原文标题:《Web3Security:SecuringthePathtoCryptoAdoption》
作者:IsaiahWashington,CoinFund研究员
编译:饼干,ChainCatcher
Chainalysis的2022年Web3漏洞报告显示智能合约损失超过30亿美元,这些数据暴露了Web3安全形势的不成熟和未充分汲取安全案例的经验。Web2和Web3技术之间的根本差异为攻击或保护用户数据和资产创造了新的机会。
根据麦肯锡的数据,目前全球网络安全市场估计约为1670亿美元。随着Web3沿着S曲线得到大规模采用,这个市场将包括财务和非财务数据,因此我们至少会看到一个类似千亿规模的Web3安全市场。
Numen发布微软漏洞解析,黑客可通过该漏洞获取Windows完全控制权:6月9日消息,安全机构 Numen Cyber Labs 发布微软 win32k 提权漏洞解析。Numen 表示,该漏洞系 win32k 提权漏洞,是微软 Windows 系统层面的漏洞。通过该漏洞,黑客可获取 Windows 的完全控制权。
Numen 指出,win32k 漏洞历史众所周知。但在最新的 windows11 预览版中,微软已经在尝试使用 Rust 重构该部分内核代码。未来该类型的漏洞在新系统可能被杜绝。
此前报道,5 月,微软发布的补丁更新解决了 38 个安全漏洞,其中包括一个零日漏洞。[2023/6/9 21:25:55]
Web3安全性并没有被破坏,而是不发达。与Web2中的安全解决方案类型的广度相比,当前Web3安全公司的生态系统才刚刚起步。在所有完成A轮融资或年收入超过300万美元的Web3安全公司中,大多数都是以服务为基础,主要业务是智能合约审计。
Etherscan现支持以太坊域名服务ENS反向解析:5月12日消息,以太坊域名服务(Ethereum Name Service,简称ENS)发推称,Etherscan目前支持ENS反向解析。ENS反向解析可使用户的ENS域名成为跨DApp的以太坊账户的便携式用户名。除Etherscan外,使用此功能的其他DApp包括Uniswap、Opensea、Aavegotchi和Snapshot Labs等。目前,要使用该服务,用户必须手动启用反向解决,之后将更改为自动启动;DApp须在其UI代码中使用PR。
注:正向解析(Forward resolution,FR)是将一个ENS域名解析到以太坊地址等资源,反向解析(Reverse resolution,RR)是指将一个以太坊地址解析到一个ENS域名。[2021/5/12 21:52:40]
审计工作的流程是手动仔细检查项目的代码并标记安全漏洞。虽然审计是Web3安全的重要支柱,但2022年发生了167起重大黑客攻击。其中一半是针对经过审计的智能合约,表明该领域需要更多的安全基础设施和自动化。
动态 | 基于共治链的共治根域名解析架构发布:据光明网消息,在日前由国家互联网信息办公室指导、中国互联网络信息中心(CNNIC)主办的中国互联网基础资源大会上,中国互联网络信息中心主任曾宇发布了基于共治链的共治根域名解析架构。中国互联网络信息中心(CNNIC)作为我国国家顶级域名注册管理机构,负责国家网络基础资源的运行管理和服务,从2016年开始,开展区块链技术在域名领域应用的研究,验证了运用区块链技术进行域名数据管理的可行性。在此基础上,联合多家单位设计了基于共治链的共治根新型域名解析系统架构。[2019/7/3]
Web3安全格局
Web3安全公司的业务可以分为三大类:审计、工具和社区。在工具和社区中,很多早期活动是安全代码开发、持续或运行时监控、安全漏洞赏金和竞争社区,以及交易安全。
前美联储理事Kevin Warsh:从美国经济政策角度解析比特币价格波动: 前美联储理事、斯坦福大学胡佛研究所杰出访问学者Kevin Warsh今日撰文,从政府经济政策角度解读了比特币价格波动的原因。对于2017年BTC价格的狂飙,Warsh认为:1.特朗普上台后推出的减税等宽松政策持续刺激美国经济增长,继而带来的通货膨胀预期促使美国加息进度超预期,比特币成为规避法币贬值的避风港;2.特朗普政府贸易保护政策致使美元在2017年贬值12%,投资者寻求比特币规避贬值;3.据去年10月、11月调查,美国民众对政府的信任度下降14个百分点达到33%,而美元正是建立在公众对政府信任的基础上。而对于今年以来比特币价格的大幅波动,是因为投资者正在调整对政府政策的预期,新任美联储主席也在重新考虑如何更好地实施货币政策,同时也在考虑推出自己的加密货币。[2018/3/8]
安全代码开发:安全产品需要集成到开发人员流程中。帮助开发人员以“安全第一”的心态构建并防止开发人员部署错误代码,该解决方案可以使审计业务在Web3中更具可扩展性。CoinFund的投资组合公司Certora是支持该论点的案例,它提供了通过正式验证策略保护智能合约的工具,旨在让智能合约在部署和预审计之前最大限度地减少智能合约漏洞。其他创新示例包括持续的安全开发工具,例如正在开发Dev0x的EnigmaLabs,该工具适用于安全产品编排的开发人员。此外,还有交易和生态系统测试和模拟工具,如Tenderly、ChaosLabs和Gauntlet。这些项目允许开发人员在正式部署智能合约之前管理和预测其输出结果,从而为开发人员安全工具集做出贡献。
石榴矿池:目前参与Filecoin挖矿有三种方式分别是云算力、托管矿机与自行挖矿:8月3日晚8点,中币成功在中币APP热聊群开展其Filecoin活动周的第一场AMA。在分享“参与挖矿Filecoin 需要注意哪些问题?”时,Filecoin矿池石榴矿池表示:“石榴矿池:目前参与Filecoin挖矿有三种方式,分别是云算力、托管矿机与自行挖矿。矿机和云算力都要甄别厂家质量,如果自己挖矿的话技术要求会比较高。Filecoin的一些原理、机制都大概要了解,包括质押解锁这些设计,无论是自己挖还是托管、云算力都能帮助你去鉴别产品的好坏
”
据悉,中币Filecoin活动周将于8月3日、8月4日、8月5日晚8点连续三天在中币APP热聊群开展AMA。[2020/8/4]
持续/即时监控:?Chainalysis和TRMLabs等公司已筹集了6.865亿美元用于事后AML检测、调查和数据分析。然而,用于主动预防安全漏洞的即时监控解决方案市场仍然相当欠缺。Forta和Cyvers等公司正在通过实时监控漏洞和预防检测等功能填补这一空白。Forta是一个用于持续运行时监控的分布式网络,而CyVers是一个利用机器学习持续监控多个网络并为交易所、托管人和DeFi协议提供攻击检测的解决方案。。通过这些解决方案的检测后,开发人员可以部署交易抢先程序和自动断路器等技术方案来减少资产损失。
安全网络/社区:Web3由社区参与驱动,主要的社区可分为开发者社区、投资者社区和金融社区基础设施。可以预见的是,未来的安全解决方案和平台可以更好地聚集和动员专业安全人员参与保护Web3。例如,最近为其A系列筹集了2400万美元的ImmuneFi,正在通过创建和激励白帽黑客网络来识别智能合约中的漏洞和错误,这是利用社区的力量来保护Web3代码。迄今为止,Immunefi已促成向白帽黑客支付了超过6500万美元的漏洞赏金。其他类似的早期例子包括Code4rena、Secure3和PwnedNoMore。Forta的分布式网络可以激励安全专家或爱好者来构建和部署检测机器人、智能合约等,用于提醒用户合约风险和响应恶意智能合约。
消费者和机构交易安全解决方案:面向用户的交易和钱包安全产品将在Web3资产安全中发挥重要作用。该解决方案也可以出售给钱包,让其整体使用体验更加安全。虽然钱包也可以在其产品中内置安全功能,但通过使用专有算法来检测风险并尽可能简化集成的解决方案将脱颖而出。Redefine是探索这个方向的公司,它提供实时交易风险评估和警报,这些警报通过实时模拟交易和监控机制,直接将风险信息传递给终端用户。其他一些专门保护交易者的“防火墙”解决方案包括Shield、Hexagon和Web3Builders的TrustCheck。
审计业务的扩展:通常,审计公司认为需要产品化来让公司更具可扩展性。Halborn虽然目前主要专注于手动审计,但其构建的目的是将用于审计和开发运营的流程自动化工具推向市场。Quantstamp和CoinFund投资组合公司Sherlock等公司正在采取另一种方法,探索安全审计和资产保险的交叉点。
思考Web3安全中的重要组成部分
在高层次上,有几个关键论点引发我对Web3安全开发的思考:
关键安全利益相关者的识别:Web3让我们对安全产品和服务目标市场的看法发生根本转变。Web3开发人员、项目、用户是最重要的安全解决方案客户。这与Web2不同,在Web2中,企业对保护用户数据负有法律和经济责任。在用户拥有自己数据的世界中,他们也面临着保护数据的挑战,用户需要直接保护自己的资产。
预防、缓解和响应:安全是一种分层方法(?IBM),需要持续和主动的安全策略,而目前Web3中的启动前审计无法实现这一点。代码不可能完全没有漏洞,这使得Web3和Web2中都需要实时漏洞利用的缓解和响应方案。
传统安全和Web3专业知识的结合:安全在历史上是一个非常具有挑战性和拥挤的市场,黑客人才和前沿策略在不断发展。尽管市场上有成千上万的安全初创公司,但只有少数具有突破潜力。尽管Web3很新颖,但基本的安全问题和解决方案已广为人知。因此,花费数年时间了解技术漏洞的安全研究人员将引领保护Web3的道路。
Web3安全投资机会
可扩展解决方案、产品和网络是构建Web3安全的重要组成部分。从投资的角度来看,最具吸引力的团队是具有(1)深厚的Web2安全专业知识和密码学观点的团队,(2)能够桥接Web3安全的协议与开发人员、机构和个人用户的平台,可以为Web3安全人员的能力提供价值。(3)可以根据底层技术服务客户的产品或网络。
在Web3安全市场,就像Web2安全一样,将创建数以千计的解决方案,或许相对较少的企业会扩展到十亿美元的企业,CoinFund的目标是与创始人合作,我们希望投资于正在扩展Web3安全堆栈的团队。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。