Wraz z szybkim rozwojem Web3, technologia blockchain i kryptowaluta stopniowo stały się ważną częścią globalnego systemu finansowego. Jednakże towarzyszące kwestie bezpieczeństwa niosą ze sobą również wiele wyzwań dla tej powstającej dziedziny. Dlatego zespół ds. bezpieczeństwa Slowmist specjalnie uruchomił „Podręcznik bezpieczeństwa projektu Web3” (https://www.slowmist.com/redhandbook/), zwany „Czerwonym podręcznikiem”, którego celem jest zapewnienie kompleksowych wskazówek dotyczących bezpieczeństwa i praktyczności dla Projekty i programiści Web3. Czerwony Podręcznik jest dwujęzyczny w języku chińskim i angielskim i składa się głównie z czterech części: wymagania dotyczące praktyki bezpieczeństwa projektów Web3, drzewo umiejętności audytu inteligentnych kontraktów SlowMist, przewodnik audytu bezpieczeństwa kryptowalut opartych na blockchain oraz rozwiązania w zakresie bezpieczeństwa aktywów kryptograficznych.

Wymagania dotyczące praktyki bezpieczeństwa projektów Web3

Obecnie istnieją nieograniczone metody ataków na projekty Web3, a interakcje między projektami stają się coraz bardziej złożone. Interakcje między różnymi projektami często powodują nowe problemy związane z bezpieczeństwem, a większość zespołów opracowujących projekty Web3 zazwyczaj nie ma doświadczenia w zakresie ataków bezpieczeństwa i obrony pierwszej linii. , a przy prowadzeniu prac badawczo-rozwojowych nad projektem Web3 skupiamy się na ogólnym uzasadnieniu biznesowym projektu i realizacji funkcji biznesowych i nie ma już energii na dokończenie budowy systemu bezpieczeństwa. Dlatego w przypadku braku systemu bezpieczeństwa trudno jest zapewnić bezpieczeństwo projektu Web3 przez cały jego cykl życia.

Zwykle, aby zapewnić bezpieczeństwo projektu Web3, zespół projektowy zatrudni doskonały zespół ds. bezpieczeństwa blockchain do przeprowadzenia audytu bezpieczeństwa jego kodu. Jednak audyt zespołu ds. bezpieczeństwa blockchain jest jedynie przewodnikiem krótkoterminowym i tak jest nie pozwolić zespołowi projektowemu na ustanowienie własnego systemu bezpieczeństwa.

Dlatego zespół ds. bezpieczeństwa SlowMist udostępnił wymagania praktyki bezpieczeństwa projektu Web3 na zasadach open source, aby w dalszym ciągu pomagać zespołom projektowym w ekosystemie blockchain w opanowaniu odpowiednich umiejętności w zakresie bezpieczeństwa. Mamy nadzieję, że zespół projektowy będzie w stanie ustanowić i ulepszyć własny system bezpieczeństwa w oparciu o projekt Web3 wymagania praktyki bezpieczeństwa, mogą również mieć pewne możliwości bezpieczeństwa po audycie.

Wymagania dotyczące praktyki bezpieczeństwa projektów Web3 obejmują:

Wymagania dotyczące praktyki bezpieczeństwa projektu Web3 są obecnie w wersji 0.1 i można je przeczytać w całości, klikając ten link:

https://github.com/slowmist/Web3-Project-Security-Practice-Requirements.

Drzewo umiejętności audytu bezpieczeństwa inteligentnych kontraktów

To drzewo umiejętności to zestaw umiejętności inżynierów ds. audytu bezpieczeństwa inteligentnych kontraktów z zespołu ds. bezpieczeństwa SlowMist. Jego celem jest wyszczególnienie umiejętności wymaganych do audytów bezpieczeństwa inteligentnych kontraktów dla członków zespołu i zachęcenie członków zespołu do samorozwoju myślenia w zakresie badań, tworzenia, i inżynieria jest podzielony głównie na cztery części: znalezienie drzwi i wejście, oparcie się o drzwi i śpiewanie, integracja i opanowanie oraz wybicie się. Umiejętności zawodowe, które należy opanować na każdym etapie, są wymienione od płytkich do Głęboko, szczegóły są następujące:

Pełną treść można przeczytać pod tym linkiem: https://github.com/slowmist/SlowMist-Learning-Roadmap-for-Becoming-a-Smart-Contract-Auditor.

Przewodnik po audytach bezpieczeństwa kryptowalut opartych na Blockchain

Jako aktywa posiadające wartość wewnętrzną, kryptowaluty są nieodwracalne i trudne do wyśledzenia, co daje hakerom silny motyw do popełniania przestępstw. Ta część Czerwonego Podręcznika nie tylko omawia typowe luki w zabezpieczeniach, ale także zawiera szczegółowe badania dotyczące bezpieczeństwa, w tym następujące:

Modelowanie zagrożeń kryptowalutowych

Zespół ds. bezpieczeństwa SlowMist wykorzystuje wiele modeli do identyfikacji zagrożeń dla systemów kryptowalut, takich jak triplet CIA, model STRIDE, model DREAD i PASTA.

Metoda testowa

W testach czarnej skrzynki i testach szarej skrzynki używamy testów rozmytych, testowania skryptów i innych metod w celu sprawdzenia niezawodności interfejsów lub komponentów poprzez dostarczenie losowych danych lub konstruowanie danych o określonej strukturze oraz badanie nieprawidłowego zachowania systemu w pewnych warunkach brzegowych jako błędy lub anomalie wydajności. W testach białoskrzynkowych analizujemy definicję obiektu i implementację logiki kodu poprzez przegląd kodu i inne metody, w połączeniu z odpowiednim doświadczeniem zespołu ds. bezpieczeństwa w zakresie znanych luk w zabezpieczeniach blockchain, aby upewnić się, że nie ma znanych luk w kluczowej logice i kluczowych elementów kodu. ;Jednocześnie wejdź w tryb eksploracji podatności nowych scenariuszy i nowych technologii, aby odkryć możliwe błędy 0-day.

Ważność luki

W oparciu o metodologię CVSS zespół ds. bezpieczeństwa SlowMist opracował poziomy istotności podatności na blockchain:

Badania bezpieczeństwa łańcucha publicznego

  • System analizy zagrożeń oparty na technologii blockchain firmy Slowmist Technology (https://bti.slowmist.com/) stale śledzi bieżące incydenty związane z bezpieczeństwem i wykorzystuje analizę zagrożeń do usług doradztwa i audytu bezpieczeństwa.

  • Zespół ds. bezpieczeństwa Slowmist przeanalizował i zbadał powszechnie znane luki w zabezpieczeniach blockchain i sporządził listę typowych luk w zabezpieczeniach blockchain (https://github.com/slowmist/Cryptocurrency-Security-Audit-Guide/blob/main /Blockchain-Common-Vulnerability-List .md).

Audyt bezpieczeństwa łańcucha publicznego

Audyt bezpieczeństwa łańcucha publicznego prowadzony przez zespół ds. bezpieczeństwa SlowMist kompleksowo wykorzystuje trzy metody testowania: czarną skrzynkę, szarą skrzynkę i białą skrzynkę. W zależności od różnych potrzeb audytowych uruchomiono główny audyt bezpieczeństwa sieci, audyt bezpieczeństwa warstwy 2 i audyt bezpieczeństwa warstwy 2 w oparciu o czarne i Audyt szarej skrzynki. Audyt bezpieczeństwa kodu źródłowego skupiający się na audycie białej skrzynki, a także dostosowane rozwiązania do audytu bezpieczeństwa łańcucha aplikacji dla niektórych frameworków programistycznych.

Audyt aplikacji Blockchain

  • Audyt bezpieczeństwa inteligentnych kontraktów

  • Inne zastosowania

Pełną treść można przeczytać pod tym linkiem: https://github.com/slowmist/Cryptocurrency-Security-Audit-Guide.

Rozwiązania w zakresie bezpieczeństwa kryptowalut

Rozwiązanie to jest nagromadzeniem wieloletniego praktycznego doświadczenia zespołu ds. bezpieczeństwa SlowMist w obsłudze pierwszej linii strony A i ma na celu zapewnienie pełnej gamy rozwiązań w zakresie bezpieczeństwa aktywów uczestnikom świata kryptowalut. Bezpieczeństwo aktywów kryptograficznych dzielimy na pięć następujących części i zapewniamy szczegółowe wyjaśnienie każdej części, w tym różne zagrożenia i powiązane rozwiązania.

Rozwiązanie w zakresie bezpieczeństwa gorących zasobów online

Gorące aktywa online odnoszą się głównie do aktywów odpowiadających kluczom prywatnym zaszyfrowanej waluty umieszczonym na serwerach online, które muszą być często używane do transakcji podpisu i innych operacji. Na przykład gorące i ciepłe portfele na giełdach są gorącymi aktywami online. Ponieważ takie zasoby są umieszczane na serwerach online, ryzyko ataku hakerów jest znacznie zwiększone, a są to aktywa wymagające kluczowej ochrony. Ze względu na znaczenie kluczy prywatnych, poprawa poziomu bezpieczeństwa przechowywania (takiego jak ochrona chipa szyfrującego sprzęt) i usuwanie pojedynczych punktów ryzyka są ważnymi środkami zapobiegania atakom. SlowMist zaleca poprawę bezpieczeństwa gorących zasobów online z dwóch kierunków: „rozwiązanie do współpracy w zakresie opieki” i „rozwiązanie do konfiguracji bezpieczeństwa klucza prywatnego/frazy mnemonicznej”.

Rozwiązanie zabezpieczające zimne aktywa

Aktywa zimne w świecie kryptowalut odnoszą się głównie do aktywów o dużej wartości, które nie są często przedmiotem obrotu, a klucze prywatne są trzymane w izolacji od Internetu. Teoretycznie im zimniejszy zasób, tym lepiej, czyli tak, aby klucz prywatny nigdy nie miał kontaktu z Internetem, aby było jak najmniej transakcji i aby informacje adresowe nie były w jak największym stopniu ujawnione. Zalecamy, aby z jednej strony zwrócić uwagę na bezpieczeństwo przechowywania klucza prywatnego i uczynić go możliwie „zimnym”, z drugiej strony zwrócić uwagę na proces zarządzania użyciem i starać się unikać klucza prywatnego wycieki, nieoczekiwane transfery lub inne nieznane zachowania.

Rozwiązanie zabezpieczające zasoby DeFi

Obecnie większość uczestników blockchain jest zaangażowana w projekty DeFi, takie jak wydobycie, pożyczanie i zarządzanie finansami. Uczestnictwo w projekcie DeFi zasadniczo polega na przekazaniu lub autoryzacji swoich aktywów stronie projektu DeFi, co wiąże się z zagrożeniami bezpieczeństwa, na które w dużej mierze nie ma się wpływu. Plan ten zawiera listę punktów ryzyka projektów DeFi i organizuje sposoby uniknięcia tych zagrożeń.

Rozwiązanie do bezpiecznego tworzenia kopii zapasowych własności zasobów

Kopia zapasowa własności zaszyfrowanego zasobu to kopia zapasowa klucza prywatnego lub frazy mnemonicznej. Klucz prywatny lub fraza mnemoniczna przenosi pełną własność kryptowaluty. Po kradzieży lub zgubieniu wszystkie aktywa zostaną utracone. W przypadku zasobów kryptograficznych tworzenie kopii zapasowych kluczy prywatnych/fraz mnemonicznych jest wadą.

Rozwiązania do monitorowania i śledzenia nieprawidłowości w zakresie aktywów

Po podjęciu szeregu środków w celu bezpiecznego przechowywania aktywów kryptograficznych, aby poradzić sobie z nieoczekiwanymi sytuacjami, takimi jak „czarne łabędzie”, konieczne jest również monitorowanie odpowiednich adresów portfeli i generowanie nietypowych alarmów, aby każdy transfer aktywów mógł zostać potwierdzony przez zespół wewnętrzny.

To rozwiązanie jest pierwszym kompletnym rozwiązaniem zapewniającym bezpieczeństwo szyfrowanych zasobów wprowadzonym przez SlowMist Technology w oparciu o lata doświadczeń w zakresie ataków bezpieczeństwa i obrony na pierwszej linii w ekosystemie blockchain. Pełną treść można przeczytać pod tym linkiem: https://github.com/slowmist/cryptocurrency-security.

napisz na końcu

„Podręcznik bezpieczeństwa projektu Web3” to szczegółowy i przejrzyście zorganizowany przewodnik bezpieczeństwa mający zastosowanie do wszystkich projektów i programistów Web3. W tej szybko rozwijającej się dziedzinie bezpieczeństwo jest zawsze kluczową częścią. Opanowanie wiedzy i umiejętności w zakresie bezpieczeństwa pomoże zbudować bezpieczniejszy i niezawodny ekosystem Web3. W przyszłości SlowMist będzie nadal publikować treści dotyczące badań nad bezpieczeństwem, koncentrować się na budowie ekologii blockchain i dążyć do zbudowania bezpiecznego obszaru w „ciemnym lesie” dla ekologii blockchain.

Ps. Jeśli chcesz kupić limitowaną, pamiątkową edycję czerwonego podręcznika, przejdź do https://1337.slowmist.io/redhandbook.html, kliknij, aby przeczytać oryginalny tekst, aby przejść bezpośrednio. Jeśli chcesz wersję w formacie PDF, przejdź do https://www.slowmist.com/redhandbook/RedHandbook.pdf Pobierz.