預判攻擊者的預判，CertiK發起移動端保衛战

原創 | Odaily星球日報

作者 | 夫如何

編輯 | 郝方舟

近日，一則新聞在Web3行業內引起了關注：一家名為 CertiK 的安全審計公司發現了蘋果公司在移動端的安全漏洞，並因此獲得蘋果公司公开致謝。

據蘋果公司官方安全更新頁面信息顯示，CertiK 所發現的這些漏洞，會影響內核、GPU 驅動程序和 ProRes 驅動程序，並允許“一個應用程序以內核權限執行任意代碼”。換言之，用戶或許會丟失保存在手機裏的錢包私鑰，這對web3用戶意味着什么，令人細思恐極。

蘋果公司隨即表示，已通過改進內存處理來解決這些漏洞。

據悉，此前 CertiK 也曾發現過韓國三星集團移動端的安全漏洞。

CertiK 是Web3行業內頗具口碑的頭部安全機構，但在Web2世界則鮮有人知，蘋果、三星這樣的Web2巨頭忽然與 CertiK 的名字一起出現，令人不免好奇，這是否預言Web2與Web3兩個世界間的“破壁”，共同提升系統安全的新場景？

從科技應用發展史來看，用戶操作習慣必將從電腦端向移動端遷移。Web2時代如是，Web3未來亦遵從這樣的規律。

而從安全審計角度來講，網絡安全無界限，Web2和Web3的安全是相通。雖然兩者在細分領域的關注點不同，但去中心化產品服務的用戶、背後的協議依然重度依賴中心化的設備及系統。Web2的風險防控同樣構成了Web3應用的安全底线。

正如 CertiK 創始人兼 CEO 顧榮輝所說：“如果預期未來Web3用戶出現巨量增長，那么用戶的Web3應用一定會從移動端 Dapp 接入。”

攻防復雜，風險蔓延

隨着Web3高速發展，惡意攻擊也愈加頻繁。根據 DefiLlama 數據顯示 ，加密貨幣被盜總價值以超過 70 億美元。

按事故對象，Web3風險可粗略分為以下三種：

● 項目自身機制安全問題 ：如智能合約、 51% 攻擊、交易延展性攻擊、雙花攻擊和垃圾交易攻擊等自身機制漏洞造成的安全風險。圈內人記憶猶新的嚴重案例就有： Curve Vyper 編譯器中的潛在漏洞導致多個 Curve 流動性池被攻擊，疊加創始人不健康的借貸倉位，從而引發一連串的清算危機。

● 生態系統安全問題 ：如交易所被盜、暴雷跑路、網站數據泄露、場外操縱、拒絕服務攻擊、交易地址篡改和礦池被攻擊等外在因素攻擊行為。近期案例有： 9 月份的加密交易所 CoinEx 熱錢包被盜 7000 萬美元等。

● 用戶端安全問題 ：如帳號失竊、錢包失竊、欺詐，也包含用戶被釣魚和私鑰保管問題等自身產生的問題。10 月 12 日，前 Alameda 工程師 Adi (e/acc)在 X 平臺披露，某 Alameda 交易員因進行 DeFi 操作時點擊了釣魚鏈接，使 Alameda 損失超 1 億美元。

在上述案例，我們會發現，Web2中的安全隱患極易對Web3造成重大影響，且無法完全拆分討論。

實際上，大家常用的 Chrome 瀏覽器的歷次升級中，就包含排查各項漏洞的工作，Web3錢包等擴展程序一旦沒跟上“母體”的迭代，很容易遭受攻擊。

文初，CertiK 發現關於蘋果系統的多個移動端漏洞；MacStealer、ShadowVault、AMOS 和 Realst 等惡意軟件攻擊熱門加密錢包並竊取密鑰串數據庫；SeaFlower 則會分發帶有後門的加密錢包應用版本，以竊取助記詞；CookieMiner 惡意軟件可以訪問包含短信的 iTunes 備份，獲取繞過雙因素身份驗證所需的信息，進而訪問受害者的加密錢包並竊取加密貨幣。

魔高一尺，道高一丈

由於Web3安全風險日益嚴重，安全也成為了項目方可持續發展的基石，除了自身提高風險意識，選擇靠譜的安全審計公司也成為了做項目的標配。來自外部的審計報告既將項目安保交予“市場上更專精的角色”，頂級安全審計公司的背書也構成了項目面向用戶宣傳的一塊金牌。

在這樣的背景下，Web3安全審計公司從上一輪牛市开始快速發展，像 CertiK、派盾和慢霧等公司逐漸走入大家視野。 Web3安全審計公司的業務也逐漸延展，從合約开發到後期監控全流程對項目方把控風險。

以 CertiK 為例，其為項目方和個人提供全流程的安全防護組件，包括Web3.0 安全審計和滲透測試，以發現和解決風險隱患；Skylnsights、KYC 盡調、緊急事件響應和漏洞賞金計劃等措施，維護加密生態系統安全；以及 Skynet 天網系統和咨詢服務等服務，搭建一體化的Web3安全分析平臺，幫助使用者規避風險並提升安全風險意識。

面對移動端日益猖獗的惡意活動，CertiK 針對 IOS 系統對Web3錢包的开發也做出一定的舉措。 在 iOS 上，开發人員可以採取以下安全實踐來保護錢包應用程序：利用 iOS 的安全功能、基於硬件的安全機制和 App Attestation 等框架；遵循安全編碼准則，包括加密存儲和傳輸、輸入驗證和防御性編程；實施雙因素身份驗證和生物識別技術；定期更新和修補應用程序；進行安全審計和漏洞掃描。

可見，CertiK 正與時俱進，不斷提前發覺Web3安全隱患，以應對尚未發生的Web3惡意事件。

安全江湖，靜修內功

Web3作為新興行業，面對衆多豺狼虎豹的侵擾，對安全審計公司的能力要求也越來越高。上一輪牛市間，項目數量井噴式增長，能夠肩負起Web3安全重任的第三方公司鳳毛麟角。

信任度是項目方和加密企業選擇Web3安全審計公司最重要的考量。

拆解信任的來源，自離不开第三方安全機構的業務實力、產品覆蓋全面性、服務深度、業內長期口碑等。

據官網，CertiK 從 2018 年成立至今，共計合作 4100 多家企業客戶，發現了近 7 萬個區塊鏈代碼相關漏洞，直接或間接保護了超過 3600 億美元的數字資產。

自 2021 年起，CertiK 業務飛速發展，實現了近 13 倍的收入增長、 3320 倍的利潤增長，以及 4 倍的員工人數增長。雖然歷經熊市，但公司業務在劇烈動蕩的市場環境中展現了極強的抗周期性。

反映到市場佔有率上，CoinMarketCap 數據顯示，在使用第三方安全審計的區塊鏈項目中，CertiK 的市佔率超過 70% 。

從團隊背景來講，兩位創始人是耶魯大學和哥倫比亞大學的教授，其中顧榮輝因在系統安全領域的貢獻，獲得了亞馬遜研究獎、OSDI Jay Lepreau 最佳論文獎、SOSP 最佳論文獎、 CACM（國際計算機協會）Research Highlights 獎、 VMware 系統研究獎等衆多獎項。同時，顧榮輝也是新加坡金管局國際技術咨詢委員會委員和香港 Web 3.0 發展專責小組成員。

從融資背景來講，CertiK 受到幣安、 Coinbase 等Web3“大廠”的認可，也得到高盛、軟銀等傳統機構的支持，一躍成為估值 20 億美元的Web3安全審計公司。

到了今年，CertiK 不僅僅滿足於在存量市場中佔據鰲頭，還頻繁幫助蘋果和三星等科技巨頭提升終端系統的安全性。CertiK 憑借對未來發展的眼界，將自身業務覆蓋到Web3大規模採用的突破口——移動端。

守護行業，搶先布局

當行業巨頭 CertiK 开始布局移動端安全防護時，這其中不僅僅是業務的擴展，更是創始人對Web3新風向的判斷。 顧榮輝向Odaily星球日報表示，安全審計行業的競爭日益激烈，CertiK 需要推出有差異化競爭優勢的產品，以便佔據先機，服務未來更為廣闊的市場。

經歷上一輪牛市後，Web3的基礎配套愈加完善，從而這一輪熊市湧現出更多的 builder，他們將目光更多的瞄向應用層。 Web3的主基調也從存量市場的生態之爭轉向以大規模採用為核心的應用之爭。

從Web3自身來講，大規模採用的 Dapp 是產品內部的可組合和復雜化，更多跨生態、跨協議、跨層、跨域帶來更難防範的風險。

從Web2角度來講，移動端目前依托於蘋果、安卓等系統服務商，Web2系統性風險對移動端的Web3項目和使用者容易造成更大的風險。

而光明與黑暗的較量正在此處，無論是Web2終端的系統風險、Web3應用的黑盒都是安全風險的隱患。 但秉承着“守護Web3世界”的 CertiK 蓄力Web3移動應用端已非一日，移動端的安全警戒线已搶先布控，並贏得了主流市場認可，這或將為web3領域的安全審計公司揭开發展與競爭的序章。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。