Menurut laporan yang dirangkum oleh Cyvers tentang tren keamanan kunci 2024, ancaman jaringan Web3 meningkat tajam tahun ini, dengan 165 insiden keamanan terjadi, menyebabkan kerugian dana lebih dari 2,3 miliar dolar AS, meningkat 40% dibandingkan dengan tahun 2023 (1,69 miliar dolar AS) (dengan faktor pasar). Di antara insiden yang berkaitan dengan kontrol akses (67 insiden) menyumbang 81% dari kerugian 2,3 miliar dolar, sekitar 98 insiden kerentanan kontrak pintar menyebabkan kerugian total 456,3 juta dolar, dan satu insiden keracunan alamat menyebabkan kerugian lebih dari 68 juta dolar.
Namun, dibandingkan dengan tahun 2022 (3,78 miliar dolar), kerugian yang disebabkan oleh insiden keamanan tahun 2024 berkurang 1,48 miliar dolar (penurunan 40%), dan 1,3 miliar dolar dana yang dicuri telah berhasil dipulihkan.
Jika Web3 adalah hutan gelap yang penuh kabut, di sini terdapat pemburu yang mengintai dan menunggu kesempatan untuk menyerang, juga terdapat petugas keamanan yang berpengalaman dalam pengintaian, serta pahlawan yang mengungkap kabut dan mengungkap kejahatan. SlowMist, yang menjadi bagian dari dialog "Disruptors Unplugged" kali ini, termasuk dalam dua kategori terakhir.
SlowMist Technology adalah perusahaan yang fokus pada keamanan ekosistem blockchain, didirikan pada Januari 2018, terutama melayani banyak proyek terkemuka atau terkenal di seluruh dunia melalui "solusi keamanan yang terintegrasi dari deteksi ancaman hingga pertahanan ancaman yang disesuaikan dengan kondisi setempat". Saat ini telah berkembang menjadi perusahaan keamanan blockchain terkemuka secara internasional, memiliki ribuan klien komersial dari lebih dari sepuluh negara dan wilayah di seluruh dunia. Solusi keamaninya meliputi: audit keamanan, intelijen ancaman (BTI), penyebaran pertahanan, dan lainnya, serta dilengkapi dengan produk keamanan berbasis SaaS seperti pencucian uang cryptocurrency (AML), pemindaian kerentanan pengisian ulang palsu, pemantauan keamanan (MistEye), database rekaman yang diretas (SlowMist Hacked), dan firewall kontrak pintar (FireWall.X). SlowMist telah secara independen menemukan dan mengumumkan banyak kerentanan keamanan blockchain umum yang berisiko tinggi dalam industri, mendapatkan perhatian dan pengakuan luas dari kalangan industri.
Berikut adalah ringkasan inti dari dialog "Disruptors Unplugged" kali ini.
Fokus artikel ini:
Kerentanan kontrak pintar, kebocoran kunci privat, serangan rekayasa sosial, dan serangan rantai pasokan adalah ancaman keamanan yang cukup umum dan serius di ekosistem Web3 saat ini, terus menjadi tantangan bagi industri.
Keamanan adalah proses manajemen dinamis, audit keamanan pihak ketiga dapat dalam jangka pendek mengarahkan pihak proyek untuk menerapkan persyaratan praktik keamanan, tetapi tidak dapat benar-benar menjamin proyek berjalan aman dan stabil dalam jangka panjang. Oleh karena itu, membangun dan menyempurnakan sistem keamanannya sendiri sangat penting.
Saat ini, MistTrack telah mengumpulkan lebih dari 300 juta label alamat, lebih dari 1.000 entitas alamat, lebih dari 500.000 data intelijen ancaman, lebih dari 90 juta alamat berisiko, semuanya ini memberikan perlindungan yang kuat untuk memastikan keamanan aset digital dan memerangi kejahatan pencucian uang.
Pertumbuhan eksplosif Web3 telah membawa banyak proyek dan pengguna baru, tetapi insiden keamanan sering terjadi, dan permintaan pasar untuk layanan keamanan profesional terus meningkat. Pada saat yang sama, semakin banyak proyek mulai memperhatikan kombinasi antara keamanan dan kepatuhan, yang juga memberikan titik masuk bagi perusahaan layanan keamanan profesional.
01
Tentang industri Web3
🌃 Starlabs Consulting: Menurut SlowMist, apa saja ancaman keamanan paling serius di ekosistem Web3 saat ini?
SlowMist: Dalam ekosistem Web3 saat ini, kami percaya bahwa beberapa jenis ancaman keamanan berikut cukup umum dan memiliki tingkat keparahan yang tinggi, ancaman-ancaman ini terus menjadi tantangan bagi industri.
Pertama, kerentanan kontrak pintar adalah masalah yang banyak diperhatikan. Karena ketidakberubahan kontrak pintar, begitu kerentanan dimanfaatkan secara jahat, dapat menyebabkan kerugian yang tidak dapat dipulihkan, ini juga merupakan alasan mendasar di balik sebagian besar insiden serangan. Masalah umum kontrak pintar termasuk manajemen izin yang tidak tepat, overflow integer, dan kesalahan logika, dan lain-lain.
Selanjutnya, kebocoran kunci privat juga merupakan ancaman keamanan yang signifikan, baik bagi pengguna maupun pihak proyek, kelalaian dalam pengelolaan kunci privat (seperti penyimpanan kunci privat yang tidak tepat atau perangkat yang diserang) adalah alasan penting aset dicuri, keamanan kunci privat secara langsung berkaitan dengan hak kontrol atas aset.
Selain itu, serangan rekayasa sosial (seperti serangan phishing, pencurian akun, identitas palsu, dll.) juga merupakan cara berbuat jahat yang cukup umum. Karena kurangnya kesadaran keamanan dari sebagian pengguna dan tim proyek, sering kali menjadi titik masuk bagi penyerang untuk menerobos pertahanan.
Akhirnya, baru-baru ini terjadi banyak insiden serangan rantai pasokan, oleh karena itu kami percaya bahwa keamanan rantai pasokan juga perlahan-lahan menjadi masalah keamanan penting di industri Web3. Kerentanan keamanan rantai pasokan dapat membawa konsekuensi serius, perangkat lunak jahat dan kode dapat disisipkan di berbagai tahap rantai pasokan perangkat lunak, termasuk alat pengembangan, pustaka pihak ketiga, layanan cloud, dan proses pembaruan. Setelah elemen jahat ini berhasil disuntikkan, penyerang dapat memanfaatkan untuk mencuri aset kripto, mendapatkan informasi sensitif pengguna, merusak fungsi sistem, melakukan pemerasan, atau menyebarkan perangkat lunak jahat secara luas.
🌃 Starlabs Consulting: Menghadapi banyaknya kejadian serangan di bidang Web3, bagi pihak proyek (terutama proyek yang baru didirikan), selain bekerja sama dengan penyedia layanan keamanan pihak ketiga seperti SlowMist, hal-hal apa yang dapat dilakukan perusahaan dalam pertahanan sehari-hari? Berikan mereka beberapa saran.
SlowMist: Saat ini, proyek Web3 menghadapi berbagai jenis teknik serangan, dan interaksi antar proyek semakin kompleks, kompleksitas ini sering kali memperkenalkan risiko keamanan baru. Banyak tim pengembang proyek Web3 umumnya kekurangan pengalaman pertahanan keamanan lini pertama. Dalam proses pengembangan proyek, tim biasanya lebih fokus pada pembuktian bisnis secara keseluruhan dan pelaksanaan fungsi bisnis, sementara mengabaikan pembangunan sistem keamanan. Oleh karena itu, tanpa sistem keamanan yang sempurna, sulit untuk memastikan keamanan proyek Web3 selama seluruh siklus hidupnya.
Untuk memastikan keamanan, pihak proyek biasanya akan menyewa tim keamanan blockchain profesional untuk melakukan audit kode. Audit keamanan dapat dalam jangka pendek mengarahkan pihak proyek untuk menerapkan persyaratan praktik keamanan, tetapi tidak dapat membantu pihak proyek membangun sistem keamanan mereka sendiri. Tim keamanan SlowMist juga telah mengembangkan (Persyaratan Praktik Keamanan Proyek Web3) secara open-source (https://github.com/slowmist/Web3-Project-Security-Practice-Requirement), untuk terus membantu tim proyek dalam ekosistem blockchain menguasai keterampilan keamanan proyek Web3. Kami berharap pihak proyek dapat membangun dan menyempurnakan sistem keamanan mereka sendiri berdasarkan persyaratan ini, bahkan setelah audit, mereka dapat mempertahankan kemampuan keamanan tertentu, yang berminat dapat mencari dan membaca.
Kami selalu percaya bahwa keamanan adalah proses manajemen dinamis, hanya mengandalkan audit keamanan jangka pendek dari tim keamanan pihak ketiga tidak dapat benar-benar menjamin proyek berjalan aman dan stabil dalam jangka panjang. Oleh karena itu, membangun dan menyempurnakan sistem keamanan proyek Web3 sangat penting, tim pihak proyek sendiri harus memiliki kemampuan keamanan tertentu, untuk lebih baik menjamin keamanan dan kelangsungan proyek. Selain itu, kami merekomendasikan tim pihak proyek juga harus aktif berpartisipasi dalam komunitas keamanan, mempelajari teknologi dan pengalaman ofensif dan defensif terbaru, berkomunikasi dan berkolaborasi dengan tim proyek lain dan para ahli keamanan untuk meningkatkan keamanan keseluruhan ekosistem. Sementara itu, meningkatkan pelatihan keamanan internal dan penyebaran pengetahuan, serta meningkatkan kesadaran dan kemampuan keamanan karyawan, juga merupakan langkah kunci untuk membangun sistem keamanan yang komprehensif.
🌃 Starlabs Consulting: Menghadapi teknik serangan yang terus berkembang, bagaimana perusahaan keamanan dapat "selalu lebih unggul"?
SlowMist: Sebagai contoh dari cara kami saat ini menangani masalah. Pertama, kami harus selalu peka terhadap ancaman baru, terus memantau dinamika serangan terbaru, melalui pengembangan alat deteksi kerentanan, analisis on-chain, dan alat pemantauan yang disesuaikan, untuk mencapai perlindungan waktu nyata dan kemampuan respons yang lebih efisien.
Selanjutnya, kami memiliki jaringan berbagi intelijen ancaman, melalui kerja sama erat dengan mitra industri dan pihak proyek, kami dapat memperoleh intelijen keamanan terbaru secara tepat waktu, sambil memanfaatkan teknologi analisis data on-chain untuk melacak aliran dana penyerang, membantu korban untuk memulihkan kerugian sebanyak mungkin.
Selain itu, rekayasa balik dan analisis kasus juga merupakan bagian yang tidak terpisahkan. Melalui analisis mendalam terhadap kejadian keamanan sebelumnya dan berbagi Hacking Time secara berkala, terus meningkatkan kemampuan teknis kami.
02
Tentang SlowMist
🌃 Starlabs Consulting: Anda melakukan begitu banyak pekerjaan setiap hari, menilai alamat hacker, menganalisis jalur, melacak aliran dana, seberapa besar proporsi yang merupakan permintaan, dan seberapa besar proporsi yang bersifat publik?
SlowMist: Layanan anti pencucian uang dan pelacakan dana SlowMist berasal dari dua aspek: permintaan dari klien dan layanan publik.
Dalam hal layanan publik, kami terlibat dalam banyak pelacakan insiden serangan publik yang signifikan. Baik pihak proyek secara aktif mencari kami atau tidak, kami akan segera mengikuti, bagian pekerjaan ini terutama berasal dari rasa tanggung jawab kami terhadap perkembangan sehat industri. Dengan mengungkap perilaku hacker secara tepat waktu dan menganalisis metode serangan, kami berharap dapat berkontribusi pada keamanan seluruh ekosistem Web3. Selain itu, SlowMist setiap hari menerima banyak permintaan bantuan dari korban, termasuk beberapa korban yang kehilangan lebih dari sepuluh juta dolar, meminta kami menyediakan layanan pelacakan dana dan pemulihan kerugian. Untuk kasus-kasus ini, kami akan memberikan layanan bantuan evaluasi kasus secara gratis (https://aml.slowmist.com/recovery-funds.html).
Di sisi lain, SlowMist juga menyediakan layanan respons darurat khusus untuk pihak proyek Web3 (https://cn.slowmist.com/service-incident-response.html), layanan ini membantu pihak proyek untuk dapat merespons risiko dengan cepat dan efektif ketika menghadapi insiden mendadak seperti serangan hacker. Kami akan menganalisis dengan rinci jalur masuk penyerang dan perilaku setelah masuk, dan membangun gambaran on-chain dan off-chain penyerang. Selain itu, kami juga akan melacak aliran aset yang dicuri. Layanan ini mencakup seluruh proses dari analisis invasi on-chain dan off-chain hingga pelacakan sumber dana, membantu pihak proyek mereview insiden keamanan, dan berdasarkan sistem anti pencucian uang blockchain SlowMist (AML) serta jaringan intelijen ancaman InMist, membantu pihak proyek memulihkan kerugian dana sebanyak mungkin.
🌃 Starlabs Consulting: Rekaman transaksi on-chain yang rumit dan saling terkait, bagi kami pengguna biasa menganalisis satu transaksi saja sudah membuat pusing, Anda setiap hari menangani pekerjaan pelacakan yang masif, apakah Anda memiliki alat analisis dan database yang lebih efisien? Apa perbedaan antara alat analisis pelacakan yang digunakan secara internal dan MistTrack yang ditujukan untuk pengguna C-end?
SlowMist: Sebenarnya kami juga menggunakan MistTrack (https://misttrack.io), karena sederhana dan mudah digunakan, dengan data yang komprehensif. Saat ini, MistTrack telah mengumpulkan lebih dari 300 juta label alamat, lebih dari 1.000 entitas alamat, lebih dari 500.000 data intelijen ancaman, lebih dari 90 juta alamat berisiko, semuanya ini memberikan perlindungan yang kuat untuk memastikan keamanan aset digital dan memerangi kejahatan pencucian uang. Yang berbeda adalah, tim kami memiliki basis pengetahuan internal yang dapat memastikan efisiensi pekerjaan pelacakan.
🌃 Starlabs Consulting: Apakah pengguna perlu khawatir tentang privasi pribadi saat menggunakan layanan pelacakan MistTrack dari SlowMist? Bagaimana Anda melindungi informasi pribadi pelanggan?
SlowMist: Ini tidak perlu dikhawatirkan, sebagai perusahaan keamanan, SlowMist sangat memperhatikan perlindungan privasi, sebelum melakukan kerja sama, kami selalu memberi tahu pengguna tentang kebijakan privasi kami. Kami berusaha untuk hanya menyimpan data yang diperlukan untuk menyelesaikan layanan, sambil membatasi akses dengan ketat, memastikan hanya personel yang berwenang yang dapat mengakses informasi terkait, semua data pengguna menggunakan teknologi enkripsi yang kuat selama transmisi dan penyimpanan.
🌃 Starlabs Consulting: Kami memperhatikan bahwa SlowMist juga menyediakan solusi keamanan rantai konsorsium. Apa perbedaan utama antara keamanan rantai konsorsium dan keamanan rantai publik?
SlowMist: Rantai konsorsium dan rantai publik memiliki perbedaan yang signifikan dalam hal kebutuhan keamanan, perbedaan ini terutama terletak pada arsitektur jaringan, kelompok pengguna, dan skenario aplikasi yang berbeda. Misalnya, dalam hal kontrol akses, rantai konsorsium biasanya adalah rantai berbasis izin, hanya node dan pengguna yang terakreditasi yang dapat bergabung. Rantai konsorsium lebih banyak menghadapi ancaman dari dalam, seperti operasi node jahat, konfigurasi izin yang tidak tepat, dan kebocoran data. Sedangkan rantai publik adalah jaringan terbuka, tantangan keamanan yang dihadapi rantai publik lebih kompleks dan beragam, termasuk serangan 51%, eksploitasi kerentanan kontrak pintar, serangan jembatan lintas rantai, dan lain-lain.
Dalam aspek keamanan node, jumlah node pada rantai konsorsium relatif sedikit, biasanya dikelola oleh beberapa pihak tepercaya bersama, dengan dasar kepercayaan yang tinggi, tetapi juga disertai risiko kegagalan titik tunggal yang lebih tinggi. Untuk meningkatkan kinerja, rantai konsorsium sering menggunakan mekanisme konsensus yang efisien (seperti PBFT, Raft), mengorbankan sebagian desentralisasi. Sebaliknya, node rantai publik tersebar luas, dengan tingkat desentralisasi yang tinggi, sehingga lebih bergantung pada mekanisme konsensus untuk menahan perilaku node jahat. Rantai publik biasanya menggunakan mekanisme konsensus yang lebih tinggi tingkat desentralisasinya, tetapi dengan kinerja yang lebih rendah (seperti PoW, PoS), untuk meningkatkan ketahanan terhadap sensor dan keterbukaan sistem.
Dalam hal kebutuhan kepatuhan, rantai konsorsium biasanya diterapkan dalam skenario tingkat perusahaan, sehingga perlu memenuhi persyaratan hukum dan regulasi yang ketat. Dalam perancangannya, solusi keamanan perlu mempertimbangkan dengan baik kebutuhan audit dan pengawasan. Berbeda dengan itu, operasional rantai publik lebih global, menghadapi tantangan hukum dan regulasi lintas negara, dan dalam desain keamanan perlu menyeimbangkan antara desentralisasi dan efisiensi.
Berdasarkan karakteristik kedua jenis rantai ini, SlowMist menyediakan solusi keamanan yang berbeda untuk menghadapi tantangan keamanan yang dihadapi masing-masing.
03
Tentang industri keamanan
🌃 Starlabs Consulting: Apakah jalur keamanan Web3 ini masih merupakan lautan biru? Jika sebuah perusahaan startup ingin memasuki jalur ini, atau perusahaan keamanan Web2 ingin memperluas bisnis keamanan Web3, bidang mana yang Anda anggap lebih memiliki peluang?
SlowMist: Pertumbuhan eksplosif Web3 telah membawa banyak proyek dan pengguna baru, tetapi insiden keamanan sering terjadi, dan permintaan pasar untuk layanan keamanan profesional terus meningkat. Pada saat yang sama, semakin banyak proyek mulai memperhatikan kombinasi antara keamanan dan kepatuhan, yang juga memberikan titik masuk bagi perusahaan layanan keamanan profesional. Misalnya, pengguna biasa sering mengalami kerugian aset akibat serangan phishing, perangkat lunak jahat, dan pengelolaan kunci yang tidak benar, sehingga keamanan sisi pengguna dapat dipertimbangkan; selain itu, pelacakan dana on-chain yang rumit dan memerlukan banyak tenaga kerja, serta kebutuhan anti pencucian uang yang semakin meningkat, juga bisa berkembang ke arah pelacakan dana dan pencucian uang (AML). Secara keseluruhan, jalur keamanan Web3 penuh dengan tantangan, tetapi juga menyimpan peluang besar.
🌃 Starlabs Consulting: Bagaimana mengevaluasi potensi ancaman teknologi komputasi kuantum terhadap algoritma enkripsi yang ada, dan strategi apa yang dapat diambil di masa depan di bidang enkripsi?
SlowMist: Saat ini, ancaman komputasi kuantum belum sepenuhnya muncul, tetapi di bidang Web3 dan blockchain, teknologi komputasi kuantum sangat bergantung pada keamanan algoritma enkripsi, di bidang enkripsi dapat melalui inovasi teknologi, kerja sama internasional, serta penerapan strategi bertahap untuk memastikan keamanan dan pengembangan berkelanjutan ekosistem.