根據 Cyvers 總結 2024 年關鍵安全趨勢的報告,今年 Web3 網絡威脅急劇增加,共發生 165 起安全事件,造成資金損失超過 23 億美元,比 2023 年(16.9 億美元)高出 40%(有行情因素)。其中,與訪問控制相關的事件(67 起)佔了 23 億美元損失的 81%,大約 98 起智能合約漏洞導致的損失總計 4.563 億美元,1 起地址中毒事件導致了超過 6800 萬美元的損失。不過,與 2022 年(37.8 億美元)相比,2024 年安全事件造成的損失減少了 14.8 億美元(降幅 40%),並有 13 億美元的被盜資金被追回。如果說 Web3 是一片迷霧重重的黑暗森林,這裡有四處潛伏、伺機放冷槍的獵人,也有偵查經驗豐富的安保人員,以及撥開迷霧、揭露罪惡的俠客。Starlabs Consulting 本期「Disruptors Unplugged」對話的慢霧科技 SlowMist,就屬於後兩者。慢霧科技是一家專注區塊鏈生態安全的公司,成立於 2018 年 1 月,主要通過「威脅發現到威脅防禦一體化因地制宜的安全解決方案」服務了全球許多頭部或知名項目,現已發展成為國際化的區塊鏈安全頭部公司,擁有來自全球十幾個國家和地區的上千家商業客戶。其安全解決方案包括:安全審計、威脅情報(BTI)、防禦部署等服務並配套有加密貨幣反洗錢(AML)、假充值漏洞掃描、安全監測(MistEye)、被黑檔案庫(SlowMist Hacked)、智能合約防火牆(FireWall.X)等 SaaS 型安全產品。慢霧曾在行業內獨立發現並公佈數多起通用高風險的區塊鏈安全漏洞,得到業界廣泛關注與認可。以下為本期「Disruptors Unplugged」對話的精華摘錄。- 智能合約漏洞、私鑰洩露、社會工程學攻擊、供應鏈攻擊是當前 Web3 生態中較為常見且嚴重的安全威脅,持續對行業構成挑戰。
- 安全是一個動態管理的過程,第三方安全審計能在短期內引導項目方落實安全實踐要求,但並不能真正保障項目長期安全穩定運行。因此,建立並完善自己的安全體系至關重要。
- 目前 MistTrack 已積累 3 億多個地址標籤,1,000 多個地址實體,50 萬 + 威脅情報數據,9,000 萬 + 風險地址,這些都為確保數字資產的安全性、打擊洗錢犯罪提供了有力保護。
- Web3 的爆發式增長帶來了大量新項目和用戶,但安全事件頻發,市場對專業安全服務的需求持續增加。同時,越來越多的項目開始重視安全與合規的結合,這也為專業的安全服務公司提供了切入點。
關於 Web3 行業
🌃 Starlabs Consulting:在慢霧看來,當前的 Web3 生態中最嚴重的安全威脅有哪些?慢霧:在當前的 Web3 生態中,我們認為以下幾類安全威脅較為常見且具有較高的嚴重性,這些威脅持續對行業構成挑戰。首先,智能合約漏洞是一個被廣泛關注的問題。由於智能合約的不可變性,一旦漏洞被惡意利用,可能會導致無法挽回的損失,這也是大部分攻擊事件發生的根本原因。常見的智能合約問題包括權限管理不當、整數溢出和邏輯錯誤等等。其次,私鑰洩露也是一個重大安全隱患,無論是用戶還是項目方,在私鑰管理上的疏忽(如私鑰存儲不當或設備遭受攻擊)都是資產被盜的重要原因,私鑰的安全直接關係到對資產的控制權。此外,社會工程學攻擊(如釣魚攻擊、賬號被盜、假冒身份等)也是較為常見的作惡方式。由於部分用戶和項目團隊的安全意識不足,往往成為攻擊者突破防線的切入點。最後,近期發生了多起供應鏈攻擊的安全事件,因此我們認為供應鏈安全也逐漸成為 Web3 行業的重要安全問題。供應鏈安全漏洞可能帶來嚴重的後果,惡意軟件和代碼可能在軟件供應鏈的各個環節中被植入,包括開發工具、第三方庫、雲服務和更新過程。一旦這些惡意元素成功注入,攻擊者便可利用其竊取加密資產、獲取用戶敏感信息、破壞系統功能、進行勒索或廣泛傳播惡意軟件。🌃 Starlabs Consulting:面對 Web3 領域攻擊事件高發,對項目方(尤其是初創始項目)而言,除了與慢霧這樣的第三方安全服務商合作,企業自身在日常防禦方面可以做哪些事情?請給他們一些建議。慢霧:目前,Web3 項目面臨的攻擊手法種類繁多,且項目之間的交互越來越複雜,這種複雜性常常會引入新的安全隱患。許多 Web3 項目的研發團隊普遍缺乏一線的安全攻防經驗。在項目研發過程中,團隊通常更關注整體的商業論證和業務功能的實現,而忽視了安全體系的建設。因此,在沒有完善安全體系的情況下,很難確保 Web3 項目在整個生命週期中的安全性。為了確保安全,項目方通常會聘請專業的區塊鏈安全團隊進行代碼審計。安全審計能在短期內引導項目方落實安全實踐要求,但並不能幫助項目方建立屬於自己的安全體系。慢霧安全團隊也基於此開源了《Web3 項目安全實踐要求》(https://github.com/slowmist/Web3-Project-Security-Practice-Requirement),以持續幫助區塊鏈生態中的項目方團隊掌握 Web3 項目的安全技能。我們希望項目方能夠基於這些要求,建立和完善自己的安全體系,即使在審計之後,也能保持一定的安全能力,感興趣的可以搜索閱讀。我們始終認為,安全是一個動態管理的過程,單單依賴第三方安全團隊的短期審計並不能真正保障項目長期安全穩定地運行。因此,建立並完善 Web3 項目的安全體系至關重要,項目方團隊自身必須具備一定的安全能力,才能更好地保障項目的安全和穩定運行。此外,我們建議項目方團隊還應積極參與安全社區,學習最新的安全攻防技術和經驗,與其他項目方團隊及安全專家進行交流與合作,共同提升整個生態的安全性。同時,加強內部安全培訓和知識普及,提高員工的安全意識和能力,也是建立完善安全體系的關鍵步驟。🌃 Starlabs Consulting:面對不斷演變的攻擊手段,安全公司如何做到「魔高一尺,道高一丈」?慢霧:拿慢霧目前的應對方式舉例來說。首先,我們必須時刻保持對新型威脅的敏感度,持續監測最新的攻擊動態,通過開發定製化的漏洞檢測、鏈上分析和監控工具,實現實時的防護和更高效的響應能力。其次,我們有一個威脅情報共享網絡,通過與行業夥伴和項目方的緊密合作,我們可以及時獲得最新的安全情報,同時藉助鏈上數據分析技術,追蹤攻擊者的資金流向,幫助受害者儘可能挽回損失。此外,逆向工程和案例覆盤也是不可或缺的一部分。通過對過往安全事件的深度覆盤以及不定時的 Hacking Time 分享,不斷提升自身的技術能力。關於慢霧
🌃 Starlabs Consulting:你們每天做那麼多工作,研判黑客地址、分析鏈路、追蹤資金動向,其中有多大比例是接受委託,多大比例是出於公益?慢霧:慢霧的反洗錢與資金追蹤業務主要來源於兩方面:客戶主動委託和公益性服務。在公益性服務方面,我們參與了許多重大公開攻擊事件的追蹤工作。無論項目方是否有主動找到我們,我們都會在第一時間跟進,這一部分工作主要源於我們對行業健康發展的責任感。通過及時揭露黑客行為、分析攻擊手法,我們希望能夠為整個 Web3 生態的安全性貢獻力量。除此之外,慢霧每天都會收到大量受害者的求助信息,其中不乏丟失上千萬美金的大額受害者,要求我們提供資金追蹤和挽回損失的服務。對於這些案件,我們會免費提供案件評估的社區協助服務(https://aml.slowmist.com/recovery-funds.html)。另一方面,慢霧還提供專門面向 Web3 項目方的應急響應服務 (https://cn.slowmist.com/service-incident-response.html),這項服務是幫助項目方在遭遇黑客攻擊等突發事件時,能夠迅速並有效地應對風險。我們會詳細分析攻擊者的入侵路徑和入侵後的行為,並構建攻擊者的鏈上鍊下畫像。同時,我們還會追蹤被盜資產的流向。這項服務包括從鏈上鍊下入侵分析到資金追蹤溯源的全過程,幫助項目方覆盤安全事件,並依託慢霧的區塊鏈反洗錢系統(AML)以及 InMist 威脅情報網絡,儘可能地幫助項目方挽回資金損失。🌃 Starlabs Consulting:鏈上交易記錄錯綜複雜、千絲萬縷,我們普通用戶針對一筆交易進行分析都感到頭大,你們每天應對海量的追蹤工作,是有更高效的分析工具和數據庫嗎?你們內部使用的追蹤分析工具和麵向 C 端用戶的 MistTrack 有何不同?慢霧:其實我們用的也是 MistTrack (https://misttrack.io),畢竟簡單好用,數據全面。目前 MistTrack 已積累 3 億多個地址標籤,1,000 多個地址實體,50 萬 + 威脅情報數據,9,000 萬 + 風險地址,這些都為確保數字資產的安全性、打擊洗錢犯罪提供有力保護。比較不同的是,我們的團隊有建立一個內部知識庫,可以確保追蹤工作的高效性。🌃 Starlabs Consulting:用戶使用慢霧的 MistTrack 追蹤服務時,需要擔心個人隱私嗎?你們如何保護客戶個人信息?慢霧:這個不用擔心,慢霧作為一家安全公司,自然非常重視隱私保護,進行合作前都會讓用戶知曉我們的隱私政策。我們儘量僅保留完成服務所需的數據,同時嚴格限制訪問權限,確保只有授權人員能接觸相關信息,所有用戶數據在傳輸和存儲中均採用強加密技術。🌃 Starlabs Consulting:我們注意到慢霧也提供聯盟鏈安全解決方案。請問聯盟鏈安全和公鏈安全主要有哪些不同?慢霧:聯盟鏈與公鏈在安全需求方面存在顯著差異,這些差異主要體現在網絡架構、用戶群體和應用場景的不同。例如,在訪問控制方面,聯盟鏈通常是許可鏈,只有經過認證的節點和用戶才能加入。聯盟鏈更多面臨來自內部的威脅,如惡意節點操作、不當的權限配置和數據洩露等。而公鏈則是一個開放的網絡,公鏈面臨的安全挑戰更復雜多樣,包括 51% 攻擊、智能合約漏洞利用、跨鏈橋攻擊等。在節點安全方面,聯盟鏈的節點數量較少,通常由幾個可信方共同維護,具有較高的信任基礎,但也伴隨著較高的單點故障風險。為了提升性能,聯盟鏈多采用高效的共識機制(如 PBFT、Raft),犧牲了部分去中心化。相比之下,公鏈的節點分佈廣泛,去中心化程度高,因此更加依賴共識機制來抵禦惡意節點的行為。公鏈通常採用去中心化程度更高,但性能較低的共識機制(如 PoW、PoS),以增強抗審查性和系統的開放性。在合規性需求方面,聯盟鏈通常應用於企業級場景,因此需要滿足嚴格的法律法規和合規要求。在設計時,安全方案需要充分考慮審計和監管的需求。與此不同,公鏈的運行範圍更加全球化,面臨著跨國法律和監管的挑戰,且在安全設計上需平衡去中心化與效率。針對這兩類鏈的特點,慢霧提供了差異化的安全解決方案,以應對它們各自面臨的安全挑戰。關於安全行業
🌃 Starlabs Consulting:Web3 安全這個賽道還是藍海嗎?如果一家初創企業想進入這個賽道,或者一家 Web2 安全公司想拓展到 Web3 安全業務,你們認為哪些細分領域更有機會?慢霧:Web3 的爆發式增長帶來了大量新項目和用戶,但安全事件頻發,市場對專業安全服務的需求持續增加。同時越來越多的項目開始重視安全與合規的結合,這也為專業的安全服務公司提供了切入點。例如,普通用戶常因釣魚攻擊、惡意軟件和密鑰管理不當而遭受資產損失,因此用戶端安全是可以考慮的;再如鏈上資金追蹤複雜且工作量巨大,反洗錢需求日益增加,也可以往資金追蹤與反洗錢(AML)方向發展。總的來說,Web3 安全賽道充滿了挑戰,但也蘊含著巨大的機會。🌃 Starlabs Consulting:如何評估量子計算技術對現有加密算法的潛在威脅,未來加密領域可以採取哪些應對策略?慢霧:目前量子計算的威脅暫時未完全顯現,但在 Web3 和區塊鏈領域,量子計算技術高度依賴於加密算法的安全性,加密領域可以通過技術創新、國際合作以及分階段的策略實施,來確保生態系統的長期安全與穩健發展。
