Avec le développement rapide du Web3, la technologie blockchain et les crypto-monnaies sont progressivement devenues une partie importante du système financier mondial. Cependant, les problèmes de sécurité qui en découlent posent également de nombreux défis à ce domaine émergent. Par conséquent, l'équipe de sécurité de Slowmist a spécialement lancé le « Manuel de sécurité du projet Web3 » (https://www.slowmist.com/redhandbook/), appelé « Manuel rouge », qui vise à fournir des conseils de sécurité complets et des aspects pratiques pour Projets et développeurs Web3. Le Manuel rouge est bilingue en chinois et en anglais et comprend principalement quatre parties : les exigences en matière de pratiques de sécurité du projet Web3, l'arbre de compétences en matière d'audit de contrats intelligents SlowMist, le guide d'audit de sécurité des crypto-monnaies basé sur la blockchain et les solutions de sécurité des actifs cryptographiques.
Exigences en matière de pratiques de sécurité du projet Web3
De nos jours, il existe une infinité de méthodes d'attaque contre les projets Web3, et les interactions entre les projets deviennent de plus en plus complexes. Les interactions entre les différents projets introduisent souvent de nouveaux problèmes de sécurité, et la plupart des équipes de développement de projets Web3 manquent généralement d'expérience en matière d'attaque et de défense de sécurité de première ligne. , et lors de la recherche et du développement sur le projet Web3, l'accent est mis sur la justification commerciale globale du projet et la réalisation des fonctions commerciales, et il n'y a plus d'énergie pour achever la construction du système de sécurité. Ainsi, en l’absence de système de sécurité, il est difficile d’assurer la sécurité du projet Web3 tout au long de son cycle de vie.
Habituellement, afin d'assurer la sécurité du projet Web3, l'équipe du projet embauchera une excellente équipe de sécurité blockchain pour effectuer un audit de sécurité de son code. Cependant, l'audit de l'équipe de sécurité blockchain n'est qu'un guide à court terme et ne le fait pas. ne permettra pas à l’équipe du projet d’établir son propre système de sécurité.
Par conséquent, l'équipe de sécurité de SlowMist a open source les exigences en matière de pratiques de sécurité du projet Web3 pour continuer à aider les équipes de projet de l'écosystème blockchain à maîtriser les compétences de sécurité correspondantes. On espère que l'équipe de projet pourra établir et améliorer son propre système de sécurité basé sur le projet Web3. exigences en matière de pratiques de sécurité , peuvent également avoir certaines capacités de sécurité après l'audit.
Les exigences en matière de pratiques de sécurité du projet Web3 sont les suivantes :
Les exigences en matière de pratiques de sécurité du projet Web3 sont actuellement en version v0.1 et peuvent être lues dans leur intégralité via ce lien :
https://github.com/slowmist/Web3-Project-Security-Practice-Requirements。
Arbre de compétences en matière d'audit de sécurité des contrats intelligents
Cet arbre de compétences est un ensemble de compétences des ingénieurs d'audit de sécurité des contrats intelligents de l'équipe de sécurité SlowMist. Il vise à répertorier les compétences requises pour les audits de sécurité des contrats intelligents pour les membres de l'équipe et à inciter les membres de l'équipe à former une réflexion auto-évolutive dans la recherche, la création, et l'ingénierie. Il est principalement divisé en quatre parties : trouver la porte et entrer, s'appuyer sur la porte et chanter, intégrer et maîtriser, et s'évader. Les compétences professionnelles qui doivent être maîtrisées à chaque étape sont répertoriées de superficielle à. profond. Les détails sont les suivants :
Le contenu complet peut être lu sur ce lien : https://github.com/slowmist/SlowMist-Learning-Roadmap-for-Becoming-a-Smart-Contract-Auditor.
Un guide pour les audits de sécurité des crypto-monnaies basés sur la blockchain
En tant qu’actifs dotés d’une valeur intrinsèque, les crypto-actifs sont irréversibles et difficiles à retracer, ce qui donne aux pirates informatiques une forte motivation pour commettre des crimes. Cette section du Red Handbook couvre non seulement les vulnérabilités de sécurité courantes, mais fournit également des recherches détaillées sur la sécurité, notamment les suivantes :
Modélisation des menaces liées aux cryptomonnaies
L'équipe de sécurité de SlowMist utilise plusieurs modèles pour identifier les menaces pesant sur les systèmes de crypto-monnaie, tels que le triplet CIA, le modèle STRIDE, le modèle DREAD et PASTA.
Méthode d'essai
Dans les tests en boîte noire et en boîte grise, nous utilisons des tests fuzz, des tests de script et d'autres méthodes pour tester la robustesse des interfaces ou des composants en fournissant des données aléatoires ou en construisant des données avec une structure spécifique, et explorons le comportement anormal du système dans certaines conditions limites. comme des bugs ou des anomalies de performances. Dans les tests en boîte blanche, nous analysons la définition de l'objet et la mise en œuvre logique du code via une révision du code et d'autres méthodes, combinées à l'expérience pertinente de l'équipe de sécurité dans les vulnérabilités de sécurité connues de la blockchain, pour garantir qu'il n'y a pas de vulnérabilités connues dans la logique clé et composants clés du code. En même temps, entrez dans le mode d'exploration de vulnérabilités de nouveaux scénarios et de nouvelles technologies pour découvrir d'éventuelles erreurs de 0 jour.
Gravité de la vulnérabilité
Sur la base de la méthodologie CVSS, l'équipe de sécurité SlowMist a développé des niveaux de gravité de vulnérabilité blockchain :
Recherche sur la sécurité de la chaîne publique
Le système de renseignement sur les menaces blockchain de Slowmist Technology (https://bti.slowmist.com/) suit en permanence les incidents de sécurité en cours et applique les renseignements sur les menaces aux services de conseil et d'audit en sécurité.
L'équipe de sécurité de Slowmist a analysé et étudié les vulnérabilités de sécurité de la blockchain connues publiquement et a compilé une liste de vulnérabilités courantes de la blockchain (https://github.com/slowmist/Cryptocurrency-Security-Audit-Guide/blob/main /Blockchain-Common-Vulnerability-List .Maryland).
Audit de sécurité de la chaîne publique
L'audit de sécurité de la chaîne publique de l'équipe de sécurité SlowMist utilise de manière exhaustive trois méthodes de test : boîte noire, boîte grise et boîte blanche. Selon les différents besoins d'audit, il lance un audit de sécurité du réseau principal, un audit de sécurité de couche 2 et un audit de sécurité de couche 2 basé sur le noir et le gris. audit de boîte. Les audits de sécurité du code source se concentrent principalement sur les audits en boîte blanche, et nous personnalisons également les solutions d'audit de sécurité de la chaîne d'applications pour certains frameworks de développement.
Audit des applications blockchain
Audit de sécurité des contrats intelligents
Autres applications
Le contenu complet peut être lu sur ce lien : https://github.com/slowmist/Cryptocurrency-Security-Audit-Guide.
Solutions de sécurité des crypto-actifs
Cette solution est l'accumulation de nombreuses années d'expérience pratique de l'équipe de sécurité de SlowMist au service de première ligne de la partie A et vise à fournir une gamme complète de solutions de sécurité des actifs aux participants du monde de la cryptographie. Nous divisons la sécurité des actifs cryptographiques en cinq parties suivantes et fournissons une explication détaillée de chaque partie, y compris les divers risques et solutions associées.
Solution de sécurité des actifs en ligne
Les actifs chauds en ligne font principalement référence aux actifs correspondant aux clés privées de devises cryptées placées dans des serveurs en ligne, qui doivent être fréquemment utilisés pour les transactions de signature et d'autres opérations. Par exemple, les portefeuilles chauds et chauds sur les bourses sont tous des actifs chauds en ligne. Étant donné que ces actifs sont placés sur des serveurs en ligne, le risque d’être attaqué par des pirates informatiques est considérablement accru et ce sont des actifs qui nécessitent une protection clé. En raison de l’importance des clés privées, l’amélioration des niveaux de sécurité du stockage (tels que la protection des puces de cryptage matérielles) et la suppression des points de risque uniques sont des moyens importants pour prévenir les attaques. SlowMist recommande d'améliorer la sécurité des actifs chauds en ligne dans deux directions : « solution de conservation collaborative » et « solution de configuration de sécurité de clé privée/expression mnémonique ».
Solution de sécurité des actifs froids
Les actifs froids dans le monde de la cryptographie font principalement référence à des actifs de grande taille qui ne sont pas fréquemment échangés, et les clés privées sont conservées à l'écart d'Internet. Théoriquement parlant, plus l'actif froid est froid, mieux c'est, c'est-à-dire s'assurer que la clé privée ne touche jamais Internet, qu'il y a le moins de transactions possible et que les informations d'adresse ne sont pas exposées autant que possible. Nous recommandons, d'une part, de prêter attention à la sécurité du stockage des clés privées et de le rendre aussi « froid » que possible, et d'autre part, de prêter attention au processus de gestion de l'utilisation et d'essayer d'éviter les clés privées ; fuites, transferts inattendus ou autres comportements inconnus.
Solution de sécurité des actifs DeFi
Actuellement, la plupart des participants à la blockchain sont impliqués dans des projets DeFi, tels que l'exploitation minière, les prêts et la gestion financière. Participer à un projet DeFi consiste essentiellement à transférer ou à autoriser vos actifs à la partie du projet DeFi, ce qui implique des risques de sécurité largement indépendants de votre volonté. Ce plan répertorie les points de risque des projets DeFi et organise les moyens d'éviter ces risques.
Solution de sauvegarde sécurisée pour la propriété des actifs
La sauvegarde de la propriété des actifs cryptés est la sauvegarde de la clé privée ou de la phrase mnémonique. La clé privée ou la phrase mnémonique porte la propriété complète de la crypto-monnaie. Une fois volée ou perdue, tous les actifs seront perdus. Pour le domaine des actifs cryptographiques, la sauvegarde des clés privées/phrases mnémotechniques constitue une lacune.
Solutions de surveillance et de suivi des anomalies des actifs
Après avoir pris une série de mesures pour assurer la sécurité des actifs cryptographiques, afin de faire face à des situations inattendues telles que les « cygnes noirs », il est également nécessaire de surveiller les adresses de portefeuille pertinentes et de fournir des alarmes anormales afin que chaque transfert d'actifs puisse être confirmé par le équipe interne.
Cette solution est la première solution complète de sécurité des actifs cryptés lancée par SlowMist Technology, basée sur des années d'attaque de sécurité de première ligne et de pratique de défense dans l'écosystème blockchain. Le contenu complet peut être lu sur ce lien : https://github.com/slowmist/cryptocurrency-security.
écris à la fin
"Web3 Project Security Manual" est un guide de sécurité détaillé et clairement structuré applicable à tous les projets et développeurs Web3. Dans ce domaine en évolution rapide, la sécurité est toujours un élément crucial. La maîtrise de ces connaissances et compétences en matière de sécurité contribuera à construire un écosystème Web3 plus sécurisé et plus fiable. À l'avenir, SlowMist continuera à produire du contenu de recherche sur la sécurité, à se concentrer sur la construction de l'écologie de la blockchain et à s'efforcer de construire une zone sûre dans la « forêt sombre » pour l'écologie de la blockchain.
Ps. Si vous souhaitez acheter le manuel rouge en édition commémorative limitée, veuillez vous rendre sur https://1337.slowmist.io/redhandbook.html, cliquez pour lire le texte original pour accéder directement si vous voulez la version PDF, veuillez y accéder ; sur https://www.slowmist.com/redhandbook/RedHandbook.pdf Télécharger.