Numen：沒有 Web2 底層的安全性 就沒有 Web3 安全

引言：

0day 漏洞對傳統網絡安全的破壞力毋庸置疑。但在當前的 Web3 領域中，對於傳統網絡安全漏洞並沒有引起足夠的重視。

這其中有兩方面原因，一是 Web3 行業方興未艾，技術人員與安全設施都處於探索完善中；一是網絡安全相關法規已迫使 Web2 企業注重自身安全建設以最大限度降低安全事件可能性。

這些原因使得當下 Web3 領域更重視鏈上安全，以及區塊鏈生態自身的安全性，對於更底層的漏洞，如系統級漏洞、瀏覽器漏洞、移動安全、硬件安全等領域的漏洞缺乏足夠的認知（下文中對於傳統網絡安全中的 0day 漏洞簡稱為 Web2 0day）。

脆弱的底層安全範式如何支撐 Web3 生態？

Web2 是 Web3 的基礎設施

不可忽視的是，Web3 是建立在 Web2 的基礎設施之上的。Web2 底座如果產生安全漏洞，那么對於 Web3 生態來說就是大廈將傾，會對用戶資產安全會造成極大的威脅。

比如瀏覽器漏洞、移動端漏洞（iOS/Android），可以在用戶無感知的情況下竊取用戶資產。

黑客如何通過 Chrome 0day 竊取你的個人數字資產（圖標僅為示意）

下面是一些利用 Web2 0day 或者漏洞竊取數字資產的真實案例：

1.Hackers steal crypto from Bitcoin ATMs by exploiting zero-day bug

https://www.bleepingcomputer.com/news/security/hackers-steal-crypto-from-bitcoin-atms-by-exploiting-zero-day-bug/

2.North Korean hackers exploited Chrome zero-day for 6 week

https://www.techtarget.com/searchsecurity/news/252515092/North-Korean-hackers-exploited-Chrome-zero-day-bug-for-six-weeks

3.Microsoft Word Vulnerability Could Steal Your Cryptocurrencies

https://thenationview.com/cryptocurrency/43279.html

4.Report: Android Vulnerability Allows Hackers to Steal Crypto Wallet Info

https://cointelegraph.com/news/report-android-vulnerability-allows-hackers-to-steal-crypto-wallet-info

從上述案例可以看出 Web2 漏洞對數字資產的危害是真實存在的，危害以及影響也是非常大的。

Web2 漏洞不僅可以對個人資產造成影響，也會對交易所、資產托管企業、“礦”業等造成嚴重威脅。

Numen 為什么要研究底層安全

從前文可知，當前 Web2 對 Web3 有着極大的影響力，沒有 Web2 底層的安全，就沒有 Web3 領域的安全。

而 Numen 團隊恰好由來自全球的頂級安全專家組成，具備 Web2+Web3 全方位全生態覆蓋的技術能力。Numen 團隊已經發現過微軟、谷歌、蘋果產品的 Web2 高危漏洞，以及如 Aptos，Sui，EoS，Ripple，Tron 等知名 Web3 生態的安全漏洞。

此外，Numen 認為，Web3 領域的安全措施僅通過單一代碼審計等方式並不充足，Web3 領域需要更多的安全設施，如實時檢測與響應惡意交易等。

安全技術是一件嚴肅其直接關乎用戶資產的事情，安全研究能力也是一家安全公司的水平體現，這也是為什么 Numen 從剛开始成立就去做 Web2 漏洞研究的目的，因為“未知攻，焉知防”。

https://www.leiphone.com/category/gbsecurity/CT5us5IC3Fpdu4SX.html

以下是我們numen自己發現的一些安全漏洞的技術細節：

1.《HTTP提權漏洞CVE-2023-23410分析及PoC》

https://mp.weixin.qq.com/s/wMFrOfL5mTO9BHzGhpKrEA

2.《DHCP服務遠程代碼執行漏洞CVE-2023-28231分析及PoC》

https://mp.weixin.qq.com/s/YqZVlQOMg8WEOrVEbsLGwg

3.《獨家揭祕通過泄露Sentinel Value繞過Chrome v8 HardenProtect》

https://mp.weixin.qq.com/s/61AOj7dVeLpaye8-N3ASKw

4.《Javaweb框架ZK CVE-2022-36537漏洞分析附exp》

https://mp.weixin.qq.com/s/Y2e0sHzmRZPKTZPFubntYg

5.《From Leak TheHole to Chrome Render RCE》

https://mp.weixin.qq.com/s/SjteNZ0t886KLOHdZ5XCeA

6.《0day漏洞: Chromium v8引擎最新UAF代碼執行漏洞分析》

https://mp.weixin.qq.com/s/sM6lEDE7Fxn26ONkgPoB4A

Numen 會持續堅持並擴大對底層安全技術的研究，並以兼容並蓄的態度，歡迎友商同行、技術同袍們的溝通交流，Web3 機構，交易所，錢包廠商與我們交流合作，一起將 Web3 領域打造得更為安全。

END

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。