Cointime

扫码下载App
iOS & Android

慢雾出品 | Web3 项目安全手册

随着 Web3 的快速发展,区块链技术和加密货币逐渐成为全球金融体系的重要组成部分。然而,伴随而来的安全问题也给这个新兴领域带来了诸多挑战。因此,慢雾安全团队特别推出「Web3项目安全手册」(https://www.slowmist.com/redhandbook/),简称“红手册”,旨在为 Web3 项目和开发者提供全面的安全指导和实用技能。红手册为中英双语版本,主要包括四部分:Web3 项目安全实践要求、慢雾智能合约审计技能树、基于区块链的加密货币安全审计指南以及加密资产安全解决方案。

现如今针对 Web3 项目的攻击手法层出不穷,且项目之间的交互也越发复杂,在各个项目之间的交互经常会引入新的安全问题,而大部分 Web3 项目研发团队普遍缺少的一线的安全攻防经验,并且在进行 Web3 项目研发的时候,重点关注的是项目整体的商业论证以及业务功能的实现,而没有更多的精力完成安全体系的建设。因此,在缺失安全体系的情况下很难保证 Web3 项目在整个生命周期的安全性。

通常项目方团队为了确保 Web3 项目的安全会聘请优秀的区块链安全团队对其代码进行安全审计,但是区块链安全团队的审计仅仅是短期的引导,并不能让项目方团队建立属于自己的安全体系。

因此,慢雾安全团队开源 Web3 项目安全实践要求,以持续帮助区块链生态中的项目方团队掌握相应的安全技能,希望项目方团队能够基于 Web3 项目安全实践要求建立和完善属于自己的安全体系,在审计之后也能具备一定的安全能力。

Web3 项目安全实践要求包含如下内容:

Web3 项目安全实践要求目前属于 v0.1 版本,可通过该链接阅读完整内容:

https://github.com/slowmist/Web3-Project-Security-Practice-Requirements。

该技能树是慢雾安全团队智能合约安全审计工程师的技能集合,旨在为团队成员列出智能合约安全审计的所需技能并驱动团队成员形成研究、创造、工程的自我进化思维,主要分为四个部分:寻门而入、倚门而歌、融会贯通、破门而出,由浅至深地列出在各个阶段所需掌握的专业技能,具体如下图:

可通过该链接阅读完整内容:https://github.com/slowmist/SlowMist-Learning-Roadmap-for-Becoming-a-Smart-Contract-Auditor。

加密资产作为一种具有内在价值的资产,具有不可逆、难溯源等特点,这让黑客有了强烈的作案动机。红手册中的这一部分不仅涵盖了常见的安全漏洞,还提供了详细的安全研究,包括以下内容:

加密货币威胁建模

慢雾安全团队使用多种模型来识别加密货币系统存在的威胁,如 CIA 三元组、STRIDE 模型、DREAD 模型和 PASTA。

测试方法

在黑盒测试和灰盒测试中,我们使用模糊测试、脚本测试等方法,通过提供随机数据或构建特定结构的数据来测试接口或组件的鲁棒性,挖掘一些边界条件下的系统异常行为,如 bug 或性能异常。在白盒测试中,我们通过代码审查等方法分析代码的对象定义和逻辑实现,结合安全团队在已知区块链安全漏洞上的相关经验,确保代码中的关键逻辑和关键组件没有已知漏洞;同时,进入新场景和新技术的漏洞挖掘模式,发现可能的 0day 错误。

漏洞严重性

根据 CVSS 方法,慢雾安全团队开发了区块链漏洞严重性级别: 

公链安全研究

  • 慢雾科技的区块链威胁情报系统(https://bti.slowmist.com/) 持续追踪正在发生的安全事件,并将威胁情报应用于安全咨询与审计服务。
  • 慢雾安全团队对公开已知的区块链安全漏洞进行分析研究,汇编整理出了区块链常见漏洞列表(https://github.com/slowmist/Cryptocurrency-Security-Audit-Guide/blob/main/Blockchain-Common-Vulnerability-List.md)。

公链安全审计

慢雾安全团队的公链安全审计综合使用了黑盒、灰盒、白盒三种测试方法,根据审计需求不同,推出了以黑灰盒审计为主的主网安全审计、layer2 安全审计,和以白盒审计为主的源代码安全审计,同时还为一些开发框架定制应用链安全审计方案。

区块链应用审计

  • 智能合约安全审计
  • 其他应用

可通过该链接阅读完整内容:https://github.com/slowmist/Cryptocurrency-Security-Audit-Guide。

本方案是慢雾安全团队多年一线服务甲方的实践经验沉淀,旨在为加密世界的参与者提供全方位的资产安全解决方案。我们将加密资产安全整理划分为以下五大部分,并针对每一部分做出详细解读,包括各类风险及相关的解决方案。

线上热资产安全解决方案

线上热资产主要是指加密货币私钥放置在线上服务器中对应的资产,需要频繁使用来进行签名交易等操作,如交易所的热、温钱包等都属于线上热资产。这类资产由于放置在线上服务器中,被黑客攻击的可能性大大增加,是需要重点防护的资产。由于私钥的重要性,提高安全存储等级 (如硬件加密芯片保护)、去除单点风险等都是防范攻击的重要手段。慢雾推荐从“协同存管方案”和“私钥/助记词安全配置方案”两个方向来提升线上热资产的安全性。

冷资产安全解决方案

加密世界的冷资产主要是指不会经常进行交易的大额资产,并且私钥保存在断网隔离的状态下。理论上来讲,冷资产越“冷”越好,即保证私钥永不触网,并且尽量少交易,尽量避免暴露地址信息等。我们建议一方面要注意私钥存储的安全性,做到尽可能的“冷”;另一方面要注意使用上的管理流程,尽可能避免私钥泄漏、不在预期内的转账或其他未知行为。

DeFi 资产安全解决方案

当前大多数区块链参与方是参与 DeFi 项目,如挖矿、借贷及理财等。而参与 DeFi 项目本质上是把手中的资产转移或授权给 DeFi 项目方,这存在极大程度上个人不可控的安全风险。本方案列出了 DeFi 项目的风险点,并且整理出规避这些风险的方式。

资产所有权安全备份解决方案

加密资产所有权备份即对私钥或助记词的备份,私钥或助记词承载着对加密货币的完整所有权,一旦被盗或丢失则会损失所有资产。对于加密资产领域来说,私钥/助记词的备份是个短板。

资产异常监控及追踪解决方案

在做好加密资产安全存管系列措施后,为了应对诸如“黑天鹅”之类的意外情况,也需要对相关钱包地址进行监控及异常告警,让每一笔资产转移都能被内部团队确认、验证。

该方案是慢雾科技在区块链生态数年一线安全攻防实践积累下,推出的第一个完整的针对加密资产安全的解决方案。可通过该链接阅读完整内容:https://github.com/slowmist/cryptocurrency-security。

「Web3 项目安全手册」是一本内容详实、结构清晰的安全指南,适用于所有 Web3 项目和开发者。在这个快速发展的领域,安全永远是至关重要的一环,掌握这些安全知识和技能,将有助于建设一个更加安全可靠的 Web3 生态系统。未来慢雾会继续输出安全研究内容,专注区块链生态建设,努力为区块链生态构建一个“黑暗森林”中的安全区域。

Ps. 如需购买限量纪念版红手册,请前往 https://1337.slowmist.io/redhandbook.html,点击阅读原文可直接跳转;如需 PDF 版本,请前往 https://www.slowmist.com/redhandbook/RedHandbook.pdf 下载。

评论

所有评论

推荐阅读

  • 法官再次驳回马斯克高额薪酬计划 特斯拉:上诉

    美国特拉华州法官再次驳回马斯克在特斯拉的高额薪酬计划,特斯拉官方社交媒体对此回应称,法院的判决是错误的,我们要上诉。这一裁决如果没有被推翻,就意味着是法官和原告律师在管理特拉华州的公司,而非它们的合法所有者——股东。

  • OpenAI回应被马斯克起诉:申请重复且依然毫无根据

    近日马斯克要求美国一法院阻止美国开放人工智能研究中心 OpenAI 非法转型为营利性企业。OpenAI 的一位发言人表示,马斯克的申请重复,且依然毫无根据。 今年 2 月,马斯克提起诉讼,称其在为 OpenAI 的创立提供资金等支持时,与该公司两名联合创始人曾有协议,OpenAI 应为非营利组织,但 OpenAI 违背了创始目标和使命,转而追求利润。6 月,马斯克撤回这一诉讼,8 月份又重新起诉。今年 11 月,马斯克对 OpenAI 提起的诉讼再度升级,指控 OpenAI 试图垄断生成式人工智能市场。

  • 国际刑警组织:警惕一种涉及稳定币的新兴加密货币欺诈行为

    国际刑警组织金融犯罪行动创纪录逮捕 5,500 人,缴获价值超过 4 亿美元的赃物。在行动期间发布了紫色通告,国际刑警组织警告各国警惕一种涉及稳定币的新兴加密货币欺诈行为。成员国被告知“USDT 代币批准骗局”,该骗局允许欺诈者访问和控制受害者的加密货币钱包。该两步方法首先使用浪漫诱饵技术引诱受害者,指示他们通过合法平台购买流行的 Tether 稳定币(USDT 代币)。一旦骗子赢得了受害者的信任,就会向受害者提供钓鱼链接,声称允许他们设置投资账户。实际上,通过点击,他们授权骗子完全访问,然后他们可以在受害者不知情的情况下将资金从钱包中转出。

  • 马斯克称SpaceX市值可能突破万亿美元

    有网友在社交媒体平台X发帖称,世界上有9家市值超万亿美元的公司,其中8家是美国公司。 对此,马斯克回复称,SpaceX有一天可能会成为它们中的一员。

  • 韩国再次推迟征收加密货币税,至2027年

    在今日的新闻发布会上,韩国最大在野党共同民主党(Democratic Party of Korea)院内领袖朴赞大(Park Chan-dae)宣布,放弃在 2025 年实施加密货币利得税的计划,同意再推迟两年至 2027 年。“推迟加密货币利得税”的提案由韩国政府和执政党国民力量党(People Power Party)提出,共同民主党此前称,推迟征税是执政党的政治伎俩。 最初,韩国计划对加密货币收益征收 20% 税款(22% 为地方税),原定于 2022 年 1 月 1 日生效。由于投资者和行业的强烈反对,该计划已两次推迟至 2025 年 1 月 1 日。今日新闻发布会后,将该税征收再次推迟至 2027 年。执政党国民力量党(People Power Party)还提出,“加密利得税宽限期 2 年仍不足够,应当放宽至 2028 年征收,对加密货币快速征税不可取,投资者可能会因此离开市场。国民力量党希望将实施时间推迟到 2028 年,以兑现在选举期间的承诺。”

  • 社区反馈链上AI代理Spectral交互合约遭黑客攻击

    12月1日消息,据 X 用户@RuslanMoody 发文提醒:“请勿与链上 AI 代理 Spectral 网站交互,其交互合约已遭黑客攻击。注:这不适用于流动性已在 Uniswap 上锁定的代币。” 另据 X 用户@0xYong_W 表示,Spectral 内盘已被别人“掏池子”。

  • 日本金融厅建议放宽信托银行发行稳定币的准备金要求,并实施旅行规则

    日本金融厅(FSA)近日向金融系统委员会支付服务工作组提出了一些有关加密货币和稳定币的想法,其中提到不愿允许信托银行以外的银行发行稳定币。而对于信托银行发行的稳定币,金融厅希望放宽目前要求所有资产必须以银行活期存款形式持有的准备金要求。但是,金融厅还希望实施旅行规则,要求信托银行发行的稳定币转账必须进行 KYC。 日本于 2022 年通过了稳定币立法,支持银行、持牌汇款公司和信托公司发行稳定币。作为其工作组演示的一部分,金融厅区分了在许可区块链上发行的稳定币和在公共区块链上发行的稳定币。它对这三种稳定币都存在于许可链上感到满意,但对允许持牌存款机构在非许可链上发行稳定币持谨慎态度。

  • 安全机构:Clipper遭攻击损失超50万美元,650万美元资金存在风险

    安全机构 fuzzland 联合创始人shoucccc 于 X 发文表示:“DEX Clipper 因 API 漏洞(如私钥泄露)遭到黑客攻击。目前损失超过 50 万美元,650 万美元资金面临风险,请用户立即提款。”

  • 日本金融厅提议为非交易所加密中介机构制定轻量级立法

    日本正在考虑为非加密货币交易所的加密货币中介机构制定新的轻量级立法。近期,日本金融厅(FSA)向金融系统委员会支付服务工作组提出了自己的想法。 日本于 2017 年为加密资产交易服务提供商(CAESP)引入了立法,涵盖了加密货币的买卖、充当经纪人、管理与这些服务相关的资金或提供托管。然而,许多不经营加密货币交易所的所谓 introducer 并不认为自身是 CAESP。 因此,金融厅正在考虑要求他们注册为中介的提案。introducer 有义务向用户提供信息,将受到广告限制,如果出现问题,可能会承担损害赔偿责任。 金融厅还考虑了如何处理损害赔偿。当前对不属于较大集团的其他金融服务中介机构的规定要求提供保证金以支付潜在损害赔偿。如果中介机构隶属于加密货币交易所,则损害赔偿可能由交易所承担。

  • 欧盟报告认可无需许可区块链在传统金融中的潜力

    欧盟近日发布了一份报告,探讨了传统金融(TradFi)中无需许可区块链的潜力。报告认为,无需许可的区块链至少应被视为传统金融和金融市场基础设施的选择,但需谨慎采用。 报告认为,此类区块链可以比私有区块链更中立,从而鼓励竞争。公共区块链实现的不受限制的访问与正在激增的孤立的许可区块链形成鲜明对比。虽然公共区块链有缺点,但有许多众所周知的解决方法可以解决它们的挑战,特别是通过在智能合约级别添加权限。 报告称,无需许可的区块链可以为 L2 区块链(包括受监管的区块链)提供互操作性层。当智能合约位于单个链上时,它们能够组合成更复杂的功能。 同时,报告也提到了公共区块链的缺点,例如可扩展性、隐私性、终结性和治理。它深入研究了每个主题,以及有争议的 MEV 问题。