Với sự phát triển nhanh chóng của Web3, công nghệ blockchain và tiền điện tử đã dần trở thành một phần quan trọng của hệ thống tài chính toàn cầu. Tuy nhiên, các vấn đề bảo mật đi kèm cũng mang đến nhiều thách thức cho lĩnh vực mới nổi này. Do đó, nhóm bảo mật Slowmist đã đặc biệt ra mắt "Sổ tay bảo mật dự án Web3" (https://www.slowmist.com/redhandbook/), được gọi là "Sổ tay đỏ", nhằm mục đích cung cấp hướng dẫn bảo mật toàn diện và tính thực tiễn cho Các dự án và nhà phát triển Web3. Cẩm nang Đỏ có song ngữ bằng tiếng Trung và tiếng Anh và chủ yếu bao gồm bốn phần: yêu cầu thực hành bảo mật dự án Web3, cây kỹ năng kiểm tra hợp đồng thông minh SlowMist, hướng dẫn kiểm tra bảo mật tiền điện tử dựa trên blockchain và giải pháp bảo mật tài sản tiền điện tử.

Yêu cầu thực hành bảo mật dự án Web3

Ngày nay, có vô số phương thức tấn công chống lại các dự án Web3 và sự tương tác giữa các dự án ngày càng trở nên phức tạp hơn. Sự tương tác giữa các dự án khác nhau thường gây ra các vấn đề bảo mật mới và hầu hết các nhóm phát triển dự án Web3 thường thiếu kinh nghiệm phòng thủ và tấn công bảo mật tuyến đầu. , và khi tiến hành nghiên cứu và phát triển dự án Web3, trọng tâm là giải trình kinh doanh tổng thể của dự án và hiện thực hóa các chức năng kinh doanh, đồng thời không còn sức lực để hoàn thành việc xây dựng hệ thống bảo mật. Do đó, nếu không có hệ thống bảo mật thì khó có thể đảm bảo tính bảo mật của dự án Web3 trong suốt vòng đời của nó.

Thông thường, để đảm bảo tính bảo mật của dự án Web3, nhóm dự án sẽ thuê một nhóm bảo mật blockchain xuất sắc để tiến hành kiểm tra bảo mật mã của nó. Tuy nhiên, việc kiểm tra nhóm bảo mật blockchain chỉ là một hướng dẫn ngắn hạn và thực hiện. không cho phép nhóm dự án thiết lập hệ thống Bảo mật của riêng mình.

Do đó, nhóm bảo mật SlowMist đã cung cấp nguồn mở các yêu cầu thực hành bảo mật dự án Web3 để tiếp tục giúp các nhóm dự án trong hệ sinh thái blockchain nắm vững các kỹ năng bảo mật tương ứng. Hy vọng rằng nhóm dự án có thể thiết lập và cải thiện hệ thống bảo mật của riêng họ dựa trên dự án Web3. yêu cầu thực hành bảo mật, cũng có thể có khả năng bảo mật nhất định sau khi kiểm tra.

Các yêu cầu thực hành bảo mật dự án Web3 bao gồm:

Các yêu cầu thực hành bảo mật dự án Web3 hiện có ở phiên bản v0.1 và có thể đọc đầy đủ qua liên kết này:

https://github.com/slowmist/Web3-Project-Security-Practice-Requirements。

Cây kỹ năng kiểm tra bảo mật hợp đồng thông minh

Cây kỹ năng này là bộ kỹ năng của các kỹ sư kiểm tra bảo mật hợp đồng thông minh của Nhóm bảo mật SlowMist. Nó nhằm mục đích liệt kê các kỹ năng cần thiết để kiểm tra bảo mật hợp đồng thông minh cho các thành viên trong nhóm và thúc đẩy các thành viên trong nhóm hình thành tư duy tự phát triển trong nghiên cứu, sáng tạo, và kỹ thuật Nó chủ yếu được chia thành bốn phần: tìm cửa và đi vào, dựa vào cửa và hát, tích hợp và làm chủ, và đột phá. Các chi tiết như sau:

Toàn bộ nội dung có thể được đọc tại liên kết này: https://github.com/slowmist/SlowMist-Learning-Roadmap-for-Becoming-a-Smart-Contract-Auditor.

Hướng dẫn kiểm tra bảo mật tiền điện tử dựa trên Blockchain

Là một tài sản có giá trị nội tại, tài sản tiền điện tử không thể thay đổi được và khó truy tìm, điều này tạo động cơ mạnh mẽ cho tin tặc phạm tội. Phần này của Sổ tay Đỏ không chỉ đề cập đến các lỗ hổng bảo mật phổ biến mà còn cung cấp nghiên cứu bảo mật chi tiết, bao gồm những nội dung sau:

Mô hình hóa mối đe dọa tiền điện tử

Nhóm bảo mật SlowMist sử dụng nhiều mô hình để xác định các mối đe dọa đối với hệ thống tiền điện tử, chẳng hạn như bộ ba CIA, mô hình STRIDE, mô hình DREAD và PASTA.

Phương pháp thử

Trong thử nghiệm hộp đen và thử nghiệm hộp xám, chúng tôi sử dụng thử nghiệm fuzz, thử nghiệm tập lệnh và các phương pháp khác để kiểm tra độ bền của giao diện hoặc thành phần bằng cách cung cấp dữ liệu ngẫu nhiên hoặc xây dựng dữ liệu có cấu trúc cụ thể và khám phá hành vi bất thường của hệ thống trong một số điều kiện biên như vậy. như lỗi hoặc bất thường về hiệu suất. Trong thử nghiệm hộp trắng, chúng tôi phân tích định nghĩa đối tượng và triển khai logic của mã thông qua đánh giá mã và các phương pháp khác, kết hợp với kinh nghiệm liên quan của nhóm bảo mật về các lỗ hổng bảo mật blockchain đã biết, để đảm bảo rằng không có lỗ hổng nào đã biết trong logic chính và các thành phần chính của mã; Đồng thời, vào chế độ khai thác lỗ hổng của các kịch bản mới và công nghệ mới để phát hiện các lỗi 0day có thể xảy ra.

Mức độ nghiêm trọng của lỗ hổng

Dựa trên phương pháp CVSS, nhóm bảo mật SlowMist đã phát triển mức độ nghiêm trọng của lỗ hổng blockchain:

Nghiên cứu an ninh chuỗi công cộng

  • Hệ thống thông tin về mối đe dọa blockchain của Slowmist Technology (https://bti.slowmist.com/) liên tục theo dõi các sự cố bảo mật đang diễn ra và áp dụng thông tin về mối đe dọa cho các dịch vụ kiểm toán và tư vấn bảo mật.

  • Nhóm bảo mật Slowmist đã phân tích và nghiên cứu các lỗ hổng bảo mật blockchain được biết đến công khai và biên soạn danh sách các lỗ hổng blockchain phổ biến (https://github.com/slowmist/Cryptocurrency-Security-Audit-Guide/blob/main /Blockchain-Common-Vulnerability- Danh sách.md).

Kiểm toán an ninh chuỗi công cộng

Kiểm tra bảo mật chuỗi công cộng của nhóm bảo mật SlowMist sử dụng toàn diện ba phương pháp kiểm tra: hộp đen, hộp màu xám và hộp trắng. Theo các nhu cầu kiểm tra khác nhau, nhóm sẽ triển khai kiểm tra bảo mật mạng chính, kiểm tra bảo mật lớp 2 và kiểm tra bảo mật lớp 2 dựa trên màu đen và xám. kiểm tra hộp. Kiểm tra bảo mật mã nguồn chủ yếu tập trung vào kiểm tra hộp trắng và chúng tôi cũng tùy chỉnh các giải pháp kiểm tra bảo mật chuỗi ứng dụng cho một số khung phát triển.

Kiểm toán ứng dụng chuỗi khối

  • Kiểm tra bảo mật hợp đồng thông minh

  • Các ứng dụng khác

Toàn bộ nội dung có thể được đọc tại liên kết này: https://github.com/slowmist/Cryptocurrency-Security-Audit-Guide.

Giải pháp bảo mật tài sản tiền điện tử

Giải pháp này là sự tích lũy kinh nghiệm thực tế nhiều năm của nhóm bảo mật SlowMist trong dịch vụ tuyến đầu cho Bên A. Nó nhằm mục đích cung cấp cho những người tham gia trong thế giới tiền điện tử một giải pháp bảo mật tài sản toàn diện. Chúng tôi chia tính bảo mật của tài sản tiền điện tử thành năm phần sau đây và đưa ra lời giải thích chi tiết về từng phần, bao gồm các rủi ro khác nhau và các giải pháp liên quan.

Giải pháp bảo mật tài sản nóng trực tuyến

Tài sản nóng trực tuyến chủ yếu đề cập đến tài sản tương ứng với khóa riêng của tiền tệ được mã hóa được đặt trong máy chủ trực tuyến, cần được sử dụng thường xuyên cho các giao dịch chữ ký và các hoạt động khác. Ví dụ: ví nóng và ấm trên các sàn giao dịch đều là tài sản nóng trực tuyến. Vì những tài sản đó được đặt trong máy chủ trực tuyến nên khả năng bị tin tặc tấn công tăng lên rất nhiều và chúng là những tài sản cần được bảo vệ bằng khóa. Do tầm quan trọng của khóa riêng, việc cải thiện mức độ lưu trữ bảo mật (chẳng hạn như bảo vệ chip mã hóa phần cứng) và loại bỏ các điểm rủi ro đơn lẻ là những phương tiện quan trọng để ngăn chặn các cuộc tấn công. SlowMist khuyến nghị cải thiện tính bảo mật của tài sản nóng trực tuyến theo hai hướng: "giải pháp lưu ký cộng tác" và "giải pháp cấu hình bảo mật khóa riêng/cụm từ ghi nhớ".

Giải pháp bảo mật tài sản lạnh

Tài sản lạnh trong thế giới tiền điện tử chủ yếu đề cập đến số lượng lớn tài sản không được giao dịch thường xuyên và các khóa riêng được giữ tách biệt với Internet. Về mặt lý thuyết, tài sản lạnh càng lạnh thì càng tốt, tức là đảm bảo rằng khóa riêng không bao giờ chạm vào Internet và có càng ít giao dịch càng tốt và thông tin địa chỉ không bị lộ nhiều nhất có thể. Chúng tôi khuyến nghị rằng một mặt, chúng ta nên chú ý đến tính bảo mật của việc lưu trữ khóa riêng và làm cho nó càng "lạnh" càng tốt; mặt khác, chúng ta nên chú ý đến quá trình quản lý sử dụng và cố gắng tránh khóa riêng. rò rỉ, chuyển giao bất ngờ hoặc các hành vi không xác định khác.

Giải pháp bảo mật tài sản DeFi

Hiện tại, hầu hết những người tham gia blockchain đều tham gia vào các dự án DeFi, chẳng hạn như khai thác, cho vay và quản lý tài chính. Tham gia vào dự án DeFi về cơ bản là chuyển giao hoặc ủy quyền tài sản của bạn cho bên dự án DeFi, điều này tiềm ẩn những rủi ro bảo mật mà phần lớn nằm ngoài tầm kiểm soát của một người. Kế hoạch này liệt kê các điểm rủi ro của các dự án DeFi và tổ chức các cách để tránh những rủi ro này.

Giải pháp sao lưu an toàn quyền sở hữu tài sản

Bản sao lưu quyền sở hữu tài sản được mã hóa là bản sao lưu của khóa riêng hoặc cụm từ ghi nhớ. Khóa riêng hoặc cụm từ ghi nhớ mang toàn quyền sở hữu tiền điện tử. Sau khi bị đánh cắp hoặc bị mất, tất cả tài sản sẽ bị mất. Đối với lĩnh vực tài sản tiền điện tử, việc sao lưu khóa riêng/cụm từ ghi nhớ là một thiếu sót.

Giải pháp giám sát và theo dõi tài sản bất thường

Sau khi thực hiện một loạt các biện pháp để lưu giữ an toàn tài sản tiền điện tử, để đối phó với các tình huống bất ngờ như “thiên nga đen”, cũng cần theo dõi các địa chỉ ví có liên quan và đưa ra các cảnh báo bất thường để mọi giao dịch chuyển tài sản có thể được xác nhận bởi nhóm nội bộ xác minh.

Giải pháp này là giải pháp hoàn chỉnh đầu tiên về bảo mật tài sản được mã hóa do SlowMist Technology đưa ra dựa trên nhiều năm thực hành phòng thủ và tấn công bảo mật tiền tuyến trong hệ sinh thái blockchain. Bạn có thể đọc toàn bộ nội dung tại liên kết này: https://github.com/slowmist/cryptocurrency-security.

viết ở cuối

"Sổ tay bảo mật dự án Web3" là hướng dẫn bảo mật chi tiết và có cấu trúc rõ ràng áp dụng cho tất cả các dự án và nhà phát triển Web3. Trong lĩnh vực đang phát triển nhanh chóng này, bảo mật luôn là một phần quan trọng. Việc nắm vững những kiến ​​thức và kỹ năng bảo mật này sẽ giúp xây dựng một hệ sinh thái Web3 an toàn và đáng tin cậy hơn. Trong tương lai, SlowMist sẽ tiếp tục xuất nội dung nghiên cứu bảo mật, tập trung vào việc xây dựng hệ sinh thái blockchain và cố gắng xây dựng một khu vực an toàn trong “khu rừng tối” cho hệ sinh thái blockchain.

Ps. Nếu bạn muốn mua sổ tay màu đỏ phiên bản kỷ niệm giới hạn, vui lòng truy cập https://1337.slowmist.io/redhandbook.html, nhấp để đọc văn bản gốc để chuyển trực tiếp; tới https://www.slowmist.com/redhandbook/RedHandbook.pdf Tải xuống.