Примечание автора ✍🏻

Однажды греки построили деревянного коня и подарили его городу Трои. Жители города рассматривали его как символ мира, не подозревая об угрозе, скрытой внутри.

С успешным запуском биткоин-ETF все больше новых пользователей и средств возвращаются в Web3, и нагревающийся рынок кажется указывающим на то, что будущее Web3 в сторону широкого применения становится ближе. Однако отсутствие политики и уязвимости безопасности остаются основными препятствиями для широкого принятия криптовалют.

В криптомире хакеры могут получать прибыль непосредственно от атак на уязвимости в блокчейне, иногда зарабатывая миллионы или даже миллиарды долларов. Между тем, анонимность криптовалют создает условия для того, чтобы хакеры избегали захвата. К концу 2023 года общая заблокированная стоимость (TVL) всех протоколов децентрализованных финансов (DeFi) составила около $4 млрд (в настоящее время $10 млрд), при этом только в 2022 году общая стоимость токенов, украденных из DeFi-протоколов, достигла $310 млн, что составляет 7% от вышеуказанной стоимости. Эта цифра в полной мере иллюстрирует серьезность проблем безопасности в индустрии Web3, как дамоклов меч, висящий над нашими головами.

Это не только среда on-chain; проблемы безопасности на стороне пользователей Web3 также значительны. Согласно данным от Scam Sniffer, в 2023 году 324 000 пользователей столкнулись с кражей своих активов из-за фишинговых атак, общая сумма украденных средств составила 295 миллионов долларов. Как по объему, так и по сумме, последствия серьезны. Но с точки зрения пользователей сами инциденты безопасности имеют задержку — пользователям часто бывает трудно полностью осознать серьезность потенциальных рисков до наступления несчастных случаев. Поэтому люди часто попадают в "переживший смуту" и пренебрегают важностью безопасности.

Эта статья вдается в насущные проблемы безопасности, стоящие перед современным рынком, особенно в свете быстрого роста пользователей Web3. Разбирая предлагаемые компаниями, такими как Goplus, решения по безопасности, мы приобретаем более глубокое понимание того, как укрепить широкое распространение Web3 через соблюдение и улучшение мер безопасности. Мы утверждаем, что безопасность Web3 представляет собой огромный, но пока неиспользованный рынок стоимостью миллиарды, и по мере расширения базы пользователей Web3 спрос на услуги безопасности, ориентированные на пользователя, готов к экспоненциальному росту.

Ранние идеи:

1. Раскрытие угроз в безопасности Web3: исследование прибыльного рынка

1.1 Защита активов

1.2 Обеспечение безопасности поведения

1.3 Повышение безопасности протокола

1. Анализ безопасности Web3
2. Безопасность следующего поколения: обеспечение безопасности будущего Web3
3. Заключение

С общим количеством слов в 5400 слов эту статью следует прочитать примерно за 12 минут.

Выявление угроз в безопасности Web3: Исследование прибыльного рынка:

В настоящее время продукты безопасности Web3 в основном попадают в три категории: ToB, ToC и ToD. Решения B2B в первую очередь фокусируются на аудитах безопасности продуктов, проведении тестов на проникновение и предоставлении отчетов об аудите для укрепления защиты продукта. С другой стороны, решения B2C нацелены на обеспечение безопасности среды пользователей путем захвата и анализа разведданных в реальном времени и предоставления услуг обнаружения через API. Кроме того, инструменты ToD (разработчика) обслуживают веб-разработчиков, предлагая автоматизированные инструменты и услуги по аудиту безопасности.

Проверка безопасности - это необходимая статическая мера безопасности. Почти каждый продукт Web3 проходит проверку безопасности, и отчеты о проверке становятся общедоступными. Проверки безопасности не только позволяют сообществу проверить безопасность протоколов во второй раз, но и служат одним из фундаментов для доверия продуктам пользователями.

Однако проверки безопасности не являются всемогущими. Учитывая рыночные тенденции и текущую нравственность, мы предвидим, что вызовы к безопасности пользователей будут продолжать возрастать, в основном проявляясь в следующих аспектах:

Защита активов:

Каждый рыночный цикл запускает выпуск новых активов. С появлением ERC404 и гибридных токенов, таких как FT и NFT, выпуск онлайн-активов продолжает эволюционировать, представляя возрастающие вызовы для безопасности активов. Сложность, введенная отображением и интеграцией различных типов активов через смарт-контракты, расширяет поверхность атаки для хакеров. Например, злоумышленники могут нарушить передачу активов, злоупотребляя конкретными обратными вызовами или налоговыми механизмами, что потенциально может привести к прямым атакам DoS. Традиционные проверки безопасности борются с решением этих сложностей, требуя мониторинга в реальном времени, предупреждений и динамических решений перехвата.

Обеспечение безопасности поведения:

Статистика из CSIA показывает, что 90% сетевых атак начинаются с попыток рыбалки. Эта тенденция сохраняется в мире Web3, где злоумышленники нацеливаются на частные ключи пользователей или средства on-chain через рыбацкие ссылки или мошеннические сообщения на платформах, таких как Discord, X и Telegram.

Взаимодействие в сети имеет крутой кривой обучения, которая по своей сути нелогична. Даже офлайн-подпись может привести к потере миллионов долларов. Знаем ли мы, что мы авторизуем, когда кликаем по этой подписи? 22 января 2024 года пользователь криптовалюты стал жертвой фишинговой атаки, подписав разрешение с неверными параметрами. После получения подписи хакер использовал авторизованный адрес кошелька для перевода токенов на сумму в 4,2 миллиона долларов со счета пользователя.

Недостатки в безопасной среде пользовательской стороны также могут привести к потере активов. Например, когда пользователь импортирует приватный ключ в приложение кошелька на базе Android, приватный ключ часто остаётся в буфере обмена телефона после копирования. В этом сценарии, при открытии вредоносного программного обеспечения, приватный ключ может быть прочитан и автоматически использован для передачи активов из кошелька или кражи активов пользователя после периода задержки.

Поскольку в Web3 поступает все больше новых пользователей, проблемы безопасности в пользовательской среде станут значительной заботой.

Повышение безопасности протокола:

Атаки на повторный вход остаются одним из самых больших вызовов для безопасности протокола. Несмотря на принятие множества стратегий контроля рисков, события, связанные с такими атаками, все равно происходят часто. Например, в прошлом июле Curve столкнулась с серьезной атакой на повторный вход из-за ошибки компилятора в своем языке программирования контрактов Vyper, что привело к потере до 60 миллионов долларов и вызвало широкие сомнения относительно безопасности DeFi.

Хотя существует много «белых коробок» решений для логики исходного кода контракта, события, подобные взлому Curve, показывают значительную проблему: даже если исходный код контракта безупречен, проблемы с компилятором могут привести к различиям между финальным временем выполнения и ожидаемым дизайном. Преобразование контрактов из исходного кода в фактическое время выполнения - это сложный процесс, на каждом этапе которого могут возникнуть неожиданные проблемы, и сам исходный код может не охватывать все потенциальные сценарии. Поэтому полагаться исключительно на безопасность исходного кода и уровня компилятора далеко не достаточно; уязвимости все равно могут появиться из-за проблем с компилятором.

Следовательно, защита времени выполнения станет необходимой. В отличие от существующих мер контроля за рисками, которые фокусируются на уровне исходного кода протокола и вступают в силу до времени выполнения, защита времени выполнения включает в себя написание разработчиками протокола правил защиты времени выполнения и операций по обработке непредвиденных ситуаций во время выполнения. Это помогает в оценке и реагировании в реальном времени на результаты выполнения времени выполнения.

Согласно прогнозам Bitwise, компании по управлению криптовалютными активами, общая стоимость криптовалютных активов достигнет 16 трлн. Долларов к 2030 году. Если мы проведем количественный анализ с точки зрения оценки риска стоимости безопасности, то возникновение инцидентов безопасности on-chain почти всегда приводит к 100% потере активов, поэтому фактор экспозиции (EF) может быть установлен на 1, таким образом, одиночный ожидаемый ущерб (SLE) составляет 16 трлн. Долларов. С годовой вероятностью возникновения (ARO) 1% мы можем получить годовой ожидаемый ущерб (ALE) в размере 160 млрд. Долларов, что является максимальной стоимостью инвестиций в безопасность криптовалютных активов.

Учитывая серьезность, частоту и быстрый рост масштабов рынка инцидентов безопасности криптовалют, мы можем предвидеть, что безопасность Web3 станет сто миллиардов долларов, быстро растущим рынком, с расширением рынка Web3 и пользовательской базы. Более того, учитывая огромный рост отдельных пользователей и увеличивающуюся озабоченность безопасностью активов, мы можем предвидеть геометрический рост спроса на услуги и продукты безопасности Web3 на рынке C-стороны, представляющем собой рынок голубого океана, который еще предстоит полностью исследовать.

Анализ ландшафта безопасности Web3

С постоянным появлением проблем безопасности в Web3 заметно возрастает спрос на передовые инструменты, способные защищать цифровые активы, проверять подлинность NFT, отслеживать децентрализованные приложения и обеспечивать соответствие требованиям по противодействию отмыванию денег. Статистика указывает на то, что основными источниками угроз безопасности, с которыми сталкивается Web3 в настоящее время, являются:

• Хакерские атаки, направленные на протокол
• Мошенничество, рыболовство и кража частного ключа, направленные на пользователей
• Атаки на безопасность, направленные на саму блокчейн

Для решения этих рисков компании на текущем рынке в основном сосредотачиваются на предоставлении услуг и инструментов в двух основных направлениях: тестирование и аудит ToB (до цепи) и мониторинг ToC (на цепи). По сравнению с ToC, участники в сегменте ToB дольше времени на рынке и продолжают видеть новых участников. Однако по мере того, как среда рынка Web3 становится более сложной, аудиты ToB постепенно испытывают трудности справиться с различными угрозами безопасности, что подчеркивает растущее значение мониторинга ToC и, таким образом, стимулирует спрос на него.

• ToB:

Представительные компании на текущем рынке, такие как Certik и Beosin, предоставляют услуги тестирования и аудита ToB. Эти компании в основном предоставляют услуги на уровне смарт-контрактов, проводя аудиты безопасности и формальную верификацию смарт-контрактов. Через предварительные методы, такие как анализ визуализации кошелька, анализ уязвимостей смарт-контрактов и аудит безопасности исходного кода, эти компании могут обнаруживать уязвимости смарт-контрактов в определенной степени и смягчать риски.

• ToC

Мониторинг ToC выполняется on-chain, включая анализ рисков кода смарт-контракта, on-chain состояний, метаданных пользовательских транзакций, моделирования транзакций и мониторинга состояния. По сравнению с ToB, C-сайдовые компании по безопасности в пространстве Web3 были установлены относительно поздно, но они испытали заметный рост. Услуги, предоставляемые компаниями по безопасности Web3, такими как GoPlus, постепенно применяются в различных экосистемах внутри Web3.

С момента своего создания в мае 2021 года GoPlus пережил быстрый рост ежедневных вызовов API, с нескольких сотен запросов в день в начале до двадцати миллионов вызовов в день во время пиков на рынке. Нижеприведенная графика иллюстрирует изменение вызовов API по риску токенов с 2022 по 2024 год, демонстрируя темпы роста важности GoPlus в домене Web3.

Модуль пользовательских данных, представленный GoPlus, стал неотъемлемой частью различных веб-приложений Web3, играя ключевую роль на ведущих рыночных веб-сайтах, таких как CoinMarketCap (CMC), CoinGecko, Dexscreener, Dextools, ведущих децентрализованных биржах, таких как Sushiswap, Kyber Network, и кошельках, таких как Metamask Snap, Bitget Wallet, Safepal.

Более того, этот модуль был принят компаниями по обеспечению безопасности пользователей, такими как Blowfish, Webacy и Kekkai, что указывает на решающую роль модуля данных безопасности пользователей GoPlus в определении инфраструктуры безопасности экосистемы Web3 и его значительное положение в современных децентрализованных платформах.

GoPlus в первую очередь предлагает следующие API-сервисы, предоставляя всесторонние понимание данных о безопасности пользователей через целенаправленный анализ данных нескольких ключевых модулей. Это направлено на предотвращение развивающихся угроз безопасности и решение многоаспектных вызовов безопасности Web3.

• Token Risk API: Оценивает риски, связанные с различными криптовалютами.
• NFT Risk API: Оценивает риски, связанные с различными NFT.
• Адрес API зловредного ПО: Идентифицирует и помечает адреса, связанные с мошенничеством, рыбалкой и другими зловредными действиями.
• API безопасности dApp: обеспечивает мониторинг в реальном времени и обнаружение угроз для децентрализованных приложений.
• API Управления контрактами утверждения: Управляет и аудитит разрешения на вызов смарт-контрактов.

На треке C-стороны мы также наблюдали Harpie. Harpie фокусируется на защите кошельков Ethereum от кражи и сотрудничает с компаниями, такими как OpenSea и Coinbase. Они обеспечили защиту тысячам пользователей от мошенничества, хакерских атак и кражи закрытого ключа. Их подход к продукту включает как мониторинг, так и восстановление. Они мониторят кошельки, чтобы выявить уязвимости или угрозы, незамедлительно уведомляют пользователей об их обнаружении и помогают в устранении. Они оперативно реагируют на пользователей, которые стали жертвами хакерских атак или мошенничества, помогая сохранить их активы. Их усилия были чрезвычайно эффективны в повышении безопасности кошельков Ethereum.

Кроме того, ScamSniffer предоставляет услуги в виде браузерного плагина. Этот продукт проводит проверки в реальном времени с помощью движка обнаружения вредоносных веб-сайтов и нескольких источников данных в черном списке перед тем, как пользователи откроют ссылки, обеспечивая их защиту от вредных воздействий веб-сайтов. Во время онлайн-транзакций он обнаруживает мошенничество, такое как рыбалка, чтобы защитить безопасность активов пользователей.

Решения нового поколения в области безопасности: обеспечение безопасности будущего веб-3

Для решения проблем, таких как безопасность активов, поведенческая безопасность, безопасность протокола и потребности в соответствии on-chain, мы изучили предлагаемые решения GoPlus и Artela. Они направлены на понимание того, как они поддерживают крупномасштабные приложения Web3, поддерживая среды безопасности пользователей и среды работы on-chain.

1. Окружение безопасности пользователей

Безопасность транзакций блокчейна является основой безопасности для крупных веб-приложений Web3. С частыми атаками хакеров на цепочке, фишинговыми атаками и rug pulls обеспечение отслеживаемости транзакций на цепочке, выявление подозрительного поведения на цепочке и обеспечение безопасности профилей пользователей критически важно. На основе этого GoPlus запустил платформу SecWareX, первую комплексную платформу обнаружения персональной безопасности для Web3.

SecWareX - это персональный продукт безопасности Web3, построенный на протоколе безопасности пользователя SecWare, обеспечивающий комплексное решение безопасности "всё в одном", включающее в себя реальное время идентификации атак на выполнение цепочки, предупреждения об опасности, своевременное вмешательство и разрешение споров. Он также поддерживает настраиваемые стратегии безопасности для контрактов на выпуск активов, адаптированные к конкретным сценариям.

Для обучения безопасности поведения пользователей SecWareX представляет программу Learn2Earn, умело сочетающую изучение знаний о безопасности с токен-стимулами, позволяя пользователям улучшить свое представление о безопасности, получая при этом материальные вознаграждения.

1. Решения по соблюдению финансовых средств

Противодействие отмыванию денег (AML) является одной из наиболее насущных потребностей на публичных блокчейнах. На публичных цепях анализ таких факторов, как источники транзакций, ожидаемое поведение, суммы и частоты, может помочь своевременно выявить подозрительное или аномальное поведение. Это помогает децентрализованным биржам, кошелькам и регулирующим органам выявлять потенциально незаконные действия, такие как отмывание денег, мошенничество и азартные игры, а также принимать своевременные меры, такие как предупреждения, замораживание активов или сообщение в правоохранительные органы для укрепления соответствия DeFi и масштабного применения.

С непрерывным обогащением ончейн-поведения Следуйте за своей транзакцией (KYT) для децентрализованных приложений станет неотъемлемым предпосылкой для масштабных приложений. API зловредного адреса GoPlus критически важен для бирж, кошельков и финансовых служб, работающих в Web3, чтобы соответствовать регуляторным требованиям и обеспечивать свою деятельность, подчеркивая внутреннюю связь между соблюдением регуляторных требований и технологическим прогрессом в области Web3. Это подчеркивает важность непрерывного мониторинга и адаптации для обеспечения целостности экосистемы и безопасности пользователей.

1. Протоколы безопасности On-Chain

Artela - первая общедоступная сеть уровня 1, поддерживающая средства защиты времени выполнения. Через конструкцию EVM++, нативный модуль расширения Aspect Artela динамически поддерживает добавление логики расширения в различные точки жизненного цикла транзакции, записывая состояние выполнения каждого вызова функции.

Когда угрожающий повторный вызов происходит во время выполнения функции обратного вызова, Aspect обнаруживает и немедленно отзывает транзакцию, чтобы предотвратить злоумышленников от эксплуатации уязвимостей повторного входа. Например, для защиты от атак с повторным входом на контракты Curve, Artela предоставляет протокольное безопасное решение на уровне цепи для различных приложений DeFi.

По мере увеличения сложности протокола и разнообразия компиляторов становится более явной важность решений защиты времени выполнения on-chain по сравнению со статической проверкой логики кода контракта в решениях "белого ящика".

Заключение

10 января 2024 года SEC официально объявила о одобрении листинга и торговли спот-биткоин-ETF, что является самым значительным шагом к основному принятию криптовалютных активов. По мере зрелости политических сред и укрепления мер безопасности мы неизбежно увидим появление масштабных веб-приложений 3.0. Если масштабные веб-приложения 3.0 - это бурные волны, то безопасность веб-приложений 3.0 - это крепкая плотина, построенная для защиты пользовательских активов, выдерживающая внешние бури и обеспечивающая безопасное судоходство через каждую волну для всех.

Disclaimer：

1. Эта статья перепечатана из [BuidlerDAO], Все авторские права принадлежат оригинальному автору [BuidlerDAO]. Если есть возражения к этому перепечатыванию, пожалуйста, свяжитесь с Gate Learnкоманда, и они быстро справятся с этим.
2. Ответственность за отказ: Взгляды и мнения, выраженные в этой статье, являются исключительно мнениями автора и не являются инвестиционными советами.
3. Переводы статьи на другие языки выполняются командой Gate Learn. Если не указано иное, копирование, распространение или плагиат переведенных статей запрещены.