надавати послуги з безпеки, відповідності та управління для сторін проєкту. За допомогою системи AWS Nitro безпека вбудована в рівень чіпа, постійно відстежуючи, захищаючи та перевіряючи апаратне забезпечення екземплярів, мінімізуючи потенційну поверхню атаки. AWS також підтримує більше стандартів безпеки та сертифікатів, ніж будь-який інший хмарний провайдер. Серед них Nitro Enclaves у поєднанні з KMS/CloudHSM надає користувачам Web3 BUIDL найкраще хмарне рішення для керування безпекою приватних ключів і широко використовується в галузі, тоді як Shield Advanced і WAF забезпечують захист безпеки для dApps, Node та різних рівнів інфраструктури Web3.

З точки зору гнучкості, AWS надає власникам проектів різноманітні категорії послуг і варіанти ціноутворення на різні продукти, щоб допомогти їм оптимізувати витрати. Девід додає: «Ми пропонуємо широкий вибір послуг аналітики та машинного навчання, щоб задовольнити практично всі потреби вашого проекту в аналізі даних. Від переміщення даних, зберігання даних, аналітики великих даних, аналітики журналів, потокової аналітики, бізнес-аналітики та машинного навчання (ML), ми надаємо вам гнучкість у виборі послуг для зниження витрат. "

Якщо вам потрібно знати, як створювати безпечні хмарні програми на AWS і підтримувати екосистему Web3, надану AWS, ви можете натиснути, щоб дізнатися більше.

Вищесказане є суттю цієї події, я сподіваюся надихнути розробників Web3 BUIDLers. Ми щиро сподіваємося, що екосистема Web3 зможе розпочати наступний етап швидкого зростання завдяки постійному консенсусу щодо безпеки всіх сторін у галузі, і CrossSpace продовжуватиме співпрацювати з AWS, високоякісними компаніями з безпеки в галузі та учасниками екосистеми Web3, щоб надати більше спільних заходів для всіх.