随着 Web3 的快速发展,区块链技术和加密货币逐渐成为全球金融体系的重要组成部分。然而,伴随而来的安全问题也给这个新兴领域带来了诸多挑战。因此,慢雾安全团队特别推出「Web3项目安全手册」(https://www.slowmist.com/redhandbook/),简称“红手册”,旨在为 Web3 项目和开发者提供全面的安全指导和实用技能。红手册为中英双语版本,主要包括四部分:Web3 项目安全实践要求、慢雾智能合约审计技能树、基于区块链的加密货币安全审计指南以及加密资产安全解决方案。
现如今针对 Web3 项目的攻击手法层出不穷,且项目之间的交互也越发复杂,在各个项目之间的交互经常会引入新的安全问题,而大部分 Web3 项目研发团队普遍缺少的一线的安全攻防经验,并且在进行 Web3 项目研发的时候,重点关注的是项目整体的商业论证以及业务功能的实现,而没有更多的精力完成安全体系的建设。因此,在缺失安全体系的情况下很难保证 Web3 项目在整个生命周期的安全性。
通常项目方团队为了确保 Web3 项目的安全会聘请优秀的区块链安全团队对其代码进行安全审计,但是区块链安全团队的审计仅仅是短期的引导,并不能让项目方团队建立属于自己的安全体系。
因此,慢雾安全团队开源 Web3 项目安全实践要求,以持续帮助区块链生态中的项目方团队掌握相应的安全技能,希望项目方团队能够基于 Web3 项目安全实践要求建立和完善属于自己的安全体系,在审计之后也能具备一定的安全能力。
Web3 项目安全实践要求包含如下内容:
Web3 项目安全实践要求目前属于 v0.1 版本,可通过该链接阅读完整内容:
https://github.com/slowmist/Web3-Project-Security-Practice-Requirements。
该技能树是慢雾安全团队智能合约安全审计工程师的技能集合,旨在为团队成员列出智能合约安全审计的所需技能并驱动团队成员形成研究、创造、工程的自我进化思维,主要分为四个部分:寻门而入、倚门而歌、融会贯通、破门而出,由浅至深地列出在各个阶段所需掌握的专业技能,具体如下图:
可通过该链接阅读完整内容:https://github.com/slowmist/SlowMist-Learning-Roadmap-for-Becoming-a-Smart-Contract-Auditor。
加密资产作为一种具有内在价值的资产,具有不可逆、难溯源等特点,这让黑客有了强烈的作案动机。红手册中的这一部分不仅涵盖了常见的安全漏洞,还提供了详细的安全研究,包括以下内容:
加密货币威胁建模
慢雾安全团队使用多种模型来识别加密货币系统存在的威胁,如 CIA 三元组、STRIDE 模型、DREAD 模型和 PASTA。
测试方法
在黑盒测试和灰盒测试中,我们使用模糊测试、脚本测试等方法,通过提供随机数据或构建特定结构的数据来测试接口或组件的鲁棒性,挖掘一些边界条件下的系统异常行为,如 bug 或性能异常。在白盒测试中,我们通过代码审查等方法分析代码的对象定义和逻辑实现,结合安全团队在已知区块链安全漏洞上的相关经验,确保代码中的关键逻辑和关键组件没有已知漏洞;同时,进入新场景和新技术的漏洞挖掘模式,发现可能的 0day 错误。
漏洞严重性
根据 CVSS 方法,慢雾安全团队开发了区块链漏洞严重性级别:
公链安全研究
- 慢雾科技的区块链威胁情报系统(https://bti.slowmist.com/) 持续追踪正在发生的安全事件,并将威胁情报应用于安全咨询与审计服务。
- 慢雾安全团队对公开已知的区块链安全漏洞进行分析研究,汇编整理出了区块链常见漏洞列表(https://github.com/slowmist/Cryptocurrency-Security-Audit-Guide/blob/main/Blockchain-Common-Vulnerability-List.md)。
公链安全审计
慢雾安全团队的公链安全审计综合使用了黑盒、灰盒、白盒三种测试方法,根据审计需求不同,推出了以黑灰盒审计为主的主网安全审计、layer2 安全审计,和以白盒审计为主的源代码安全审计,同时还为一些开发框架定制应用链安全审计方案。
区块链应用审计
- 智能合约安全审计
- 其他应用
可通过该链接阅读完整内容:https://github.com/slowmist/Cryptocurrency-Security-Audit-Guide。
本方案是慢雾安全团队多年一线服务甲方的实践经验沉淀,旨在为加密世界的参与者提供全方位的资产安全解决方案。我们将加密资产安全整理划分为以下五大部分,并针对每一部分做出详细解读,包括各类风险及相关的解决方案。
线上热资产安全解决方案
线上热资产主要是指加密货币私钥放置在线上服务器中对应的资产,需要频繁使用来进行签名交易等操作,如交易所的热、温钱包等都属于线上热资产。这类资产由于放置在线上服务器中,被黑客攻击的可能性大大增加,是需要重点防护的资产。由于私钥的重要性,提高安全存储等级 (如硬件加密芯片保护)、去除单点风险等都是防范攻击的重要手段。慢雾推荐从“协同存管方案”和“私钥/助记词安全配置方案”两个方向来提升线上热资产的安全性。
冷资产安全解决方案
加密世界的冷资产主要是指不会经常进行交易的大额资产,并且私钥保存在断网隔离的状态下。理论上来讲,冷资产越“冷”越好,即保证私钥永不触网,并且尽量少交易,尽量避免暴露地址信息等。我们建议一方面要注意私钥存储的安全性,做到尽可能的“冷”;另一方面要注意使用上的管理流程,尽可能避免私钥泄漏、不在预期内的转账或其他未知行为。
DeFi 资产安全解决方案
当前大多数区块链参与方是参与 DeFi 项目,如挖矿、借贷及理财等。而参与 DeFi 项目本质上是把手中的资产转移或授权给 DeFi 项目方,这存在极大程度上个人不可控的安全风险。本方案列出了 DeFi 项目的风险点,并且整理出规避这些风险的方式。
资产所有权安全备份解决方案
加密资产所有权备份即对私钥或助记词的备份,私钥或助记词承载着对加密货币的完整所有权,一旦被盗或丢失则会损失所有资产。对于加密资产领域来说,私钥/助记词的备份是个短板。
资产异常监控及追踪解决方案
在做好加密资产安全存管系列措施后,为了应对诸如“黑天鹅”之类的意外情况,也需要对相关钱包地址进行监控及异常告警,让每一笔资产转移都能被内部团队确认、验证。
该方案是慢雾科技在区块链生态数年一线安全攻防实践积累下,推出的第一个完整的针对加密资产安全的解决方案。可通过该链接阅读完整内容:https://github.com/slowmist/cryptocurrency-security。
「Web3 项目安全手册」是一本内容详实、结构清晰的安全指南,适用于所有 Web3 项目和开发者。在这个快速发展的领域,安全永远是至关重要的一环,掌握这些安全知识和技能,将有助于建设一个更加安全可靠的 Web3 生态系统。未来慢雾会继续输出安全研究内容,专注区块链生态建设,努力为区块链生态构建一个“黑暗森林”中的安全区域。
Ps. 如需购买限量纪念版红手册,请前往 https://1337.slowmist.io/redhandbook.html,点击阅读原文可直接跳转;如需 PDF 版本,请前往 https://www.slowmist.com/redhandbook/RedHandbook.pdf 下载。
所有评论