根据 Cyvers 总结 2024 年关键安全趋势的报告,今年 Web3 网络威胁急剧增加,共发生 165 起安全事件,造成资金损失超过 23 亿美元,比 2023 年(16.9 亿美元)高出 40%(有行情因素)。其中,与访问控制相关的事件(67 起)占了 23 亿美元损失的 81%,大约 98 起智能合约漏洞导致的损失总计 4.563 亿美元,1 起地址中毒事件导致了超过 6800 万美元的损失。

不过,与 2022 年(37.8 亿美元)相比,2024 年安全事件造成的损失减少了 14.8 亿美元(降幅 40%),并有 13 亿美元的被盗资金被追回。

如果说 Web3 是一片迷雾重重的黑暗森林,这里有四处潜伏、伺机放冷枪的猎人,也有侦查经验丰富的安保人员,以及拨开迷雾、揭露罪恶的侠客。Starlabs Consulting 本期「Disruptors Unplugged」对话的慢雾科技 SlowMist,就属于后两者。

慢雾科技是一家专注区块链生态安全的公司,成立于 2018 年 1 月,主要通过「威胁发现到威胁防御一体化因地制宜的安全解决方案」服务了全球许多头部或知名项目,现已发展成为国际化的区块链安全头部公司,拥有来自全球十几个国家和地区的上千家商业客户。其安全解决方案包括:安全审计、威胁情报(BTI)、防御部署等服务并配套有加密货币反洗钱(AML)、假充值漏洞扫描、安全监测(MistEye)、被黑档案库(SlowMist Hacked)、智能合约防火墙(FireWall.X)等 SaaS 型安全产品。慢雾曾在行业内独立发现并公布数多起通用高风险的区块链安全漏洞,得到业界广泛关注与认可。

以下为本期「Disruptors Unplugged」对话的精华摘录。

本文重点:

  • 智能合约漏洞、私钥泄露、社会工程学攻击、供应链攻击是当前 Web3 生态中较为常见且严重的安全威胁,持续对行业构成挑战。

  • 安全是一个动态管理的过程,第三方安全审计能在短期内引导项目方落实安全实践要求,但并不能真正保障项目长期安全稳定运行。因此,建立并完善自己的安全体系至关重要。

  • 目前 MistTrack 已积累 3 亿多个地址标签,1,000 多个地址实体,50 万 + 威胁情报数据,9,000 万 + 风险地址,这些都为确保数字资产的安全性、打击洗钱犯罪提供了有力保护。

  • Web3 的爆发式增长带来了大量新项目和用户,但安全事件频发,市场对专业安全服务的需求持续增加。同时,越来越多的项目开始重视安全与合规的结合,这也为专业的安全服务公司提供了切入点。

01

关于 Web3 行业

🌃 Starlabs Consulting:在慢雾看来,当前的 Web3 生态中最严重的安全威胁有哪些?

慢雾:在当前的 Web3 生态中,我们认为以下几类安全威胁较为常见且具有较高的严重性,这些威胁持续对行业构成挑战。

首先,智能合约漏洞是一个被广泛关注的问题。由于智能合约的不可变性,一旦漏洞被恶意利用,可能会导致无法挽回的损失,这也是大部分攻击事件发生的根本原因。常见的智能合约问题包括权限管理不当、整数溢出和逻辑错误等等。

其次,私钥泄露也是一个重大安全隐患,无论是用户还是项目方,在私钥管理上的疏忽(如私钥存储不当或设备遭受攻击)都是资产被盗的重要原因,私钥的安全直接关系到对资产的控制权。

此外,社会工程学攻击(如钓鱼攻击、账号被盗、假冒身份等)也是较为常见的作恶方式。由于部分用户和项目团队的安全意识不足,往往成为攻击者突破防线的切入点。

最后,近期发生了多起供应链攻击的安全事件,因此我们认为供应链安全也逐渐成为 Web3 行业的重要安全问题。供应链安全漏洞可能带来严重的后果,恶意软件和代码可能在软件供应链的各个环节中被植入,包括开发工具、第三方库、云服务和更新过程。一旦这些恶意元素成功注入,攻击者便可利用其窃取加密资产、获取用户敏感信息、破坏系统功能、进行勒索或广泛传播恶意软件。

🌃 Starlabs Consulting:面对 Web3 领域攻击事件高发,对项目方(尤其是初创始项目)而言,除了与慢雾这样的第三方安全服务商合作,企业自身在日常防御方面可以做哪些事情?请给他们一些建议。

慢雾:目前,Web3 项目面临的攻击手法种类繁多,且项目之间的交互越来越复杂,这种复杂性常常会引入新的安全隐患。许多 Web3 项目的研发团队普遍缺乏一线的安全攻防经验。在项目研发过程中,团队通常更关注整体的商业论证和业务功能的实现,而忽视了安全体系的建设。因此,在没有完善安全体系的情况下,很难确保 Web3 项目在整个生命周期中的安全性。

为了确保安全,项目方通常会聘请专业的区块链安全团队进行代码审计。安全审计能在短期内引导项目方落实安全实践要求,但并不能帮助项目方建立属于自己的安全体系。慢雾安全团队也基于此开源了《Web3 项目安全实践要求》(https://github.com/slowmist/Web3-Project-Security-Practice-Requirement),以持续帮助区块链生态中的项目方团队掌握 Web3 项目的安全技能。我们希望项目方能够基于这些要求,建立和完善自己的安全体系,即使在审计之后,也能保持一定的安全能力,感兴趣的可以搜索阅读。

我们始终认为,安全是一个动态管理的过程,单单依赖第三方安全团队的短期审计并不能真正保障项目长期安全稳定地运行。因此,建立并完善 Web3 项目的安全体系至关重要,项目方团队自身必须具备一定的安全能力,才能更好地保障项目的安全和稳定运行。此外,我们建议项目方团队还应积极参与安全社区,学习最新的安全攻防技术和经验,与其他项目方团队及安全专家进行交流与合作,共同提升整个生态的安全性。同时,加强内部安全培训和知识普及,提高员工的安全意识和能力,也是建立完善安全体系的关键步骤。

🌃 Starlabs Consulting:面对不断演变的攻击手段,安全公司如何做到「魔高一尺,道高一丈」?

慢雾:拿慢雾目前的应对方式举例来说。首先,我们必须时刻保持对新型威胁的敏感度,持续监测最新的攻击动态,通过开发定制化的漏洞检测、链上分析和监控工具,实现实时的防护和更高效的响应能力。

其次,我们有一个威胁情报共享网络,通过与行业伙伴和项目方的紧密合作,我们可以及时获得最新的安全情报,同时借助链上数据分析技术,追踪攻击者的资金流向,帮助受害者尽可能挽回损失。

此外,逆向工程和案例复盘也是不可或缺的一部分。通过对过往安全事件的深度复盘以及不定时的 Hacking Time 分享,不断提升自身的技术能力。

02

关于慢雾

🌃 Starlabs Consulting:你们每天做那么多工作,研判黑客地址、分析链路、追踪资金动向,其中有多大比例是接受委托,多大比例是出于公益?

慢雾:慢雾的反洗钱与资金追踪业务主要来源于两方面:客户主动委托和公益性服务。

在公益性服务方面,我们参与了许多重大公开攻击事件的追踪工作。无论项目方是否有主动找到我们,我们都会在第一时间跟进,这一部分工作主要源于我们对行业健康发展的责任感。通过及时揭露黑客行为、分析攻击手法,我们希望能够为整个 Web3 生态的安全性贡献力量。除此之外,慢雾每天都会收到大量受害者的求助信息,其中不乏丢失上千万美金的大额受害者,要求我们提供资金追踪和挽回损失的服务。对于这些案件,我们会免费提供案件评估的社区协助服务(https://aml.slowmist.com/recovery-funds.html)。

另一方面,慢雾还提供专门面向 Web3 项目方的应急响应服务 (https://cn.slowmist.com/service-incident-response.html),这项服务是帮助项目方在遭遇黑客攻击等突发事件时,能够迅速并有效地应对风险。我们会详细分析攻击者的入侵路径和入侵后的行为,并构建攻击者的链上链下画像。同时,我们还会追踪被盗资产的流向。这项服务包括从链上链下入侵分析到资金追踪溯源的全过程,帮助项目方复盘安全事件,并依托慢雾的区块链反洗钱系统(AML)以及 InMist 威胁情报网络,尽可能地帮助项目方挽回资金损失。

🌃 Starlabs Consulting:链上交易记录错综复杂、千丝万缕,我们普通用户针对一笔交易进行分析都感到头大,你们每天应对海量的追踪工作,是有更高效的分析工具和数据库吗?你们内部使用的追踪分析工具和面向 C 端用户的 MistTrack 有何不同?

慢雾:其实我们用的也是 MistTrack (https://misttrack.io),毕竟简单好用,数据全面。目前 MistTrack 已积累 3 亿多个地址标签,1,000 多个地址实体,50 万 + 威胁情报数据,9,000 万 + 风险地址,这些都为确保数字资产的安全性、打击洗钱犯罪提供有力保护。比较不同的是,我们的团队有建立一个内部知识库,可以确保追踪工作的高效性。

🌃 Starlabs Consulting:用户使用慢雾的 MistTrack 追踪服务时,需要担心个人隐私吗?你们如何保护客户个人信息?

慢雾:这个不用担心,慢雾作为一家安全公司,自然非常重视隐私保护,进行合作前都会让用户知晓我们的隐私政策。我们尽量仅保留完成服务所需的数据,同时严格限制访问权限,确保只有授权人员能接触相关信息,所有用户数据在传输和存储中均采用强加密技术。

🌃 Starlabs Consulting:我们注意到慢雾也提供联盟链安全解决方案。请问联盟链安全和公链安全主要有哪些不同?

慢雾:联盟链与公链在安全需求方面存在显著差异,这些差异主要体现在网络架构、用户群体和应用场景的不同。例如,在访问控制方面,联盟链通常是许可链,只有经过认证的节点和用户才能加入。联盟链更多面临来自内部的威胁,如恶意节点操作、不当的权限配置和数据泄露等。而公链则是一个开放的网络,公链面临的安全挑战更复杂多样,包括 51% 攻击、智能合约漏洞利用、跨链桥攻击等。

在节点安全方面,联盟链的节点数量较少,通常由几个可信方共同维护,具有较高的信任基础,但也伴随着较高的单点故障风险。为了提升性能,联盟链多采用高效的共识机制(如 PBFT、Raft),牺牲了部分去中心化。相比之下,公链的节点分布广泛,去中心化程度高,因此更加依赖共识机制来抵御恶意节点的行为。公链通常采用去中心化程度更高,但性能较低的共识机制(如 PoW、PoS),以增强抗审查性和系统的开放性。

在合规性需求方面,联盟链通常应用于企业级场景,因此需要满足严格的法律法规和合规要求。在设计时,安全方案需要充分考虑审计和监管的需求。与此不同,公链的运行范围更加全球化,面临着跨国法律和监管的挑战,且在安全设计上需平衡去中心化与效率。

针对这两类链的特点,慢雾提供了差异化的安全解决方案,以应对它们各自面临的安全挑战。

03

关于安全行业

🌃 Starlabs Consulting:Web3 安全这个赛道还是蓝海吗?如果一家初创企业想进入这个赛道,或者一家 Web2 安全公司想拓展到 Web3 安全业务,你们认为哪些细分领域更有机会?

慢雾:Web3 的爆发式增长带来了大量新项目和用户,但安全事件频发,市场对专业安全服务的需求持续增加。同时越来越多的项目开始重视安全与合规的结合,这也为专业的安全服务公司提供了切入点。例如,普通用户常因钓鱼攻击、恶意软件和密钥管理不当而遭受资产损失,因此用户端安全是可以考虑的;再如链上资金追踪复杂且工作量巨大,反洗钱需求日益增加,也可以往资金追踪与反洗钱(AML)方向发展。总的来说,Web3 安全赛道充满了挑战,但也蕴含着巨大的机会。

🌃 Starlabs Consulting:如何评估量子计算技术对现有加密算法的潜在威胁,未来加密领域可以采取哪些应对策略?

慢雾:目前量子计算的威胁暂时未完全显现,但在 Web3 和区块链领域,量子计算技术高度依赖于加密算法的安全性,加密领域可以通过技术创新、国际合作以及分阶段的策略实施,来确保生态系统的长期安全与稳健发展。