SharkTeam：Web3安全實踐與創新

2023-09-27 08:09:30

在Web3領域，安全漏洞、黑客攻擊已愈發成為用戶和投資者重點關注的領域。如何保障加密資產的安全，Web3黑暗森林中又有哪些新的攻擊模式產生，SharkTeam將從一线進行分享和討論。

我們先來看一下2023年1月到8月的安全事件數量和損失的數據統計。

由於熊市影響，加密領域的資產總量降低，因安全問題產生的損失同比去年下降了59%。但這並不代表Web3領域的安全環境在變好，相反我們看到今年1月到8月，安全事件的數量達到693次，同比去年增加了87%，平均每個月有近90起安全事件，其中頻率最高的是7月份，發生了187起安全事件。

目前，智能合約安全漏洞、Rug Pull、Web2類型的安全事件（釣魚攻擊、社會工程學）是Web3最主要的三大安全風險。

智能合約安全漏洞事件發生85起，其中47%是邏輯漏洞，主要原因是开發者安全意識薄弱，开發過程不夠嚴謹，引入計算錯誤、業務邏輯錯誤等較低級的安全問題。此外，閃電貸攻擊、權限管理等常見合約漏洞仍佔比較高，均超過10%。總體表明，項目方在進行合約开發的過程中缺少必須的安全意識和技能，導致常見漏洞和初級問題不斷發生。

Rugpull欺詐事件數量呈快速增長趨勢，發生了110次。其中73%發生在BNBChain上，這與BNBChain上的交易成本低、用戶基數大以及新出現的Rugpull黑色產業鏈有直接關系。

Web2類型的安全事件也呈現高速增長的趨勢，這類釣魚攻擊、社會工程學等黑客攻擊手法在Web2時代已非常成熟，Web3項目方和機構容易忽視，這類安全事件通常會竊取錢包账戶授權或直接竊取助記詞、私鑰，盜取用戶加密資產。

那么，從Web3普通用戶的角度應該如何提高自己的安全能力呢？

首先，就是要重視去中心化錢包、私鑰的安全，重視中心化交易账戶和密碼的安全，重視設備、軟件、網絡環境的安全。

此外，為了防範Rugpull欺詐類項目，要注意避免投機、僥幸心理，客觀分析擬投資項目的基本面和數據表現，金融的本質是風控。

最後，時刻保持安全和防範意識，不要隨意點擊鏈接或隨意授權，防範熟人作案。

從Web3項目方和機構角度，要保護好加密資產的安全需要做到如下幾個方面：

首先，在項目設計和开發階段，要有意識的引入威脅建模、安全編碼、安全測試的機制和服務，讓安全建設與業務开發同步進行。

此外，在上线前不僅要進行智能合約的安全審計，Web端、Api端、App端都需要進行安全滲透測試，這些業務載體在黑客眼中都可能成為攻擊的突破口。

最後，在項目運營期間就要建立明確的安全運營機制，例如攻擊監測、應急響應計劃等，在業務代碼需要升級時要重新進行合約審計和滲透測試。在發生安全事件後，能第一時間感知到攻擊並快速做出響應，及時對黑客進行身份追蹤和資產凍結。

如上，是SharkTeam在Web3安全服務過程中總結的幾點基礎但有用的安全建設方案，希望對大家有幫助。但更重要的是，Web3的攻防實際上正在不斷升級，新的攻擊方式也在不斷出現，Web3黑暗森林在不斷進化，面對這種情況，我們又該怎樣應對呢？未知攻焉知防，我們先看兩個典型的例子。

RugPull工廠：在BNBChain上我們發現了多個Rugpull工廠，並已形成了新型的鏈上欺詐黑色產業鏈。欺詐團隊分工明確：

（1）情報收集：專門負責收集行業裏的熱門話題，例如近期熱門的Cyber、TIP、HTX等。

（2）自動發幣：基於熱門事件，迅速發布同名Token，我們監測到某個Rugpull工廠地址一個月可發布70至80個虛假Token。

（3）虛假交易量：欺詐團夥對同名Token在鏈上進行頻繁的买賣，制造交易量，提高隱蔽性，用戶難以分辨真僞。

（4）釣魚/資金盤：制作釣魚網站或土狗騙局，騙取用戶信任，獲得用戶授權或真實購买。

（5）收割：獲得授權或收益後，程序會自動的將用戶資產進行轉移或自動Rugpull。

（6）布局：獲得的收益投入下一個Rugpull項目上，滾雪球一樣，越滾越大。

新型APT攻擊（Advanced Persistent Theft）：Web3黑暗森林中开始出現越來越多的高等級黑客，有些甚至是國家黑客。他們在Web3行業中獲得的資金會經過一系列新型的洗錢模式變成現實資產，為後續不法行為提供資金。這一類黑客的資金轉移方式非常復雜和隱蔽，通常會經過30至50個中間地址進行中轉，並通過“混幣”或“套殼”的方式進行洗錢，追蹤難度很大。

Web3 安全已進入高等級、持續性的網絡對抗階段，那對於Rugpull工廠和新型APT攻擊的威脅，我們應該如何應對？

建立覆蓋事前-事中-事後的Web3安全防御體系，安全從來都是系統工程，是短板效益，一個地方出現問題整體就會被攻破。所以，我們需要建立立體式的安全防御體系，提高防御能力、提高攻擊感知能力、提高安全事件發生後的應急響應能力。

利用無限層級的深度圖分析引擎，結合億級的鏈上標籤和名單數據，對高等級黑客進行身份追蹤和資金追討。通過簡單易用的圖形化界面，降低使用門檻，讓更多的人可以進行有效的鏈上分析，合力發現更多线索，在這一場Web3安全高等級對抗中爭取主動。

SharkTeam的Web3安全服務矩陣如上。

About Us

SharkTeam的愿景是保護Web3世界的安全。團隊由來自世界各地的經驗豐富的安全專業人士和高級研究人員組成，精通區塊鏈和智能合約底層理論。提供包括鏈上大數據分析、鏈上風險預警、智能合約審計、加密資產追討等服務，並打造了鏈上大數據分析和風險預警平臺ChainAegis，平臺支持無限層級的深度圖分析，能有效對抗Web3世界的高級持續性盜竊(Advanced Persistent Theft，APT)風險。已與Web3生態各領域的關鍵參與者,如Polkadot、Moonbeam、polygon、OKX、Huobi Global、imToken、ChainIDE等建立長期合作關系。

官網：https://www.sharkteam.org

Twitter：https://twitter.com/sharkteamorg

Discord：https://discord.gg/jGH9xXCjDZ

Telegram：https://t.me/sharkteamorg