网站建设需要哪些成本费用,企业网站开发综合实训,电子商务网站建设大作业,上海营销策划公司哪家好在Web3领域#xff0c;安全漏洞、黑客攻击已愈发成为用户和投资者重点关注的领域。如何保障加密资产的安全#xff0c;Web3黑暗森林中又有哪些新的攻击模式产生#xff0c;SharkTeam将从一线进行分享和讨论。
我们先来看一下2023年1月到8月的安全事件数量和损失的数据统计。…在Web3领域安全漏洞、黑客攻击已愈发成为用户和投资者重点关注的领域。如何保障加密资产的安全Web3黑暗森林中又有哪些新的攻击模式产生SharkTeam将从一线进行分享和讨论。
我们先来看一下2023年1月到8月的安全事件数量和损失的数据统计。 由于熊市影响加密领域的资产总量降低因安全问题产生的损失同比去年下降了59%。但这并不代表Web3领域的安全环境在变好相反我们看到今年1月到8月安全事件的数量达到693次同比去年增加了87%平均每个月有近90起安全事件其中频率最高的是7月份发生了187起安全事件。
目前智能合约安全漏洞、Rug Pull、Web2类型的安全事件钓鱼攻击、社会工程学是Web3最主要的三大安全风险。 智能合约安全漏洞事件发生85起其中47%是逻辑漏洞主要原因是开发者安全意识薄弱开发过程不够严谨引入计算错误、业务逻辑错误等较低级的安全问题。此外闪电贷攻击、权限管理等常见合约漏洞仍占比较高均超过10%。总体表明项目方在进行合约开发的过程中缺少必须的安全意识和技能导致常见漏洞和初级问题不断发生。 Rugpull欺诈事件数量呈快速增长趋势发生了110次。其中73%发生在BNBChain上这与BNBChain上的交易成本低、用户基数大以及新出现的Rugpull黑色产业链有直接关系。 Web2类型的安全事件也呈现高速增长的趋势这类钓鱼攻击、社会工程学等黑客攻击手法在Web2时代已非常成熟Web3项目方和机构容易忽视这类安全事件通常会窃取钱包账户授权或直接窃取助记词、私钥盗取用户加密资产。 那么从Web3普通用户的角度应该如何提高自己的安全能力呢 首先就是要重视去中心化钱包、私钥的安全重视中心化交易账户和密码的安全重视设备、软件、网络环境的安全。
此外为了防范Rugpull欺诈类项目要注意避免投机、侥幸心理客观分析拟投资项目的基本面和数据表现金融的本质是风控。
最后时刻保持安全和防范意识不要随意点击链接或随意授权防范熟人作案。 从Web3项目方和机构角度要保护好加密资产的安全需要做到如下几个方面
首先在项目设计和开发阶段要有意识的引入威胁建模、安全编码、安全测试的机制和服务让安全建设与业务开发同步进行。
此外在上线前不仅要进行智能合约的安全审计Web端、Api端、App端都需要进行安全渗透测试这些业务载体在黑客眼中都可能成为攻击的突破口。
最后在项目运营期间就要建立明确的安全运营机制例如攻击监测、应急响应计划等在业务代码需要升级时要重新进行合约审计和渗透测试。在发生安全事件后能第一时间感知到攻击并快速做出响应及时对黑客进行身份追踪和资产冻结。 如上是SharkTeam在Web3安全服务过程中总结的几点基础但有用的安全建设方案希望对大家有帮助。但更重要的是Web3的攻防实际上正在不断升级新的攻击方式也在不断出现Web3黑暗森林在不断进化面对这种情况我们又该怎样应对呢未知攻焉知防我们先看两个典型的例子。 RugPull工厂在BNBChain上我们发现了多个Rugpull工厂并已形成了新型的链上欺诈黑色产业链。欺诈团队分工明确
1情报收集专门负责收集行业里的热门话题例如近期热门的Cyber、TIP、HTX等。
2自动发币基于热门事件迅速发布同名Token我们监测到某个Rugpull工厂地址一个月可发布70至80个虚假Token。
3虚假交易量欺诈团伙对同名Token在链上进行频繁的买卖制造交易量提高隐蔽性用户难以分辨真伪。
4钓鱼/资金盘制作钓鱼网站或土狗骗局骗取用户信任获得用户授权或真实购买。
5收割获得授权或收益后程序会自动的将用户资产进行转移或自动Rugpull。
6布局获得的收益投入下一个Rugpull项目上滚雪球一样越滚越大。 新型APT攻击Advanced Persistent TheftWeb3黑暗森林中开始出现越来越多的高等级黑客有些甚至是国家黑客。他们在Web3行业中获得的资金会经过一系列新型的洗钱模式变成现实资产为后续不法行为提供资金。这一类黑客的资金转移方式非常复杂和隐蔽通常会经过30至50个中间地址进行中转并通过“混币”或“套壳”的方式进行洗钱追踪难度很大。
Web3 安全已进入高等级、持续性的网络对抗阶段那对于Rugpull工厂和新型APT攻击的威胁我们应该如何应对 建立覆盖事前-事中-事后的Web3安全防御体系安全从来都是系统工程是短板效益一个地方出现问题整体就会被攻破。所以我们需要建立立体式的安全防御体系提高防御能力、提高攻击感知能力、提高安全事件发生后的应急响应能力。 利用无限层级的深度图分析引擎结合亿级的链上标签和名单数据对高等级黑客进行身份追踪和资金追讨。通过简单易用的图形化界面降低使用门槛让更多的人可以进行有效的链上分析合力发现更多线索在这一场Web3安全高等级对抗中争取主动。 SharkTeam的Web3安全服务矩阵如上。 About SharkTeam
SharkTeam的愿景是保护Web3世界的安全。团队由来自世界各地的经验丰富的安全专业人士和高级研究人员组成精通区块链和智能合约底层理论。提供包括链上大数据分析、链上风险预警、智能合约审计、加密资产追讨等服务并打造了链上大数据分析和风险预警平台ChainAegis平台支持无限层级的深度图分析能有效对抗Web3世界的高级持续性盗窃(Advanced Persistent TheftAPT)风险。 -END- 数信云基于区块链的数据安全应用与服务平台
