整理:CrossSpace
12 月 7 日,由亚马逊云科技 Amazon Web Services (AWS) 牵头, CrossSpace 社区独家支持的 Web3 Developer Camp 在 AWS 铜锣湾活动场地成功举办。本次活动作为「Web3 安全」系列研讨会的线下分享环节,成功邀请到来自 Web3 安全、钱包、L1/L2 公链、云服务、交易所和投资机构的专家及高管现场分享,为大家呈现了一场场干货满满及讨论度颇高的 Web3 安全会议。
作为全球云服务市场的领军企业, AWS 一直关注并积极探索 Web3 行业的安全实践。本次牵头举办安全系列活动, AWS 希望能帮助提升行业从业者对安全的认知, 打造可持续发展的 Web3 生态, 为 2024 年各赛道的健康发展奠定基础。参与本次安全主题研讨会的专家和嘉宾来自多个业内领先机构, 包括 ( 排名不分先后 ):Beosin、Conflux、Hashkey Exchange、 OKX Wallet、 Polkadot、Scroll 、SlowMist、 SNZ Capital 和 Taiko。
文章开头,让我们一起回顾本次活动的圆桌热议话题。 该环节邀请到 Web3 领先机构 Taiko、Hashkey Exchange、Beosin 和 SNZ Capital 的高管和专家, 畅聊他们项目是如何实践 Web3 安全使命的, 我们也有幸听到近期热门 L1/L2 公链 Conflux 和 Scroll 在线下首次分享他们 2024 年的技术和生态发展路线。
左起: CrossSpace 联创和首席执行官 Leon( 主持 )、SNZ Capital 投资经理 Michael、Taiko 联创和首席战略官 Terence、Conflux 首席技术官 Ming Wu、Scroll 亚太区增长负责人 Marcus Liu、Hashkey Exchange 交易所产品总监 Vincent Wong、Beosin 安全研究员 Eaton。
圆桌热话: Web3 项目应留意哪些安全事项?
Web3 项目在发展过程中容易盲目追求市场拓展而忽略基础安全, 今年多起大额链上资金被盗事件给 Web3 从业者敲响了安全的警钟。作为一直深耕在安全领域的 Beosin, 其安全研究员 Eaton 给项目方提出这些建议:「项目团队在运行初期需要学会利用 AI 和审计工具来加快审核过程和检测合同漏洞,从而节省审计时间并解决复杂的业务逻辑问题。在项目开发阶段, 团队需要确保商业逻辑的准确性, 注重测试和使用测试驱动的开发方法。同时,要谨慎处理集成第三方应用, 以预防引入未知的安全漏洞。 在项目完成后, 强烈建议项目团队聘请专业的审计团队审计, 以帮助发现和解决潜在的漏洞, 从而确保项目的安全性。」
SNZ Capital 拥有丰富的 Web3 基础设施和应用类项目投资经验。 其投资经理 Michael 也表达了 SNZ 对其投资组合公司安全性的重视:「安全性对于 SNZ 至关重要, 是我们投资策略中的一个重要考量因素。为此, 我们与安全公司建立了合作关系, 为投资组合项目的开发团队提供全方位的安全服务。 除了基础设施和中间件领域的安全管理, 我们还为这些公司提供后期管理服务, 确保他们获得我们熟悉的安全供应商的服务。 我们要求投资组合的公司在其商业战略中将安全放置于首位, 了解安全审计的重要性, 包括实时欺诈、漏洞监测以及兼容性评估等, 确保安全设计。」
圆桌热话: 运作娴熟的 Web3 项目是如何进行安全实践的?
Taiko 作为以太坊生态中增长迅速的开源 ZK-rollup, 通过其完全去中心化的架构和多重验证者参与验证来确保其安全性。 Taiko 联创和首席战略官 Terence 在圆桌会中表示: 「Taiko 是一个等效于以太坊的 Rollup 二层网络, 具有完全去中心化的架构。 其优势包括开源性、社区建设和安全性, 致力于通过全球贡献者的参与保证代码的质量和安全性。目前 Taiko 处于测试网, 测试网中有 10000 多个提案和验证者节点, 这个数字预计还将持续增长。这意味着用户无需信任 Taiko, 我们没有中心化的排序器, 是我们区别于其他二层网络的一个重要特点。」
Hashkey 作为直接与投资用户打交道的香港持牌虚拟资产交易所, 近期不断拓展其产品类别, 如何确保客户的信心和信任,是其首要考虑的命题之一。「Hashkey Exchange 一直致力严格遵守证监会规定的托管政策。 98% 的资产被安全地存放在冷钱包中, 而仅有 2% 存放在热钱包中, 以确保资产的高度安全性。为了进一步保障投资者的权益, 我们与保险公司, 如 AON 和 OneDegree 建立了合作关系, 为用户提供额外的保险保障。」 Hashkey Exchange 产品总监 Vincent Wong 进一步分享表示: 「Hashkey Exchange 从 KYC 验证开始, 确保我们的客户都是合法和真实的。同时, 我们提供密码提醒功能, 并要求用户定期修改密码, 以增强账户的安全性。 除此之外, 我们还会向客户提供教育材料, 邀请他们多学习、研究理解区块链知识及相关设施。通过这些方式, 我们希望能够与客户建立长期的信任和合作关系, 确保他们在使用我们的平台进行交易时感到安全和受保护。」
圆桌热话: Layer1/2 领先公链的技术发展和生态支持
作为 Layer1 的领先公链代表, Conflux 近期公布了其 2024 年的开发者路线图。 首席技术官 Ming Wu 在现场分享了 Conflux 计划改善开发者体验的几个方向, 包括积极寻找可编程的数据可用性 (Data Availability) 解决方案, 使智能合约能够与独立的 DA 层进行互动, 以实现大规模状态的高效存储和检索; 努力将人工智能平台整合到 Conflux 并将其定位为激励层; 积极探索异构虚拟机架构, 以提高可扩展性并拓展生态系统以及研究集成多方计算 (MPC) 以增强隐私保护和抗 MEV 能力等。Ming Wu 表示: 「我们期待在未来几年内, 通过提升系统性能适应更多应用场景, 使我们的技术更加成熟和实用。」
另一条近期上线主网的 Layer2 公链代表 Scroll 亦分享了近期生态安全实践。 Scroll 亚太区增长负责人 Marcus Liu 表示: 「在安全方面, Scroll 最主要的安全来源于我们的 ZKP, 利用 ZK 的数学原理保证了 ZKEVM 是安全可信的运行结果, 并会上传到 ETH 作为一层链进行 ZK Proof 的验证。Scroll 目前除了对所有合约以及电路有严格的审计之外, 也开放了 Bug bounty 计划, 和社区的成员们一起以开源精神加强安全。Roadmap 中接下来对去中心化 Prover 以及去中心化的 Sequencer 达成也能增强 Scroll 去中心化程度以及安全。」
当日活动,除了圆桌环节,AWS 的【Web3 道德黑客和最佳安全实践】培训,和来自安全机构 SlowMist、新一代公链 Polkadot 和 Web3 应用 OKX Wallet 专家的干货分享也值得回味。接下来,就让我们通过记录走近安全一线,了解安全风险类别、实用安全策略、应用端安全和生态开发安全等方面的知识与经验。
智能合约漏洞继续霸榜成 2023 前三黑客攻击类别
智能合约漏洞在 2023 年继续成为最常见的黑客攻击类型之一。据安全公司 Beosin 今年第三季度的安全报告, 合约漏洞利用是排名仅次于私钥泄露和数据库攻击排名第三的攻击类别。 「 22 次合约漏洞利用共造成损失约 9327 万美元。 而按照漏洞细分, 造成损失最多的为重入漏洞, 合约漏洞事件里约有 82.8% 的损失金额来自重入漏洞。」
AWS Web3 解决方案架构师 David Sung 和 Gong Tao 在现场分享了智能合约常看到的三类黑客事件, 其中就包括重入漏洞攻击。在该攻击类别中, 攻击者利用合约中的安全漏洞, 在一笔交易未完成之前反复调用同一个函数, 导致合约的资金被多次转移或消耗。 这种攻击往往是因为合约的设计存在缺陷, 或者没有采取足够的防御策略。 由于重入攻击对智能合约的安全性和稳定性构成了严重威胁, 因此在开发智能合约时, 防御重入攻击应被视为一项关键任务。
另外两类较为常见的攻击方式包括委托调用攻击, 及整数溢出和下溢攻击。 委托调用攻击是为了促进代码重用, EVM 提供了一个操作码 DELEGATECALL, 用于将被调用方契约的字节码插入到调用方契约的字节码中。 因此, 恶意目标合约可以直接修改 ( 或操纵 ) 调用方合约的状态变量。整数溢出和下溢攻击是当算术运算的结果超出了 Solidity 数据类型的范围时会发生的攻击事件, 进而导致对其状态变量进行未经授权的操作。
如想了解如何应对黑客攻击, 可参考 AWS【Web3 道德黑客和最佳安全实践】安全实操课程,访问相关专题页面。
Web3 项目运行前、中、后的安全策略
Web3 项目从运行伊始就需要重视潜在安全风险, 安全事件常发生在智能合约、区块链钱包和交易所方面。SlowMist 香港社区负责人 Tony 现场分享表示: 「在面对区块链的安全事件中, SlowMist 会从事件发生前、事件发生期间以及事件发生后三个阶段来提供解决方案。」 项目方可以根据自身的发展阶段评估安全方面的潜在风险。
在安全事件发生前, 项目方可以就潜在的安全风险进行全方位测试。在此阶段, SlowMist 的红队测试 (Red Teaming) 能帮助项目方从企业人员、企业业务系统、企业供应链、企业办公系统、企业物理安全等真实漏洞进行潜在攻击评估, 提供定制化的安全防御方案, 优先保护容易遭受攻击的节点, 增加攻击者的成本。
在安全事件发生过程中, 项目方应加强链上和链下的安全实时监测, 与安全公司合作及时发现并应对潜在的安全威胁; 在安全事件发生之后, 则应马上采取防御行动, 比如利用 SlowMist 的应急响应支撑服务和链上链下追踪调查服务等功能, 及时抵御攻击, 并找出事件发生的根本原因。
考虑到很多 Web3 项目团队在代码设计阶段就需要考虑安全性, 而不能仅依靠安全公司的短期指导, SlowMist 在 Github 开源了其 Web3 项目安全实践要求, 详细列举了在开发环境下需要留意的安全隐患。此举将能有效鼓励项目团队基于 Web3 项目安全实践要求建立和完善自己的安全系统, 并在安全审计后具备一定的安全能力。
SlowMist 呼吁项目方全方位提升安全能力
积极拥抱前沿技术,打造安全的 Web3 应用
随着区块链底层技术的成熟, 越来越多的 Web3 前端应用接连出现, OKX Wallet 无疑是一款用户体验极佳的产品。作为直面终端用户的应用程序,如何提升用户体验的同时保证用户资金和数据的安全? OKX Wallet 的产品经理 Darrel Wang 现场分享他们的秘诀来自系统底层的安全强化、全栈安全能力和积极拥抱前沿安全技术。下面展开分享:
首先, OKX Wallet 进行了系统级的强化, 确保与用户资产相关的产品具备金融机构级别的安全性。 通过加强应用程序的安全性,努力防止黑客入侵, 确保用户在一个安全的环境中交易。
其次, OKX Wallet 注重全栈的安全能力。从节点服务、区块浏览器到用户终端, 完整的小白导航上下游服务能力, 保障了产品在全流程的合规性和卓越安全性能。 例如, 产品提供的主动风险提示功能, 积极防止钓鱼网站的出现, 进一步保障了用户的资产安全。
再次, OKX Wallet 强调创新, 积极拥抱前沿技术。其今年推出基于账户抽象协议 (EIP-4337) 的智能合约账户, 可恢复的特性将大大提高钱包的安全管理能力; 而其上线的 MPC 无私钥钱包, 则利用多方安全计算技术, 减少了单点故障造成的私钥安全风险, 让用户无惧私钥丢失。
OKX Wallet 定位自身为科技公司, 而非金融公司。 他们目标从产品核心原则和技术角度出发解决问题, 为用户带来安全和便捷的数字交易体验。
OKX Wallet 于 2023 年 4 月上线 MPC 无私钥钱包
Substrate 框架助力开发者打造更安全的区块链
很多开发者对 Substrate 不陌生, 它是一个用于构建区块链的开源的、模块化的和可扩展的区块链开发框架。 Polkadot 中继链 (Relay Chain) 的底层区块链框架便是用 Substrate 构建的。 那么, Substrate 是如何为该生态的开发者提供安全性呢? Polkadot 生态的核心开发者 Jimmy 在活动现场指出 Substrate 框架下, 开发者可预先构建由 Parity 专业工程师提供的组件 (Pallets), 在运行时可升级、无需链分叉, 并且由多种共识机制可供选择, 实现了不同链间的互操作性和安全性。
Jimmy 进一步指出, Polkadot 的核心目标是实现区块链的跨链互操作性和可扩展性。 Polkadot 将不同的区块链连接起来, 使它们可以相互通信并协调工作。 这种架构允许不同的区块链之间进行数据交换和价值转移, 从而提高了整个网络的效率和可扩展性。 其架构包括中继链和平行链, 其中中继链负责验证和安全性, 平行链提供特定功能。 此外, Polkadot 注重可扩展性、安全性和去中心化三个关键属性之间的权衡, 采用独特架构方法和桥接技术实现资产的安全高效转移。
Polkadot 核心构成组件, 中继链负责提供安全性
Web3 项目方需擅用云服务基础设施, 关注服务类别、安全性和灵活度
云服务是 Web3 尤为重要的底层设施, 从交易所、公链到前端应用程序, 都离不开云服务。对 Web3 项目来说, 云服务平台的服务范围、安全性和灵活度尤为重要。AWS 在 Web3 可谓是「家喻户晓」的云服务提供商, 在活动现场, AWS 解决方案架构师 David 对这三方面给予了回应。
从服务类别来说, AWS 是全球广泛采用的云平台, 提供超过 200 个功能丰富的服务, 包括分布在全球的数据中心, 可以满足各类 Web3 公司独特的基础设施需求。AWS 服务了众多的 Web3 项目, 大家最广泛使用的七个 AWS 服务包括: EC2(Nitro Enclaves)、KMS/CloudHSM、API Gateway、S3、Elastic Block Store、Shield Advanced、WAF。
在安全性方面, AWS 一直致力于为项目方提供安全、合规、治理等方面的服务。 通过 AWS Nitro 系统, 安全性在芯片级别内置, 持续监视、保护和验证实例硬件, 最小化潜在的攻击面。AWS 还支持比其他任何云提供商更多的安全标准和认证。其中 Nitro Enclaves 结合 KMS/CloudHSM 为 Web3 BUIDLers 提供了最佳的云上私钥安全管理方案并在业界被广泛采用, Shield Advanced 和 WAF 则为 dApps、Node 和各种 Web3 基础设施层提供了安全防护。
在灵活度方面, AWS 在给项目方提供多种服务类别的同时, 也提供不同产品的定价选项, 以帮助他们优化成本。David 补充道: 「我们提供广泛的分析和机器学习服务选择, 基本能满足项目所有数据分析需求。从数据移动、数据存储、大数据分析、日志分析、流式分析、商业智能和机器学习 (ML) 等等, 同时我们让大家灵活的选择服务以降低成本。」
AWS 为 Web3 项目提供丰富的服务类别
如项目方需要了解如何在 AWS 建立安全的云端应用和 AWS 提供的 Web3 生态支持, 可点击链接了解更多。
以上即为此次活动的精华干货内容分享, 希望对 Web3 的 BUIDLers 和开发者们有所启发。 我们由衷希望在行业各方不断凝聚的安全共识下,Web3 生态能迎来下一阶段的迅速增长,而 CrossSpace 将继续联合 AWS、业内优质的安全公司和 Web3 生态参与方,为大家带来更多分享活动。
文章来源于互联网:AWS Web3 Developer Camp 2023 精华回顾
相关推荐: 慢雾:警惕因使用 Replit 平台注册钱包造成的助记词泄漏
这类攻击成本极低,攻击者只需掌握基本的搜索和扫描技能即可发起攻击。 撰文: 耀 背景 近日有受害者联系慢雾安全团队,其因使用在线编程平台 Replit 创建 Atomicals 协议钱包并分批打入 ATOM(Atomicals 协议 mint 的 ARC20 …