Numen:沒有 Web2 底層的安全性 就沒有 Web3 安全

2023-06-14 00:06:19

引言:

0day 漏洞對傳統網絡安全的破壞力毋庸置疑。但在當前的 Web3 領域中,對於傳統網絡安全漏洞並沒有引起足夠的重視。

這其中有兩方面原因,一是 Web3 行業方興未艾,技術人員與安全設施都處於探索完善中;一是網絡安全相關法規已迫使 Web2 企業注重自身安全建設以最大限度降低安全事件可能性。

這些原因使得當下 Web3 領域更重視鏈上安全,以及區塊鏈生態自身的安全性,對於更底層的漏洞,如系統級漏洞、瀏覽器漏洞、移動安全、硬件安全等領域的漏洞缺乏足夠的認知(下文中對於傳統網絡安全中的 0day 漏洞簡稱為 Web2 0day)。

脆弱的底層安全範式如何支撐 Web3 生態?

Web2 是 Web3 的基礎設施

不可忽視的是,Web3 是建立在 Web2 的基礎設施之上的。Web2 底座如果產生安全漏洞,那么對於 Web3 生態來說就是大廈將傾,會對用戶資產安全會造成極大的威脅。

比如瀏覽器漏洞、移動端漏洞(iOS/Android),可以在用戶無感知的情況下竊取用戶資產。

黑客如何通過 Chrome 0day 竊取你的個人數字資產(圖標僅為示意)

下面是一些利用 Web2 0day 或者漏洞竊取數字資產的真實案例:

1.Hackers steal crypto from Bitcoin ATMs by exploiting zero-day bug

https://www.bleepingcomputer.com/news/security/hackers-steal-crypto-from-bitcoin-atms-by-exploiting-zero-day-bug/

2.North Korean hackers exploited Chrome zero-day for 6 week

https://www.techtarget.com/searchsecurity/news/252515092/North-Korean-hackers-exploited-Chrome-zero-day-bug-for-six-weeks

3.Microsoft Word Vulnerability Could Steal Your Cryptocurrencies

https://thenationview.com/cryptocurrency/43279.html

4.Report: Android Vulnerability Allows Hackers to Steal Crypto Wallet Info

https://cointelegraph.com/news/report-android-vulnerability-allows-hackers-to-steal-crypto-wallet-info

從上述案例可以看出 Web2 漏洞對數字資產的危害是真實存在的,危害以及影響也是非常大的。

Web2 漏洞不僅可以對個人資產造成影響,也會對交易所、資產托管企業、“礦”業等造成嚴重威脅。

Numen 為什么要研究底層安全

從前文可知,當前 Web2 對 Web3 有着極大的影響力,沒有 Web2 底層的安全,就沒有 Web3 領域的安全。

而 Numen 團隊恰好由來自全球的頂級安全專家組成,具備 Web2+Web3 全方位全生態覆蓋的技術能力。Numen 團隊已經發現過微軟、谷歌、蘋果產品的 Web2 高危漏洞,以及如 Aptos,Sui,EoS,Ripple,Tron 等知名 Web3 生態的安全漏洞。

此外,Numen 認為,Web3 領域的安全措施僅通過單一代碼審計等方式並不充足,Web3 領域需要更多的安全設施,如實時檢測與響應惡意交易等。

安全技術是一件嚴肅其直接關乎用戶資產的事情,安全研究能力也是一家安全公司的水平體現,這也是為什么 Numen 從剛开始成立就去做 Web2 漏洞研究的目的,因為“未知攻,焉知防”。

https://www.leiphone.com/category/gbsecurity/CT5us5IC3Fpdu4SX.html

以下是我們numen自己發現的一些安全漏洞的技術細節:

1.《HTTP提權漏洞CVE-2023-23410分析及PoC》

https://mp.weixin.qq.com/s/wMFrOfL5mTO9BHzGhpKrEA

2.《DHCP服務遠程代碼執行漏洞CVE-2023-28231分析及PoC》

https://mp.weixin.qq.com/s/YqZVlQOMg8WEOrVEbsLGwg

3.《獨家揭祕通過泄露Sentinel Value繞過Chrome v8 HardenProtect》

https://mp.weixin.qq.com/s/61AOj7dVeLpaye8-N3ASKw

4.《Javaweb框架ZK CVE-2022-36537漏洞分析附exp》

https://mp.weixin.qq.com/s/Y2e0sHzmRZPKTZPFubntYg

5.《From Leak TheHole to Chrome Render RCE》

https://mp.weixin.qq.com/s/SjteNZ0t886KLOHdZ5XCeA

6.《0day漏洞: Chromium v8引擎最新UAF代碼執行漏洞分析》

https://mp.weixin.qq.com/s/sM6lEDE7Fxn26ONkgPoB4A

Numen 會持續堅持並擴大對底層安全技術的研究,並以兼容並蓄的態度,歡迎友商同行、技術同袍們的溝通交流,Web3 機構,交易所,錢包廠商與我們交流合作,一起將 Web3 領域打造得更為安全。

END

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

btc日內再次下跌 短线應當如何處理?

盡管以太坊現貨ETF獲批是個好消息,但市場反應卻不如預期。在消息公布後,以太坊價格出現了小幅下跌,...

加密蓮
185 4個月前

7月23日、BTC(合約)ETH(合約)行情分析及操作策略

昨日收益還是不錯的,日內給出的現價空單分別止盈我們目標點位,恭喜跟上的朋友喫肉。時間一晃到月底了,...

倪老師
184 4個月前

幣圈院士:血與淚的教訓!交易者為何總是撞死在同一棵樹上?

幣圈院士談。交易市場中的幾種“死法” 在幣圈市場鱗次櫛比的海洋,風起雲湧,時常讓人感到驚手不及。在...

幣圈院士
192 4個月前

7月23:Mt. Gox 比特幣錢包在市場緊縮的情況下轉移了價值 28.2 億美元的 BTC

7月23:Mt. Gox 比特幣錢包在市場緊縮的情況下轉移了價值 28.2 億美元的 BTC一個引...

168超神
189 4個月前

悅盈:比特幣68000的空完美落地反彈繼續看跌 以太坊破前高看回撤

一個人的自律中,藏着無限的可能性,你自律的程度,決定着你人生的高度。 人生沒有近路可走,但你走的每...

我是周悅盈
164 4個月前

btc完美盈利 晚間波動較大注意

昨日btc空單完美給到,最大化走出一千七百點空間~ btc: 日內开盤下跌繼續測試66000一线,...

加密蓮
173 4個月前