2 a! J8 F8 K7 S; F4 r M无法确保“完美”安全性的平台将不得不使用漏洞缓解措施来降低损失的可能性。这可能会通过减少其成本收益分析的“收益”或上行空间来阻止攻击者。 ) b3 t2 x O6 b) q1 h+ m- l7 ?, y$ J7 P/ L5 z: c8 t4 R
分类攻击4 B- E) v% B5 ~5 A2 f, i; s' r
对不同系统的攻击可以根据它们的共同特征进行分类。定义特征包括攻击的复杂程度、攻击的自动化程度以及可以采取哪些预防措施来防御它们。: v) r7 \- B/ {; W) V$ Y `
4 {% f) h1 f/ \9 }; S, L1 h
以下是我们在过去一年中最大的黑客攻击中看到的攻击类型的非详尽列表。我们还包括了我们对当今威胁形势的观察以及我们预计未来 web3 安全性的发展方向。# v( j& |9 ]" J# P, d) z6 J
' H, c. U& F- {- }8 pAPT操作:顶级掠食者 - E& O# w$ a9 n* h6 M4 p- S ( ~, H" h! |, y1 _专家级对手,通常被称为高级持久威胁(APT),是安全的恶魔。他们的动机和能力差异很大,但他们往往很富裕,正如这个绰号所暗示的那样,他们坚持不懈;不幸的是,他们可能永远在身边。不同的APT运行许多不同类型的运营,但这些威胁行为者往往最不可能直接攻击公司的网络层来实现其目标。 + p/ M* G2 ?! F) |/ T a/ y% `$ v : F, W6 P4 `1 c# u0 `9 [+ o; l6 l' O我们知道一些高级团体正在积极瞄准 web3 项目,我们怀疑还有其他人尚未确定。最受关注的 APT 背后的人往往生活在与美国和欧盟没有引渡条约的地方,这使得他们更难因其活动而受到起诉。最著名的 APT 之一是 Lazarus,这是一个朝鲜组织,联邦调查局最近将其归因于进行了迄今为止最大的加密黑客攻击。& T9 Y c J3 d" }& E
7 S' Z0 l- X7 z# [! M
举例:Ronin 验证器被破解3 d* ], l; w) E. R; J
- K' }$ @5 O9 L- M简要概括:, l, W& Q* ^" G5 @
$ ?" H2 R \. w: i谁:民族国家、资金雄厚的犯罪组织和其他先进的有组织的团体。例子包括Ronin黑客(Lazarus,与朝鲜有广泛联系)。 i' g; K* Z4 A; \5 { G
& r; v; @2 P j9 y. \% Q9 W. d
复杂性:高(仅适用于资源丰富的群体,通常在不会起诉的国家/地区)。 8 Y/ A! Y4 x7 ~ s9 z: E. [ _& a5 U7 }: h* n# v' N4 S
可自动化性:低(仍然主要是使用一些自定义工具进行手动操作) ) B6 \/ N# J- G 6 s9 Y$ H$ D( _4 {对未来的期望:只要 APT 能够将其活动货币化或实现各种ZZ目的,它们就会保持活跃。 ' t$ H8 p8 Z; A+ H# {3 `% Q$ x- J9 k# w
以用户为目标的网络钓鱼:社会工程师4 o0 { O7 X# F( L2 o+ k0 [$ l) E
4 ~! X) K6 {$ t& `
网络钓鱼是一个众所周知的普遍问题。网络钓鱼者试图通过各种渠道发送诱饵消息来诱捕他们的猎物,这些渠道包括即时通讯、电子邮件、Twitter、电报、Discord 和被黑网站。如果您浏览垃圾邮件邮箱,您可能会看到数百次企图诱使您泄露密码等信息或窃取您的钱财。 ( f+ |+ t8 k: t A' j, L+ ]2 X2 B
现在 web3 允许人们直接交易资产,例如代币或NFT,几乎可以立即确定,网络钓鱼活动正在针对其用户。这些攻击是知识或技术专长很少的人通过窃取加密货币来赚钱的最简单方法。即便如此,对于有组织的团体来说,它们仍然是一种有价值的方法来追踪高价值目标,或者对于高级团体来说,通过例如网站接管来发动广泛的、耗尽钱包的攻击。 ) ]8 c! X4 k/ r. R4 J0 ~
, m0 V& e; g1 o9 y
举例: 8 n! b# Q/ |. |# R+ W2 R+ _9 Q) S6 a( P
直接针对用户的OpenSea: ~, P! x# I6 D& P; \
5 @! T A# L( M! x+ x9 G" x
网络钓鱼活动9 B$ K6 s" P! d) c2 x( o
* G. {1 r% u3 y4 r4 p* {最终包含应用程序的BadgerDAO网络钓鱼攻击3 b# C4 W8 Z& E0 k6 Y+ s+ L
+ s* m2 ?6 f& W- O& w
简要概括: # w+ v% ^! Y9 b D1 ]' A% |3 d1 ~9 W, L6 l- t- {
谁:从脚本小子(script kiddie,以黑客自居的初学者)到有组织的团体的任何人。/ Z5 m3 _3 J# D6 }) [* y# N
4 e' b7 _. I, T; v. d, f. \1 Z
复杂性:低-中(攻击可以是低质量的“喷雾式”或超针对性的,具体取决于攻击者付出的努力)。2 q5 p$ P( Q" _1 |
- p u: a; _2 e1 A
可自动化性:中等-高(大部分工作可以自动化)。 : v0 N+ s/ }, Z4 A/ O& v + _. X) L; ?. X- O3 g! N对未来的期望:网络钓鱼的成本很低,网络钓鱼者往往会适应并绕过最新的防御措施,因此我们预计这些攻击的发生率会上升。可以通过提高教育和意识、更好的过滤、改进的警告横幅和更强大的钱包控制来改进用户防御。 k+ s6 W+ b: G W2 _4 s" [
- }) S& {# H. K( |6 U4 {9 q3 u
供应链漏洞:最薄弱的环节+ S7 G# m: g0 F7 [5 L
+ U( k3 ?6 K a# {7 Y* w& ^当汽车制造商发现车辆中的缺陷部件时,他们会发出安全召回;在软件供应链中也不例外。! h- R- A* X! a
1 S' @0 X/ g( c( Y. L' H
第三方软件库引入了很大的攻击面。在 web3 之前,这一直是跨系统的安全挑战,例如去年 12 月影响广泛的 Web 服务器软件的log4j 漏洞利用。攻击者将扫描互联网以查找已知漏洞,以找到他们可以利用的未修补漏洞。- S: ?. P6 Z8 z' H2 |% i, _8 d
& J3 f) |7 s+ M导入的代码可能不是项目方自己的技术团队编写的,但其维护至关重要。团队必须监控其软件组件的漏洞,确保部署更新,并及时了解他们所依赖的项目的发展势头和健康状况。web3 软件漏洞利用的真实和即时成本使得负责任地将这些问题传达给图书馆用户具有挑战性。关于团队如何或在何处以一种不会意外使用户资金面临风险的方式相互交流这些信息的结论仍未确定。 4 ^) o% ]7 J6 w. ^' d# `* V 8 c1 ?2 K3 _. h# f举例:" h1 \6 c3 T/ [! ^8 r/ G, V/ S. j) |
, [" h: c* q3 C" z% m
跨链桥项目Wormhole被盗 2 v# H: { B( c) F' L/ m' A6 n% D$ s; f
Multichain 合约漏洞攻击7 U5 \4 G% p( n( u- }
1 p6 f+ B: T: F1 W# L5 z
简要概括:$ ^; |. v! E9 p- U
- o1 M: J1 H& W X
谁:有组织的团体,例如 APT、个人和内部人士。 G( ?* }* e" B+ [0 b ; n; v6 ?# L; h9 z0 }$ d复杂性:中等(需要技术知识和一些时间)。 , H0 f3 X" g0 U# b6 Y9 s; ?2 V% k9 P
可自动化性:中等(扫描以发现有缺陷的软件组件可以自动化;但是当发现新漏洞时,需要手动构建漏洞利用)。1 ]8 R$ u$ I" w7 I" Q
, U' c) O; e |9 ^对未来的期望:随着软件系统的相互依赖和复杂性的增加,供应链漏洞可能会增加。在为 web3 安全开发出良好的、标准化的漏洞披露方法之前,机会主义的黑客攻击也可能会增加。+ _; v! R Y' o8 \% G/ M+ x
3 Q; B) i9 A3 ]% l6 E, e$ `治理攻击:选举窃取者 ! P" R8 a% _/ |' N 0 H% B$ Z4 @/ W这是第一个上榜的特定于加密货币的问题。web3 中的许多项目都包含治理方面,代币持有者可以在其中提出改变网络的提案并对其进行投票。虽然这为持续发展和改进提供了机会,但它也为引入恶意提案打开了后门,如果实施这些提案可能会破坏网络。 $ G2 G% p/ r/ l# q. W j * f/ y7 ]3 }2 c* C攻击者设计了新的方法来规避控制、征用领导权和掠夺国库。曾经是一个理论上的问题,现在已经证明了治理攻击。攻击者可以拿出大量的“闪电贷”来摇摆选票,就像最近发生在去中心化金融项目 Beanstalk 上一样。导致提案自动执行的治理投票更容易被攻击者利用;然而,如果提案的制定存在时间延迟或需要多方手动签署(例如,通过多重签名钱包),则可能更难实现。" w4 m3 v: U2 m# d3 \0 {2 z: f3 K
% b K$ N1 ^. F4 f
举例:算法稳定币Beanstalk Farms遭遇黑客攻击事件 0 ~$ L( O% Z) F$ M- ^- z& R% ^' d1 A; G. W
简要概括: / A* g9 Z8 ], r" {/ m3 f8 S/ k6 S6 Y+ ?* u/ d6 f& Z, c. v; g' R0 @
谁:从有组织的团体 (APT) 到任何人。% ~# L# p) n. d. d
% g( @ V& {8 Y l
复杂性:从低到高,取决于协议。(许多项目都有活跃的论坛、Twitter 和 Discord 上的社区,以及可以轻松暴露更多业余尝试的委派仪表板。); ?+ i. c' ?/ S" G
6 ^/ M5 M, @2 e5 v5 g* P
可自动化性:从低到高,取决于协议。 ( Z6 d B/ m/ R5 b) i, y
; ^) N6 A7 r! L" H6 W
对未来的期望:这些攻击高度依赖于治理工具和标准,特别是因为它们与监控和提案制定过程有关。 4 _- ?( T; J+ H! d/ z$ B8 ^0 q1 j 2 j0 p. r$ J0 X0 X* u; A( l定价预言机攻击:市场操纵者 / X( {# ]4 m- T3 S , O" M& l7 Q& `2 D: t6 r( S准确地为资产定价是困难的。在传统交易领域,通过市场操纵人为抬高或降低资产价格是非法的,这些人可能会因此受到罚款或逮捕。 DeFi 给随机的人提供了“闪电贷”数亿或数十亿美元的可能行,从而导致价格突然波动,在这一领域,问题就凸显出来了。 }+ ~6 @9 t3 s/ p+ U
" C1 A% c/ P9 S& c+ K. H/ e; S随着预言机标准化的进展,链下和链上世界之间将会有更安全的桥梁,我们可以期待市场对操纵尝试变得更有弹性。运气好的话,有朝一日这类攻击可能会几乎完全消失。 : r5 b4 f1 S& {9 d, B! q; |' K ! ~& P" p# i" h; a举例:DeFi 协议Cream Finance闪电贷攻击) S( c$ P0 ]$ p; w
8 `. D% h/ K* c( G( c. S/ n
简要概括:% S( @ g& y7 p8 z! k
" \ W B z6 e3 w' A- X$ d" ~, m谁:有组织的团体 (APT)、个人和内部人士。 : R4 S& a6 i. V/ y8 J3 F/ `) n3 ^# Z8 u6 U2 g- |6 h8 `9 `
复杂程度:中等(需要技术知识)。1 t# ?% P" B: C% m+ z6 Z1 v
6 B P" ?! I; F' Q" d& }自动化程度:高(大多数攻击可能涉及自动化检测可利用问题)。' M3 N o# k1 i3 J2 `" J. C
7 A( M w8 g% S& c( p
对未来的期望:随着准确定价方法变得更加标准,可能会降低。 2 y+ O2 f E- t3 F+ i S# y' Q; P- D. L! T9 A$ M; _/ ~% x1 Q7 ^
新漏洞:不知之不知" a7 i: q5 m9 g
, ]1 Z9 u8 I' u! }) V& o零日漏洞(Zero - day ),是指被发现后立即被恶意利用的安全漏洞。之所以如此命名,是因为它们在出现时就已为人所知——是信息安全领域的热点问题,在 web3 安全领域也不例外。因为它们来得突然,所以它们是最难防御的攻击。 8 s9 O8 g0 O6 B" r- s8 _ $ M! {5 a. U" p. Z( s* X7 a7 i如果有什么不同的话,web3 让这些昂贵的劳动密集型攻击变得更容易货币化,因为人们一旦被盗就很难追回加密资金。攻击者可以花费大量时间仔细研究运行链上应用程序的代码,以找到一个错误以证明他们的努力。同时,一些曾经新颖的漏洞继续困扰着毫无戒心的项目:著名的重入漏洞TheDAO是早期的以太坊企业,今天继续在其他地方重新浮出水面。8 T/ r9 K; v3 o# L" |) U% N' F
' A! c* c8 K' Y* A6 I) g% I1 D( {- o
目前尚不清楚该行业将能够多快或轻松地适应对这些类型的漏洞进行分类,但对审计、监控和工具等安全防御的持续投资将增加攻击者试图利用这些漏洞的成本。% A. Q! V# b8 |- T; x# G
* E+ u: ~6 d# ^! s7 f# S- K2 q
举例:* g6 r8 d. f: V V; Y% W7 u