De acordo com o relatório da Cyvers que resume as principais tendências de segurança de 2024, as ameaças à rede Web3 aumentaram drasticamente este ano, com 165 eventos de segurança ocorrendo, resultando em perdas financeiras superiores a 2,3 bilhões de dólares, um aumento de 40% em relação a 2023 (1,69 bilhões de dólares) (considerando fatores de mercado). Dentre isso, os eventos relacionados ao controle de acesso (67 eventos) representaram 81% das perdas de 2,3 bilhões de dólares, cerca de 98 eventos de vulnerabilidades de contratos inteligentes resultaram em perdas totais de 456,3 milhões de dólares, e um evento de envenenamento de endereço causou perdas superiores a 68 milhões de dólares.
No entanto, em comparação com 2022 (3,78 bilhões de dólares), as perdas causadas por eventos de segurança em 2024 diminuíram em 1,48 bilhão de dólares (uma redução de 40%), e 1,3 bilhões de dólares de fundos roubados foram recuperados.
Se a Web3 é uma floresta escura repleta de névoa, aqui há caçadores que emboscam e esperam para atacar, além de agentes de segurança experientes e heróis que desbravam a névoa e expõem o mal. A SlowMist, convidada desta edição do 'Disruptors Unplugged' da Starlabs Consulting, pertence aos últimos dois.
SlowMist é uma empresa focada na segurança do ecossistema blockchain, fundada em janeiro de 2018. Através de "soluções de segurança integradas de descoberta de ameaças a defesa de ameaças adaptadas às circunstâncias locais", serviu muitos dos principais ou conhecidos projetos em todo o mundo e se tornou uma empresa líder internacional em segurança blockchain, com milhares de clientes comerciais de mais de dez países e regiões ao redor do mundo. Suas soluções de segurança incluem: auditoria de segurança, inteligência de ameaças (BTI), implantação de defesa e são complementadas por produtos de segurança SaaS, como anti-lavagem de dinheiro (AML) para criptomoedas, varredura de vulnerabilidades de recarga falsa, monitoramento de segurança (MistEye), banco de dados de arquivos hackeados (SlowMist Hacked), firewall de contratos inteligentes (FireWall.X), entre outros. SlowMist identificou e divulgou de forma independente várias vulnerabilidades de segurança de blockchain de alto risco no setor, recebendo ampla atenção e reconhecimento da indústria.
A seguir estão os principais pontos da edição atual do 'Disruptors Unplugged'.
Este artigo foca em:
Vulnerabilidades em contratos inteligentes, vazamentos de chaves privadas, ataques de engenharia social e ataques à cadeia de suprimentos são as ameaças de segurança mais comuns e sérias no ecossistema Web3 atual, representando desafios contínuos para a indústria.
A segurança é um processo de gerenciamento dinâmico, auditorias de segurança de terceiros podem orientar as equipes de projeto a implementar requisitos de práticas de segurança em um curto período, mas não podem realmente garantir que um projeto opere de maneira segura e estável a longo prazo. Portanto, é crucial estabelecer e aprimorar seu próprio sistema de segurança.
Atualmente, o MistTrack acumulou mais de 300 milhões de etiquetas de endereços, mais de 1.000 entidades de endereços, mais de 500.000 dados de inteligência de ameaças e mais de 90 milhões de endereços de risco, todos esses recursos fornecem forte proteção para garantir a segurança dos ativos digitais e combater crimes de lavagem de dinheiro.
O crescimento explosivo da Web3 trouxe uma grande quantidade de novos projetos e usuários, mas os eventos de segurança estão se tornando frequentes, e a demanda do mercado por serviços de segurança profissional continua a aumentar. Ao mesmo tempo, cada vez mais projetos começam a valorizar a combinação de segurança com conformidade, o que também oferece um ponto de entrada para empresas de segurança profissional.
01
Sobre a indústria Web3
🌃 Starlabs Consulting: Na opinião da SlowMist, quais são as ameaças de segurança mais graves no atual ecossistema Web3?
SlowMist: No atual ecossistema Web3, acreditamos que as seguintes categorias de ameaças de segurança são comuns e têm alta gravidade, essas ameaças continuam a representar desafios para a indústria.
Primeiro, as vulnerabilidades em contratos inteligentes são um problema amplamente discutido. Devido à imutabilidade dos contratos inteligentes, uma vez que uma vulnerabilidade é maliciosamente explorada, pode levar a perdas irreparáveis, que é a principal razão pela qual a maioria dos eventos de ataque ocorre. Problemas comuns em contratos inteligentes incluem gerenciamento inadequado de permissões, estouro de inteiros e erros lógicos, entre outros.
Além disso, o vazamento de chaves privadas também é um grande risco de segurança. Tanto usuários quanto equipes de projeto, a negligência na gestão de chaves privadas (como armazenamento inadequado de chaves privadas ou ataques ao dispositivo) são causas importantes para o roubo de ativos, a segurança das chaves privadas está diretamente relacionada ao controle sobre os ativos.
Além disso, ataques de engenharia social (como phishing, roubo de conta, identidade falsa, etc.) também são formas comuns de crime. Devido à falta de conscientização de segurança de alguns usuários e equipes de projeto, eles muitas vezes se tornam pontos de entrada para os atacantes.
Por fim, vários eventos de ataque à cadeia de suprimentos ocorreram recentemente, portanto, acreditamos que a segurança da cadeia de suprimentos também está se tornando um problema de segurança importante na indústria Web3. Vulnerabilidades de segurança na cadeia de suprimentos podem ter consequências graves, o malware e o código podem ser inseridos em todos os aspectos da cadeia de suprimentos de software, incluindo ferramentas de desenvolvimento, bibliotecas de terceiros, serviços em nuvem e processos de atualização. Assim que esses elementos maliciosos forem injetados com sucesso, os atacantes podem usá-los para roubar ativos criptográficos, obter informações sensíveis dos usuários, danificar a funcionalidade do sistema, extorquir ou disseminar malware amplamente.
🌃 Starlabs Consulting: Diante do aumento de eventos de ataque na área Web3, o que as equipes de projeto (especialmente projetos iniciais) podem fazer, além de colaborar com prestadores de serviços de segurança terceirizados como a SlowMist, para se proteger no dia a dia? Por favor, dê algumas sugestões.
SlowMist: Atualmente, as equipes de projetos Web3 enfrentam uma variedade de métodos de ataque, e a interação entre projetos se torna cada vez mais complexa, essa complexidade muitas vezes traz novos riscos de segurança. Muitas equipes de desenvolvimento de projetos Web3 geralmente carecem de experiência prática em defesa e ataque de segurança. Durante o processo de desenvolvimento do projeto, as equipes frequentemente se concentram mais na validação comercial global e na implementação de funções de negócios, negligenciando a construção do sistema de segurança. Portanto, sem um sistema de segurança completo, é difícil garantir a segurança do projeto Web3 durante todo o seu ciclo de vida.
Para garantir a segurança, as equipes de projeto geralmente contratam equipes profissionais de segurança blockchain para auditoria de código. A auditoria de segurança pode orientar as equipes a implementar requisitos de prática de segurança em um curto período, mas não pode ajudar as equipes a estabelecer seu próprio sistema de segurança. A equipe de segurança da SlowMist também lançou (Requisitos de Prática de Segurança de Projetos Web3) (https://github.com/slowmist/Web3-Project-Security-Practice-Requirement) como código aberto, para continuar ajudando as equipes de projetos no ecossistema blockchain a dominar as habilidades de segurança dos projetos Web3. Esperamos que as equipes possam estabelecer e aprimorar seu próprio sistema de segurança com base nesses requisitos, para que possam manter um certo nível de capacidade de segurança mesmo após a auditoria, os interessados podem pesquisar e ler.
Sempre acreditamos que a segurança é um processo de gerenciamento dinâmico, e depender apenas de auditorias de segurança de curto prazo de equipes terceirizadas não pode realmente garantir que um projeto opere de maneira segura e estável a longo prazo. Portanto, é crucial estabelecer e aprimorar o sistema de segurança do projeto Web3. As equipes de projeto devem ter um certo nível de capacidade de segurança para garantir melhor a segurança e a operação estável do projeto. Além disso, sugerimos que as equipes de projeto também participem ativamente da comunidade de segurança, aprendendo as últimas técnicas e experiências de ataque e defesa, e interagindo e colaborando com outras equipes de projetos e especialistas em segurança para melhorar a segurança de todo o ecossistema. Além disso, reforçar o treinamento em segurança interna e a divulgação de conhecimento, aumentando a conscientização e a capacidade de segurança dos funcionários, também é um passo crucial para estabelecer um sistema de segurança completo.
🌃 Starlabs Consulting: Diante dos métodos de ataque em constante evolução, como as empresas de segurança podem alcançar a eficácia máxima?
SlowMist: Para dar um exemplo da abordagem atual da SlowMist. Primeiro, devemos manter constantemente a sensibilidade a novas ameaças, monitorar continuamente as últimas dinâmicas de ataque, desenvolvendo ferramentas personalizadas de detecção de vulnerabilidades, análise on-chain e monitoramento para realizar proteção em tempo real e maior capacidade de resposta.
Além disso, temos uma rede de compartilhamento de inteligência de ameaças. Através de colaboração estreita com parceiros da indústria e equipes de projeto, podemos obter informações de segurança atualizadas em tempo hábil, enquanto usamos a tecnologia de análise de dados on-chain para rastrear o fluxo de fundos dos atacantes, ajudando as vítimas a recuperar perdas na medida do possível.
Além disso, a engenharia reversa e a revisão de casos também são partes indispensáveis. Através da análise profunda de eventos de segurança passados e compartilhamentos de Hacking Time em horários irregulares, continuamos a melhorar nossas capacidades técnicas.
02
Sobre a SlowMist
🌃 Starlabs Consulting: Vocês fazem tanto trabalho todos os dias, avaliando endereços de hackers, analisando links, rastreando fluxos de fundos, qual a proporção disso é feito por encomenda e qual a proporção é por razões de interesse público?
SlowMist: Os negócios de anti-lavagem de dinheiro e rastreamento de fundos da SlowMist vêm principalmente de duas fontes: solicitações ativas dos clientes e serviços de interesse público.
Em termos de serviços de interesse público, participamos do rastreamento de muitos eventos de ataque públicos significativos. Independentemente de as equipes de projeto terem nos procurado ativamente, sempre seguimos de perto esses casos imediatamente, este trabalho se origina principalmente de nossa responsabilidade pelo desenvolvimento saudável da indústria. Ao expor prontamente comportamentos de hackers e analisar métodos de ataque, esperamos contribuir para a segurança de todo o ecossistema Web3. Além disso, a SlowMist recebe diariamente uma quantidade significativa de pedidos de ajuda de vítimas, incluindo vítimas que perderam dezenas de milhões de dólares, solicitando nossos serviços de rastreamento de fundos e recuperação de perdas. Para esses casos, oferecemos serviços de avaliação de casos de assistência comunitária gratuitamente (https://aml.slowmist.com/recovery-funds.html).
Por outro lado, a SlowMist também oferece serviços de resposta a incidentes especificamente voltados para equipes de projetos Web3 (https://cn.slowmist.com/service-incident-response.html), este serviço ajuda as equipes de projetos a responder rapidamente e efetivamente a riscos em caso de ataques de hackers ou eventos inesperados. Analisamos detalhadamente o caminho de invasão do atacante e seu comportamento após a invasão, e construímos um retrato do atacante, tanto na blockchain quanto fora dela. Além disso, rastreamos o fluxo de ativos roubados. Este serviço abrange todo o processo desde a análise de invasão on-chain e off-chain até o rastreamento de fundos, ajudando as equipes de projetos a rever eventos de segurança e, com base no sistema de anti-lavagem de dinheiro (AML) da SlowMist e na rede de inteligência de ameaças InMist, ajudamos as equipes de projetos a recuperar perdas financeiras na medida do possível.
🌃 Starlabs Consulting: Os registros de transações on-chain são complexos e intricados, nós, usuários comuns, já sentimos dificuldade em analisar uma única transação, vocês que lidam com um grande volume de trabalho de rastreamento todos os dias, têm ferramentas de análise e bancos de dados mais eficientes?
SlowMist: Na verdade, também usamos o MistTrack (https://misttrack.io), pois é simples e fácil de usar, com dados abrangentes. Atualmente, o MistTrack acumulou mais de 300 milhões de etiquetas de endereços, mais de 1.000 entidades de endereços, mais de 500.000 dados de inteligência de ameaças e mais de 90 milhões de endereços de risco, todos esses recursos fornecem forte proteção para garantir a segurança dos ativos digitais e combater crimes de lavagem de dinheiro. O que diferencia é que nossa equipe estabeleceu um repositório de conhecimento interno, garantindo a eficiência do trabalho de rastreamento.
🌃 Starlabs Consulting: Os usuários que utilizam o serviço de rastreamento MistTrack da SlowMist precisam se preocupar com a privacidade pessoal? Como vocês protegem as informações pessoais dos clientes?
SlowMist: Não se preocupe, como uma empresa de segurança, a SlowMist valoriza muito a proteção da privacidade e sempre informa os usuários sobre nossa política de privacidade antes de cooperar. Nós tentamos manter apenas os dados necessários para a conclusão dos serviços, enquanto restringimos rigorosamente os direitos de acesso, garantindo que apenas pessoal autorizado tenha acesso às informações relevantes, e todos os dados dos usuários são transmitidos e armazenados com forte tecnologia de criptografia.
🌃 Starlabs Consulting: Notamos que a SlowMist também fornece soluções de segurança para cadeias de consórcio. Quais são as principais diferenças entre a segurança de cadeias de consórcio e a segurança de blockchains públicas?
SlowMist: Há diferenças significativas nas necessidades de segurança entre cadeias de consórcio e blockchains públicas, essas diferenças se manifestam principalmente em diferentes arquiteturas de rede, grupos de usuários e cenários de aplicação. Por exemplo, em termos de controle de acesso, as cadeias de consórcio são geralmente cadeias autorizadas, onde apenas nós e usuários autenticados podem aderir. As cadeias de consórcio enfrentam mais ameaças internas, como operações de nós maliciosos, configuração inadequada de permissões e vazamentos de dados. Já as blockchains públicas são redes abertas, enfrentando desafios de segurança mais complexos e variados, incluindo ataques de 51%, exploração de vulnerabilidades em contratos inteligentes, ataques a pontes entre cadeias, entre outros.
Na segurança de nós, o número de nós na cadeia de consórcio é menor, geralmente mantido por algumas partes confiáveis, com uma base de confiança mais alta, mas também com um risco maior de falha de ponto único. Para melhorar o desempenho, as cadeias de consórcio geralmente usam mecanismos de consenso eficientes (como PBFT, Raft), sacrificando parte da descentralização. Em comparação, a distribuição de nós em uma blockchain pública é ampla e o nível de descentralização é alto, portanto, depende mais do mecanismo de consenso para resistir ao comportamento de nós maliciosos. As blockchains públicas geralmente adotam mecanismos de consenso com maior nível de descentralização, mas com desempenho mais baixo (como PoW, PoS), para aumentar a resistência à censura e a abertura do sistema.
Em termos de requisitos de conformidade, as cadeias de consórcio são geralmente aplicadas em cenários empresariais, portanto precisam atender a rigorosos requisitos legais e de conformidade. Ao projetar, as soluções de segurança precisam considerar totalmente os requisitos de auditoria e supervisão. Ao contrário, as blockchains públicas operam em uma escala mais global, enfrentando desafios legais e regulatórios transnacionais, e precisam equilibrar descentralização e eficiência no design de segurança.
Com base nas características dessas duas categorias de cadeias, a SlowMist oferece soluções de segurança diferenciadas para enfrentar os desafios de segurança que cada uma enfrenta.
03
Sobre a indústria de segurança
🌃 Starlabs Consulting: O campo da segurança Web3 ainda é um oceano azul? Se uma startup quiser entrar nesse campo, ou uma empresa de segurança Web2 quiser expandir para o negócio de segurança Web3, quais subáreas você acha que têm mais oportunidades?
SlowMist: O crescimento explosivo da Web3 trouxe uma grande quantidade de novos projetos e usuários, mas os eventos de segurança estão se tornando frequentes, e a demanda do mercado por serviços de segurança profissional continua a aumentar. Ao mesmo tempo, cada vez mais projetos começam a valorizar a combinação de segurança com conformidade, o que também oferece um ponto de entrada para empresas de segurança profissional. Por exemplo, usuários comuns muitas vezes sofrem perdas de ativos devido a ataques de phishing, malware e gestão inadequada de chaves, portanto, a segurança do lado do usuário é algo a ser considerado; além disso, o rastreamento de fundos on-chain é complexo e trabalhoso, a necessidade de anti-lavagem de dinheiro está aumentando, o que também pode se desenvolver na direção de rastreamento de fundos e anti-lavagem de dinheiro (AML). Em resumo, a trilha de segurança da Web3 está cheia de desafios, mas também contém enormes oportunidades.
🌃 Starlabs Consulting: Como avaliar a ameaça potencial da tecnologia quântica aos algoritmos criptográficos existentes e quais estratégias podem ser adotadas no futuro no campo da criptografia?
SlowMist: Atualmente, a ameaça da computação quântica ainda não se manifestou completamente, mas no campo da Web3 e blockchain, a tecnologia de computação quântica depende fortemente da segurança dos algoritmos criptográficos. O campo da criptografia pode garantir a segurança a longo prazo e o desenvolvimento saudável do ecossistema por meio de inovações tecnológicas, cooperação internacional e implementação de estratégias em fases.