Con el rápido desarrollo de Web3, la tecnología blockchain y las criptomonedas se han convertido gradualmente en una parte importante del sistema financiero global. Sin embargo, los problemas de seguridad que conlleva también plantean muchos desafíos a este campo emergente. Por lo tanto, el equipo de seguridad de Slowmist ha lanzado especialmente el "Manual de seguridad del proyecto Web3" (https://www.slowmist.com/redhandbook/), denominado "Manual rojo", cuyo objetivo es proporcionar orientación de seguridad integral y practicidad para Habilidad en proyectos y desarrolladores Web3. El Manual Rojo es bilingüe en chino e inglés e incluye principalmente cuatro partes: requisitos de prácticas de seguridad del proyecto Web3, árbol de habilidades de auditoría de contratos inteligentes de SlowMist, guía de auditoría de seguridad de criptomonedas basada en blockchain y soluciones de seguridad de criptoactivos.
Requisitos de la práctica de seguridad del proyecto Web3
Hoy en día, existen infinitos métodos de ataque contra proyectos Web3 y las interacciones entre proyectos se están volviendo cada vez más complejas. Las interacciones entre varios proyectos a menudo introducen nuevos problemas de seguridad y la mayoría de los equipos de desarrollo de proyectos Web3 generalmente carecen de experiencia en defensa y ataques de seguridad de primera línea. , Y al realizar investigación y desarrollo en el proyecto Web3, la atención se centra en la justificación comercial general del proyecto y la realización de las funciones comerciales, y no hay más energía para completar la construcción del sistema de seguridad. Por tanto, en ausencia de un sistema de seguridad, es difícil garantizar la seguridad del proyecto Web3 durante todo su ciclo de vida.
Por lo general, para garantizar la seguridad del proyecto Web3, el equipo del proyecto contratará un excelente equipo de seguridad de blockchain para realizar una auditoría de seguridad de su código. Sin embargo, la auditoría del equipo de seguridad de blockchain es solo una guía a corto plazo y no lo es. No permitir que el equipo del proyecto establezca su propio sistema de seguridad.
Por lo tanto, el equipo de seguridad de SlowMist ha abierto los requisitos de las prácticas de seguridad del proyecto Web3 para continuar ayudando a los equipos de proyecto en el ecosistema blockchain a dominar las habilidades de seguridad correspondientes. Se espera que el equipo del proyecto pueda establecer y mejorar su propio sistema de seguridad basado en el proyecto Web3. requisitos de prácticas de seguridad, también pueden tener ciertas capacidades de seguridad después de la auditoría.
Los requisitos de las prácticas de seguridad del proyecto Web3 incluyen lo siguiente:
Los requisitos de prácticas de seguridad del proyecto Web3 se encuentran actualmente en la versión v0.1 y se pueden leer en su totalidad a través de este enlace:
https://github.com/slowmist/Web3-Project-Security-Practice-Requirements。
Árbol de habilidades de auditoría de seguridad de contratos inteligentes
Este árbol de habilidades es un conjunto de habilidades de los ingenieros de auditoría de seguridad de contratos inteligentes del equipo de seguridad de SlowMist. Su objetivo es enumerar las habilidades necesarias para las auditorías de seguridad de contratos inteligentes para los miembros del equipo e impulsar a los miembros del equipo a formar un pensamiento autoevolutivo en la investigación, la creación y. La ingeniería se divide principalmente en cuatro partes: encontrar la puerta y entrar, apoyarse en la puerta y cantar, integrar y dominar y romper. Las habilidades profesionales que se deben dominar en cada etapa se enumeran de superficial a profunda. son los siguientes:
El contenido completo se puede leer en este enlace: https://github.com/slowmist/SlowMist-Learning-Roadmap-for-Becoming-a-Smart-Contract-Auditor.
Una guía para auditorías de seguridad de criptomonedas basadas en blockchain
Como activo con valor intrínseco, los criptoactivos son irreversibles y difíciles de rastrear, lo que da a los piratas informáticos un fuerte motivo para cometer delitos. Esta sección del Manual Rojo no solo cubre vulnerabilidades de seguridad comunes, sino que también proporciona investigaciones de seguridad detalladas, que incluyen lo siguiente:
Modelado de amenazas a las criptomonedas
El equipo de seguridad de SlowMist utiliza múltiples modelos para identificar amenazas a los sistemas de criptomonedas, como el triplete de la CIA, el modelo STRIDE, el modelo DREAD y PASTA.
Método de prueba
En las pruebas de caja negra y de caja gris, utilizamos pruebas fuzz, pruebas de script y otros métodos para probar la solidez de las interfaces o componentes proporcionando datos aleatorios o construyendo datos con una estructura específica, y exploramos el comportamiento anormal del sistema bajo algunas condiciones límite. como errores o anomalías de rendimiento. En las pruebas de caja blanca, analizamos la definición del objeto y la implementación lógica del código mediante la revisión del código y otros métodos, combinados con la experiencia relevante del equipo de seguridad en vulnerabilidades de seguridad conocidas de blockchain, para garantizar que no haya vulnerabilidades conocidas en la lógica clave y componentes clave del código; al mismo tiempo, ingrese al modo de minería de vulnerabilidades de nuevos escenarios y nuevas tecnologías para descubrir posibles errores de día 0.
Gravedad de la vulnerabilidad
Basado en la metodología CVSS, el equipo de seguridad de SlowMist desarrolló niveles de gravedad de vulnerabilidad de blockchain:
Investigación de seguridad de la cadena pública.
El sistema de inteligencia de amenazas blockchain de Slowmist Technology (https://bti.slowmist.com/) rastrea continuamente los incidentes de seguridad en curso y aplica inteligencia de amenazas a los servicios de auditoría y consultoría de seguridad.
El equipo de seguridad de Slowmist analizó e investigó las vulnerabilidades de seguridad de blockchain conocidas públicamente y compiló una lista de vulnerabilidades comunes de blockchain (https://github.com/slowmist/Cryptocurrency-Security-Audit-Guide/blob/main /Blockchain-Common-Vulnerability-List .Maryland).
Auditoría de seguridad de la cadena pública
La auditoría de seguridad de la cadena pública del equipo de seguridad de SlowMist utiliza de manera integral tres métodos de prueba: caja negra, caja gris y caja blanca. Según las diferentes necesidades de auditoría, lanza una auditoría de seguridad de la red principal, una auditoría de seguridad de capa 2 y una auditoría de seguridad de capa 2 basada en negro y gris. Auditoría de caja. Las auditorías de seguridad del código fuente se centran principalmente en auditorías de caja blanca, y también personalizamos las soluciones de auditoría de seguridad de la cadena de aplicaciones para algunos marcos de desarrollo.
Auditoría de aplicaciones blockchain
Auditoría de seguridad de contratos inteligentes
Otras aplicaciones
El contenido completo se puede leer en este enlace: https://github.com/slowmist/Cryptocurrency-Security-Audit-Guide.
Soluciones de seguridad de criptoactivos
Esta solución es la acumulación de muchos años de experiencia práctica del equipo de seguridad de SlowMist en el servicio de primera línea para la Parte A, y tiene como objetivo proporcionar una gama completa de soluciones de seguridad de activos para los participantes en el mundo de las criptomonedas. Dividimos la seguridad de los criptoactivos en las siguientes cinco partes y brindamos una explicación detallada de cada parte, incluidos varios riesgos y soluciones relacionadas.
Solución de seguridad de activos en línea
Los activos en línea se refieren principalmente a activos correspondientes a claves privadas de moneda cifrada colocadas en servidores en línea, que deben usarse con frecuencia para transacciones de firma y otras operaciones. Por ejemplo, las billeteras calientes y calientes en los intercambios son todos activos en línea. Dado que dichos activos se colocan en servidores en línea, la posibilidad de ser atacado por piratas informáticos aumenta considerablemente y son activos que requieren protección de claves. Debido a la importancia de las claves privadas, mejorar los niveles de almacenamiento de seguridad (como la protección del chip de cifrado de hardware) y eliminar puntos únicos de riesgo son medios importantes para prevenir ataques. SlowMist recomienda mejorar la seguridad de los activos activos en línea desde dos direcciones: "solución de custodia colaborativa" y "solución de configuración de seguridad de clave privada/frase mnemotécnica".
Solución de seguridad de activos fríos
Los activos fríos en el mundo de las criptomonedas se refieren principalmente a activos de gran cantidad que no se comercializan con frecuencia y las claves privadas se mantienen aisladas de Internet. En teoría, cuanto más "fríos" sean los activos fríos, mejor, es decir, garantizar que la clave privada nunca toque Internet, que haya la menor cantidad de transacciones posible y que se evite en la medida de lo posible la exposición de la información de la dirección. Recomendamos que, por un lado, prestemos atención a la seguridad del almacenamiento de la clave privada y lo hagamos lo más "frío" posible; por otro lado, prestemos atención al proceso de gestión de uso y tratemos de evitar la clave privada; fugas, transferencias inesperadas u otros comportamientos desconocidos.
Solución de seguridad de activos DeFi
Actualmente, la mayoría de los participantes de blockchain participan en proyectos DeFi, como minería, préstamos y gestión financiera. Participar en un proyecto DeFi es esencialmente transferir o autorizar sus activos a la parte del proyecto DeFi, lo que implica riesgos de seguridad que están en gran medida fuera del control de uno. Este plan enumera los puntos de riesgo de los proyectos DeFi y organiza formas de evitarlos.
Solución de copia de seguridad segura de propiedad de activos
La copia de seguridad de la propiedad de los activos cifrados es la copia de seguridad de la clave privada o frase mnemotécnica. La clave privada o frase mnemotécnica conlleva la propiedad completa de la criptomoneda. Una vez robada o perdida, se perderán todos los activos. Para el campo de los criptoactivos, la copia de seguridad de claves privadas/frases mnemotécnicas es una deficiencia.
Soluciones de seguimiento y seguimiento de anomalías de activos
Después de tomar una serie de medidas para la custodia segura de los criptoactivos, para hacer frente a situaciones inesperadas como los "cisnes negros", también es necesario monitorear las direcciones de billetera relevantes y proporcionar alarmas anormales para que cada transferencia de activos pueda ser confirmada por el equipo interno verificar.
Esta solución es la primera solución completa para la seguridad de activos cifrados lanzada por SlowMist Technology basada en años de prácticas de defensa y ataques de seguridad de primera línea en el ecosistema blockchain. El contenido completo se puede leer en este enlace: https://github.com/slowmist/cryptocurrency-security.
escribe al final
El "Manual de seguridad del proyecto Web3" es una guía de seguridad detallada y claramente estructurada aplicable a todos los proyectos y desarrolladores de Web3. En este campo en rápido desarrollo, la seguridad es siempre una parte crucial. Dominar estos conocimientos y habilidades de seguridad ayudará a construir un ecosistema Web3 más seguro y confiable. En el futuro, SlowMist continuará generando contenido de investigación de seguridad, enfocándose en la construcción de la ecología blockchain y esforzándose por construir un área segura en el "bosque oscuro" para la ecología blockchain.
Ps. Si desea comprar el manual rojo de edición conmemorativa limitada, vaya a https://1337.slowmist.io/redhandbook.html, haga clic para leer el texto original y salte directamente; si desea la versión en PDF, vaya; a https://www.slowmist com/redhandbook/RedHandbook.pdf Descargar.
