Cointime

扫码下载App
iOS & Android

Numen:没有 Web2 底层的安全性,就没有 Web3 安全

项目方

引言:

0day 漏洞对传统网络安全的破坏力毋庸置疑。但在当前的 Web3 领域中,对于传统网络安全漏洞并没有引起足够的重视。

这其中有两方面原因,一是 Web3 行业方兴未艾,技术人员与安全设施都处于探索完善中;一是网络安全相关法规已迫使 Web2 企业注重自身安全建设以最大限度降低安全事件可能性。

这些原因使得当下 Web3 领域更重视链上安全,以及区块链生态自身的安全性,对于更底层的漏洞,如系统级漏洞、浏览器漏洞、移动安全、硬件安全等领域的漏洞缺乏足够的认知(下文中对于传统网络安全中的 0day 漏洞简称为 Web2 0day)。

脆弱的底层安全范式如何支撑 Web3 生态?

Web2 是 Web3 的基础设施

不可忽视的是,Web3 是建立在 Web2 的基础设施之上的。Web2 底座如果产生安全漏洞,那么对于 Web3 生态来说就是大厦将倾,会对用户资产安全会造成极大的威胁。

比如浏览器漏洞、移动端漏洞(iOS/Android),可以在用户无感知的情况下窃取用户资产。

黑客如何通过 Chrome 0day 窃取你的个人数字资产(图标仅为示意)

下面是一些利用 Web2 0day 或者漏洞窃取数字资产的真实案例:

1.Hackers steal crypto from Bitcoin ATMs by exploiting zero-day bug

https://www.bleepingcomputer.com/news/security/hackers-steal-crypto-from-bitcoin-atms-by-exploiting-zero-day-bug/

2.North Korean hackers exploited Chrome zero-day for 6 week

https://www.techtarget.com/searchsecurity/news/252515092/North-Korean-hackers-exploited-Chrome-zero-day-bug-for-six-weeks

3.Microsoft Word Vulnerability Could Steal Your Cryptocurrencies

https://thenationview.com/cryptocurrency/43279.html

4.Report: Android Vulnerability Allows Hackers to Steal Crypto Wallet Info

https://cointelegraph.com/news/report-android-vulnerability-allows-hackers-to-steal-crypto-wallet-info

从上述案例可以看出 Web2 漏洞对数字资产的危害是真实存在的,危害以及影响也是非常大的。

Web2 漏洞不仅可以对个人资产造成影响,也会对交易所、资产托管企业、“矿”业等造成严重威胁。

Numen 为什么要研究底层安全

从前文可知,当前 Web2 对 Web3 有着极大的影响力,没有 Web2 底层的安全,就没有 Web3 领域的安全。

而 Numen 团队恰好由来自全球的顶级安全专家组成,具备 Web2+Web3 全方位全生态覆盖的技术能力。Numen 团队已经发现过微软、谷歌、苹果产品的 Web2 高危漏洞,以及如 Aptos,Sui,EoS,Ripple,Tron 等知名 Web3 生态的安全漏洞。

此外,Numen 认为,Web3 领域的安全措施仅通过单一代码审计等方式并不充足,Web3 领域需要更多的安全设施,如实时检测与响应恶意交易等。

安全技术是一件严肃其直接关乎用户资产的事情,安全研究能力也是一家安全公司的水平体现,这也是为什么 Numen 从刚开始成立就去做 Web2 漏洞研究的目的,因为“未知攻,焉知防”。

https://www.leiphone.com/category/gbsecurity/CT5us5IC3Fpdu4SX.html

以下是 Numen 发现的一些安全漏洞的技术细节:

1.《HTTP提权漏洞CVE-2023-23410分析及PoC》

2.《DHCP服务远程代码执行漏洞CVE-2023-28231分析及PoC》

3.《独家揭秘通过泄露Sentinel Value绕过Chrome v8 HardenProtect》

4.《Javaweb框架ZK CVE-2022-36537漏洞分析附exp》

5.《From Leak TheHole to Chrome Render RCE》

6.《0day漏洞: Chromium v8引擎最新UAF代码执行漏洞分析》

Numen 会持续坚持并扩大对底层安全技术的研究,并以兼容并蓄的态度,欢迎友商同行、技术同袍们的沟通交流,Web3 机构,交易所,钱包厂商与我们交流合作,一起将 Web3 领域打造得更为安全。

END

评论

所有评论

推荐阅读

  • 英伟达启用以色列贝尔谢巴研发中心

    英伟达启用以色列贝尔谢巴研发中心。

  • 高盛集团预计日元贬值趋势仍未结束

    7月8日,7月以来,日元兑美元汇率延续下行态势,持续刷新近40年来低位,一度跌至162.80日元兑换1美元,创1986年12月以来新低。据美国方面6日消息,美国知名投行高盛集团预计,日元对美元汇率会进一步下跌。高盛集团将未来12个月日元对美元汇率预测从此前的155日元兑换1美元调整为165日元兑换1美元。

  • 伊朗议员:美国必须承认霍尔木兹海峡的伊朗制度

    7月8日,在伊朗革命卫队宣布打击该地区85个美军设施后,一位伊朗资深议员表示,美国必须“承认霍尔木兹海峡的新管理体制”。据官方媒体报道,伊朗议会国家安全和外交政策委员会主席易卜拉欣·阿齐兹在社交媒体上发表了上述言论,以评论革命卫队宣布的针对美国侵略行径的所谓“初步回应”。他表示:“别无他法:必须承认霍尔木兹海峡的新伊朗制度。”

  • 量化私募上半年增长超万亿元

    7月8日,一份2026年私募市场观察与分析相关报告显示,截至6月底,量化股票多头策略规模为1.83万亿元,相较于今年初增长1.1万亿元。同期,主观股票多头策略规模增长超6000亿元。

  • 美国芯片股盘前普跌,闪迪(SNDK.O)下跌6.3%

    美国芯片股盘前普跌,Arm(ARM.O)下跌3.8%,闪迪(SNDK.O)下跌6.3%,高通(QCOM.O)下跌2.2%。英伟达(NVDA.O)下跌1.9%,美光科技(MU.O)下跌5%,AMD(AMD.O)下跌2.5%,英特尔(INTC.O)下跌约5%。(金十)

  • 特朗普支持的AI金融公司洽谈出售核心业务

    据市场消息:特朗普支持的AI金融公司正洽谈出售核心业务。

  • 英伟达市值不到两个月蒸发1万亿美元 估值回落至人工智能热潮掀起之前的水平

    7月8日,在不到两个月的时间里市值蒸发约1万亿美元后,英伟达股票触及自人工智能热潮掀起并推动该股飙升以来的最低廉水平。这家芯片制造商的图形处理器(GPU)仍然主导着人工智能数据中心市场。但其股价自5月14日创下历史新高以来已下跌16%,投资者纷纷调整人工智能交易策略,卖出英伟达,转而投资其他半导体制造商,尤其是内存市场的制造商。数据显示,抛售潮导致英伟达基于未来12个月预期盈利的市盈率为18倍。上一次触及如此低廉的水平还是在2019年初。更直观地了解其下跌程度之深,可以从与基准股指的比较看出,标普500指数的预期市盈率为20倍,纳斯达克100指数的预期市盈率接近23倍。

  • 博通盘前直线拉升转涨

    7月8日,博通美股盘前直线拉升转涨,此前一度跌近3%。消息面上,苹果与博通新签订多年期协议,该协议预计将超过300亿美元,生产超过150亿颗美国制造的芯片。

  • 存储股盘前集体下挫,闪迪跌超6%,美光科技跌超5%

    7月8日,美股存储芯片股盘前集体下跌,其中,闪迪跌超6%,美光科技跌超5%,西部数据、慧荣科技、希捷科技跌超4%((下图由扣子APP生成)。消息面上,有媒体称苹果正在测试长鑫存储生产的内存芯片,计划将其用于在华销售的设备。苹果还在美国科技企业中牵头游说华盛顿,争取允许更广泛地使用长鑫存储的产品,但该公司目前尚未承诺将这些芯片用于商业量产。

  • 苹果与博通新签订多年期协议 预计将超300亿美元

    7月8日,苹果:公司与博通新签订多年期协议,该协议预计将超过300亿美元,生产超过150亿颗美国制造的芯片。新的多年期协议还包括对科罗拉多州柯林斯堡设施的扩建。博通将投资15亿美元扩建柯林斯堡的设施。