Согласно отчету Cyvers о ключевых тенденциях безопасности на 2024 год, в этом году угрозы в сети Web3 резко возросли, произошло 165 инцидентов безопасности, которые привели к потерям средств более чем на 2.3 миллиарда долларов, что на 40% больше, чем в 2023 году (1.69 миллиарда долларов, с учетом рыночных колебаний). Из них инциденты, связанные с контролем доступа (67 случаев), составили 81% потерь в 2.3 миллиарда долларов; около 98 инцидентов, вызванных уязвимостями смарт-контрактов, привели к общим потерям в 456.3 миллиона долларов, а один инцидент отравления адреса вызвал более 68 миллионов долларов убытков.
Однако по сравнению с 2022 годом (3.78 миллиарда долларов) убытки от инцидентов безопасности в 2024 году снизились на 1.48 миллиарда долларов (снижение на 40%), и 1 миллиард долларов украденных средств были возвращены.
Если рассматривать Web3 как темный лес, полный тумана, здесь есть охотники, скрывающиеся повсюду и ожидающие, когда можно будет нанести удар, есть опытные охранники, а также герои, которые рассекают туман и раскрывают зло. SlowMist, компания, с которой Starlabs Consulting ведет этот разговор в рамках «Disruptors Unplugged», относится к последним двум.
SlowMist Technology — это компания, сосредоточенная на безопасности экосистемы блокчейна, основанная в январе 2018 года. Она предоставляет «интегрированные решения безопасности с учетом местных условий от обнаружения угроз до защиты от угроз» многим ведущим или известным проектам по всему миру и уже стала одной из ведущих международных компаний в области безопасности блокчейна, имея тысячи коммерческих клиентов из более чем десятка стран и регионов. Ее решения по безопасности включают: аудит безопасности, разведка угроз (BTI), развертывание защиты и сопутствующие SaaS-продукты, такие как антиотмывочные меры для криптовалют (AML), сканирование уязвимостей подделки пополнения, мониторинг безопасности (MistEye), база данных взломанных записей (SlowMist Hacked), брандмауэр для смарт-контрактов (FireWall.X) и другие. SlowMist независимо обнаружила и опубликовала множество широко распространенных высокорисковых уязвимостей безопасности блокчейна, что привлекло широкое внимание и признание в отрасли.
Ниже представлены основные моменты беседы в рамках «Disruptors Unplugged».
Основное содержание статьи:
Уязвимости смарт-контрактов, утечки личных ключей, атаки социальной инженерии и атаки на цепочку поставок являются распространенными и серьезными угрозами безопасности в текущей экосистеме Web3, которые продолжают представлять вызов для отрасли.
Безопасность — это процесс динамического управления; аудит безопасности со стороны третьих лиц может в краткосрочной перспективе направить проектные команды на выполнение требований безопасности, но не может обеспечить долгосрочную безопасность и стабильную работу проекта. Поэтому создание и совершенствование своей системы безопасности имеет решающее значение.
В настоящее время MistTrack накопил более 300 миллионов меток адресов, более 1000 адресов-носителей, более 500 тысяч данных разведки угроз и более 90 миллионов адресов с риском, что все способствует обеспечению безопасности цифровых активов и борьбе с отмыванием денег.
Взрывной рост Web3 привел к появлению множества новых проектов и пользователей, однако частота инцидентов безопасности остается высокой, и рынок продолжает испытывать растущий спрос на профессиональные услуги безопасности. В то же время все больше проектов начинают акцентировать внимание на сочетании безопасности и соблюдения норм, что также открывает возможности для профессиональных компаний безопасности.
01
О индустрии Web3
🌃 Starlabs Consulting: Каковы, по вашему мнению, самые серьезные угрозы безопасности в текущей экосистеме Web3?
SlowMist: В текущей экосистеме Web3 мы считаем, что следующие виды угроз безопасности являются наиболее распространенными и серьезными, и эти угрозы продолжают представлять вызов для отрасли.
Во-первых, уязвимости смарт-контрактов — это широко обсуждаемая проблема. Из-за неизменности смарт-контрактов, если уязвимость будет злонамеренно использована, это может привести к непоправимым потерям, что также является основной причиной большинства инцидентов атак. Распространенные проблемы со смарт-контрактами включают неправильное управление правами доступа, переполнение целых чисел и логические ошибки и т. д.
Во-вторых, утечка личных ключей также является серьезной угрозой безопасности; как для пользователей, так и для проектных команд, небрежность в управлении личными ключами (например, неправильное хранение ключей или атаки на устройства) является одной из основных причин кражи активов, безопасность личных ключей напрямую связана с контролем над активами.
Кроме того, атаки социальной инженерии (такие как фишинг, кража учетных записей, подделка личностей и т. д.) также являются довольно распространенными методами злоумышленников. Из-за недостаточной осведомленности пользователей и команд проектов они часто становятся целями для атак.
Наконец, в последнее время произошло несколько инцидентов безопасности, связанных с атаками на цепочку поставок. Поэтому мы считаем, что безопасность цепочки поставок постепенно становится важной проблемой безопасности в индустрии Web3. Уязвимости в безопасности цепочки поставок могут привести к серьезным последствиям; вредоносное ПО и код могут быть внедрены на различных этапах цепочки поставок программного обеспечения, включая инструменты разработки, сторонние библиотеки, облачные сервисы и процесс обновления. Как только эти вредоносные элементы успешно внедряются, злоумышленники могут использовать их для кражи криптоактивов, получения конфиденциальной информации пользователей, разрушения функциональности системы, вымогательства или широкого распространения вредоносного ПО.
🌃 Starlabs Consulting: В условиях частых атак в области Web3, что проектным командам (особенно стартапам) следует делать в повседневной защите, кроме сотрудничества с такими третьими сторонами, как SlowMist? Пожалуйста, дайте им несколько советов.
SlowMist: В настоящее время проекты Web3 сталкиваются с множеством различных методов атак, и взаимодействие между проектами становится все более сложным, что часто приводит к новым угрозам безопасности. Многие команды разработки проектов Web3 в значительной степени лишены опыта в области безопасности и защиты. В процессе разработки проектов команды обычно больше сосредоточены на общих бизнес-аргументах и реализации функционала, чем на создании системы безопасности. Поэтому без полноценной системы безопасности трудно гарантировать уровень безопасности проектов Web3 на протяжении всего их жизненного цикла.
Чтобы обеспечить безопасность, проектные команды обычно нанимают профессиональные команды по безопасности блокчейна для аудита кода. Аудит безопасности может в краткосрочной перспективе направить проектные команды на выполнение требований безопасности, но не может помочь им создать собственную систему безопасности. Команда безопасности SlowMist также открыла (Требования к безопасности проектов Web3) (https://github.com/slowmist/Web3-Project-Security-Practice-Requirement), чтобы продолжать помогать командам проектных организаций в экосистеме блокчейна овладевать навыками безопасности проектов Web3. Мы надеемся, что проектные команды смогут на основе этих требований создать и улучшить свою собственную систему безопасности, чтобы даже после аудита они могли поддерживать определенные уровни безопасности; заинтересованные лица могут искать и читать.
Мы всегда считали, что безопасность — это процесс динамического управления, и полагаться только на краткосрочный аудит со стороны третьих лиц не может обеспечить долгосрочную безопасность и стабильную работу проекта. Поэтому создание и совершенствование системы безопасности проектов Web3 имеет решающее значение; команды проектных организаций должны обладать определенными навыками в области безопасности, чтобы лучше обеспечивать безопасность и стабильную работу проекта. Кроме того, мы рекомендуем командам проектных организаций активно участвовать в сообществе безопасности, изучать последние технологии и опыт в области безопасности и защиты, общаться и сотрудничать с другими командами проектных организаций и экспертами по безопасности, чтобы совместно повышать уровень безопасности всей экосистемы. В то же время усиление внутреннего обучения безопасности и распространение знаний, повышение уровня осведомленности и навыков сотрудников по вопросам безопасности также являются ключевыми шагами в создании и совершенствовании системы безопасности.
🌃 Starlabs Consulting: Как компании по безопасности могут оставаться на шаг впереди постоянно эволюционирующих методов атак?
SlowMist: К примеру, на текущий момент наш подход заключается в следующем. Во-первых, мы должны всегда быть чувствительными к новым угрозам, постоянно отслеживать последние атаки, разрабатывать индивидуализированные инструменты для обнаружения уязвимостей, анализа в цепи и мониторинга, чтобы обеспечить защиту в реальном времени и повысить эффективность реагирования.
Во-вторых, у нас есть сеть обмена разведкой угроз, благодаря тесному сотрудничеству с партнерами по индустрии и проектами мы можем своевременно получать последние сведения о безопасности, а также, используя технологии анализа данных в цепи, отслеживать потоки средств злоумышленников, помогая жертвам как можно больше восстановить свои потери.
Кроме того, обратная инженерия и анализ случаев также являются незаменимой частью. Путем глубокого анализа прошлых инцидентов безопасности и периодического обмена опытом Hacking Time мы постоянно улучшаем наши технические навыки.
02
О SlowMist
🌃 Starlabs Consulting: Вы делаете так много работы каждый день, анализируя адреса хакеров, изучая цепочки и отслеживая потоки средств; какова доля этой работы, выполняемой по поручению, и сколько из нее делается в рамках общественного блага?
SlowMist: Наши услуги по противодействию отмыванию денег и отслеживанию средств в основном происходят из двух источников: по поручению клиентов и в рамках общественного блага.
В области общественных услуг мы участвовали в отслеживании многих крупных публичных атак. Независимо от того, обращаются ли к нам проектные команды или нет, мы всегда следим за ситуацией в первую очередь, и эта часть работы в значительной степени основывается на нашем чувстве ответственности за здоровое развитие отрасли. Мы надеемся, что сможем внести свой вклад в безопасность всей экосистемы Web3, своевременно раскрывая действия хакеров и анализируя методы атак. Кроме того, SlowMist ежедневно получает множество запросов о помощи от жертв, среди которых есть и те, кто потерял десятки миллионов долларов, прося нас оказать услуги по отслеживанию средств и восстановлению убытков. Для этих случаев мы предоставляем бесплатные услуги по оценке дел в рамках общественной помощи (https://aml.slowmist.com/recovery-funds.html).
С другой стороны, SlowMist также предлагает экстренные службы реагирования, специально предназначенные для проектов Web3 (https://cn.slowmist.com/service-incident-response.html), которые помогают проектам быстро и эффективно реагировать на риски, когда они сталкиваются с атаками хакеров и другими экстренными ситуациями. Мы будем подробно анализировать пути вторжения злоумышленников и их действия после взлома, а также составлять профили злоумышленников как в цепи, так и вне ее. В то же время мы также будем отслеживать потоки украденных активов. Эта служба включает весь процесс анализа вторжений в цепь и вне ее до отслеживания и восстановления средств, помогая проектам пересмотреть инциденты безопасности и, опираясь на систему противодействия отмыванию денег (AML) от SlowMist и сеть разведки угроз InMist, максимально помогать проектам восстановить свои финансовые потери.
🌃 Starlabs Consulting: Записи о транзакциях в цепи сложны и многослойны; обычным пользователям сложно анализировать даже одну транзакцию, а вам ежедневно приходится справляться с огромным объемом работы по отслеживанию. У вас есть более эффективные инструменты анализа и базы данных? Чем отличаются инструменты анализа, используемые вами внутри, от MistTrack, доступного для конечных пользователей?
SlowMist: На самом деле мы тоже используем MistTrack (https://misttrack.io), ведь это просто и удобно, а данные полные. В настоящее время MistTrack накопил более 300 миллионов меток адресов, более 1000 адресов-носителей, более 500 тысяч данных разведки угроз и более 90 миллионов адресов с риском, что все способствует обеспечению безопасности цифровых активов и борьбе с отмыванием денег. Отличие в том, что у нашей команды есть внутренний ресурс знаний, который может обеспечить эффективность отслеживания.
🌃 Starlabs Consulting: Нужно ли пользователям, использующим услуги отслеживания MistTrack от SlowMist, беспокоиться о своей личной конфиденциальности? Как вы защищаете личную информацию клиентов?
SlowMist: Не беспокойтесь, как компания в области безопасности, мы, естественно, придаем большое значение защите конфиденциальности, и перед началом сотрудничества всегда информируем пользователей о нашей политике конфиденциальности. Мы стараемся сохранять только данные, необходимые для выполнения услуг, одновременно строго ограничивая доступ, чтобы гарантировать, что только уполномоченные лица могут получить доступ к соответствующей информации; все данные пользователей зашифрованы с использованием современных технологий как во время передачи, так и при хранении.
🌃 Starlabs Consulting: Мы заметили, что SlowMist также предлагает решения по безопасности консорциумных цепей. Каковы основные различия между безопасностью консорциумных и публичных цепей?
SlowMist: Существуют значительные различия в требованиях к безопасности между консорциумными и публичными цепями, которые в первую очередь заключаются в различиях в архитектуре сети, целевой аудитории и сценариях применения. Например, в отношении контроля доступа консорциумные цепи обычно являются разрешенными, и только сертифицированные узлы и пользователи могут присоединяться. Консорциумные цепи чаще сталкиваются с внутренними угрозами, такими как злонамеренные действия узлов, неправильная конфигурация прав доступа и утечка данных. В то время как публичные цепи представляют собой открытые сети, с которыми сталкиваются более сложные и разнообразные угрозы безопасности, включая атаки на 51%, использование уязвимостей смарт-контрактов и атаки на мосты между цепями.
В отношении безопасности узлов количество узлов в консорциумной цепи невелико, обычно поддерживается несколькими доверенными сторонами, что создает высокий уровень доверия, но также сопряжено с высоким риском единой точки отказа. Чтобы повысить производительность, консорциумные цепи часто используют эффективные механизмыConsensus (такие как PBFT, Raft), жертвуя некоторой децентрализацией. В отличие от этого, публичные цепи широко распределены и имеют высокий уровень децентрализации, поэтому они больше полагаются на механизмыConsensus для противодействия действиям злонамеренных узлов. Публичные цепи обычно используют более высокие уровни децентрализации, но с меньшей производительностью механизмыConsensus (такие как PoW, PoS), чтобы повысить устойчивость к цензуре и открытость системы.
Что касается требований к соблюдению норм, консорциумные цепи обычно применяются в корпоративных сценариях, поэтому они должны соответствовать строгим законам и нормам. При проектировании решения по безопасности необходимо в полной мере учитывать требования к аудиту и регулированию. В отличие от этого, публичные цепи более глобальны и сталкиваются с проблемами транснационального законодательства и регулирования, при этом в их проектировании безопасности необходимо балансировать между децентрализацией и эффективностью.
С учетом характеристик этих двух типов цепей, SlowMist предлагает дифференцированные решения по безопасности, чтобы справиться с безопасностными вызовами, с которыми они сталкиваются.
03
О безопасности в индустрии
🌃 Starlabs Consulting: Является ли сектор безопасности Web3 все еще «синим океаном»? Если стартап хочет войти в этот сектор или компания безопасности Web2 хочет расширить свой бизнес в области безопасности Web3, какие сегменты, по вашему мнению, имеют наибольшие шансы?
SlowMist: Взрывной рост Web3 привел к появлению множества новых проектов и пользователей, однако частота инцидентов безопасности остается высокой, и рынок продолжает испытывать растущий спрос на профессиональные услуги безопасности. В то же время все больше проектов начинают акцентировать внимание на сочетании безопасности и соблюдения норм, что также открывает возможности для профессиональных компаний безопасности. Например, обычные пользователи часто страдают от потерь активов из-за фишинговых атак, вредоносного ПО и неправильного управления ключами, поэтому безопасность со стороны пользователей может быть одним из рассматриваемых направлений; также сложность отслеживания средств в цепи и огромный объем работы создают растущую потребность в противодействии отмыванию денег, что также может стать направлением для развития. В целом, сектор безопасности Web3 полон вызовов, но также предлагает огромные возможности.
🌃 Starlabs Consulting: Как оценить потенциальную угрозу квантовых вычислений для существующих криптографических алгоритмов, и какие стратегии могут быть применены в будущем в области криптографии?
SlowMist: В настоящее время угроза квантовых вычислений полностью не проявилась, но в области Web3 и блокчейна технологии квантовых вычислений сильно зависят от безопасности криптографических алгоритмов; в области криптографии можно обеспечить долгосрочную безопасность и стабильное развитие экосистемы за счет технологических инноваций, международного сотрудничества и поэтапного внедрения стратегий.