introducción:

No hay duda sobre el poder destructivo de las vulnerabilidades de día 0 para la seguridad de las redes tradicionales. Sin embargo, en el campo Web3 actual, no se ha prestado suficiente atención a las vulnerabilidades de seguridad de las redes tradicionales.

Hay dos razones para esto: primero, la industria Web3 está en ascenso y el personal técnico y las instalaciones de seguridad aún se están explorando y mejorando. Primero, las regulaciones relacionadas con la seguridad de la red han obligado a las empresas Web2 a prestar atención a su propia construcción de seguridad. Minimizar la posibilidad de incidentes de seguridad.

Estas razones hacen que el campo Web3 actual preste más atención a la seguridad en cadena y a la seguridad del ecosistema blockchain en sí. Falta una comprensión suficiente de las vulnerabilidades de nivel inferior, como las vulnerabilidades a nivel del sistema, las vulnerabilidades del navegador, la seguridad móvil. seguridad de hardware y otros campos (en adelante, las vulnerabilidades de 0 días en la seguridad de red tradicional se denominarán Web2 0day).

¿Cómo puede el frágil paradigma de seguridad subyacente respaldar el ecosistema Web3? Web2 es la infraestructura para Web3

No se puede ignorar que Web3 se basa en la infraestructura de Web2. Si se produce una vulnerabilidad de seguridad en la base Web2, el edificio colapsará para el ecosistema Web3, lo que supondrá una gran amenaza para la seguridad de los activos de los usuarios.

Por ejemplo, las vulnerabilidades del navegador y las vulnerabilidades móviles (iOS/Android) pueden robar los activos del usuario sin que éste se dé cuenta.

Cómo los piratas informáticos roban sus activos digitales personales a través de Chrome 0day (los íconos son solo para ilustración)

A continuación se muestran algunos casos de la vida real sobre el uso de Web2 0days o vulnerabilidades para robar activos digitales:

1. Los piratas informáticos roban criptomonedas de los cajeros automáticos de Bitcoin aprovechando un error de día cero

https://www.bleepingcomputer.com/news/security/hackers-steal-crypto-from-bitcoin-atms-by-exploiting-zero-day-bug/

2. Los piratas informáticos norcoreanos explotaron el día cero de Chrome durante 6 semanas

https://www.techtarget.com/searchsecurity/news/252515092/North-Korean-hackers-exploited-Chrome-zero-day-bug-for-six-weeks

3. Una vulnerabilidad en Microsoft Word podría robarte tus criptomonedas

https://thenationview.com/cryptocurrency/43279.html

4. Informe: Una vulnerabilidad de Android permite a los piratas informáticos robar información de billeteras criptográficas

https://cointelegraph.com/news/report-android-vulnerability-allows-hackers-to-steal-crypto-wallet-info

De los casos anteriores, podemos ver que el daño causado por las vulnerabilidades de Web2 a los activos digitales es real, y el daño y el impacto también son muy grandes.

Las vulnerabilidades de Web2 no solo pueden afectar los activos personales, sino que también plantean serias amenazas a las bolsas, las empresas de custodia de activos y la industria "minera".

¿Por qué Numen debería estudiar la seguridad subyacente?

Como se puede ver en el artículo anterior, actualmente Web2 tiene una gran influencia en Web3. Sin la seguridad subyacente de Web2, no habría seguridad en el campo de Web3.

El equipo de Numen está compuesto por los mejores expertos en seguridad de todo el mundo y tiene las capacidades técnicas para cubrir todos los aspectos de Web2+Web3. El equipo de Numen ha descubierto vulnerabilidades Web2 de alto riesgo en productos de Microsoft, Google y Apple, así como vulnerabilidades de seguridad en ecosistemas Web3 conocidos como Aptos, Sui, EoS, Ripple y Tron.

Además, Numen cree que las medidas de seguridad en el campo Web3 no son suficientes mediante una auditoría de código único. El campo Web3 necesita más instalaciones de seguridad, como detección y respuesta en tiempo real a transacciones maliciosas.

La tecnología de seguridad es un asunto serio que está directamente relacionado con los activos del usuario, y las capacidades de investigación de seguridad también son un reflejo del nivel de una empresa de seguridad. Es por eso que Numen ha estado investigando la vulnerabilidad de Web2 desde su creación, porque "no es así". saber defenderse de ataques desconocidos." ".

https://www.leiphone.com/category/gbsecurity/CT5us5IC3Fpdu4SX.html

Aquí están los detalles técnicos de algunas de las vulnerabilidades de seguridad descubiertas por Numen:

1. "Análisis y PoC de vulnerabilidad de elevación de privilegios HTTP CVE-2023-23410"

2. "Análisis y PoC de vulnerabilidad de ejecución remota de código del servicio DHCP CVE-2023-28231"

3. "Revelación exclusiva sobre cómo omitir Chrome v8 HardenProtect mediante la filtración de Sentinel Value"

4. "Análisis de vulnerabilidad del framework Javaweb ZK CVE-2022-36537 con exp"

5.《De Leak TheHole a Chrome Render RCE》

6. "Vulnerabilidad de 0 días: análisis de la última vulnerabilidad de ejecución de código UAF del motor Chromium v8"

Numen continuará adhiriéndose y ampliando la investigación sobre tecnologías de seguridad subyacentes y, con una actitud inclusiva, agradecemos la comunicación y los intercambios de colegas comerciales y colegas técnicos, las instituciones Web3, los intercambios y los fabricantes de billeteras se comunicarán y cooperarán con nosotros para construir conjuntamente. el campo Web3 más seguro.

FIN