2023 Web3 被盜資產已達數十億美元,在跟隨日漸狂熱的市場一起 Fomo 之前,我們最需要考慮是一個致命且難以掌控的的問題——專案自身的安全性。

作者:Meta Era 編輯部

封面:Photo by Philipp Katzenberger on Unsplash

原用標題:市場熱點先 Fomo 再說? 忽略安全隱患,可能成為最大的韭菜!

牛市的大門正在開啟,關於如何把握機會及如何鑒別項目的價值,大多數人分享的觀點普遍都是教你如何通過機構的團隊背景、專案的白皮書去甄別一個專案的好壞。

但實際上,莊家操盤、開牌、推牌和洗牌或許是決定無數韭菜們是一夜暴富或被收割的最主要因素,但這些時候往往我們都還有的選,我們可以選擇入場與否,可以選擇入場與退場的時機,期間我們往往都還能擁有一定程度上擺脫被割宿命的自主權。

2023 Web3 被盜資產已達數十億美元,在跟隨日漸狂熱的市場一起 Fomo 之前,我們最需要考慮是一個致命且難以掌控的的問題——專案自身的安全性。  因此,甄別專案是否安全應是重中之重。

誠然,Web3 的生態已經漸趨龐大而 “成熟”(僅相較於十年前的野蠻生長來說),但我們每天都能看到不同項目隨時都有可能出現的漏洞與各類攻擊危機。 這是再大的機構或再元老的專案都無法逃避的潛在風險 ——

下一秒,它們隨時可能會因為某一個潛在漏洞而被駭客侵襲導致瞬間瓦解。

隨著 Web3 生態中越來越多安全審計機構的湧現,我們可以明顯地看到,這樣的潛在風險得到了一定程度上的遏制,但我們絕不應就此放鬆警惕。

「安全防衛」之於 Web3,正如「軍隊」之於國家。 Web3 生態日趨成熟的一大標誌就是這支「軍隊」的勢力正在不斷增強,這讓整個生態面相較以前來說都變得更加穩定了。 但這還遠遠不夠,利益,尤其還是牛市下的利益當前,目前各個機構/專案的「軍備」實力還不足以讓潛伏在暗面的風險有所收斂。

支撐 Web3 蓬勃生長的底層邏輯正是區塊鏈技術,而區塊鏈技術的根本價值就在於去中心化信任。  公鏈之所以擁有超萬億美金的估值並受到萬眾矚目,就在於它提供了具有去中心化信任的智慧合約服務。  而交互期間所損耗的 gas fee,正是我們在為這份「去中心化信任」買單。

如何在實現穩定交易收入增長的同時,不斷達成應用的創新,這是整個 Web3 生態都在追尋的「共贏」之道。 不過,並非是擁有了精衛填海般的毅力就能靠一己之力摸索到這樣的「道」,這是屬於整個行業的發展命題,需要所有佈局其中的機構們與其隨行者在不斷試錯與反覆運算中前行探尋。

那麼在達成這樣的大道之前,作為有韭菜自覺性的我們需要知道什麼呢? 普通人又該去做什麼準備呢?

如何甄別漏洞? 以 Cosmos 為例

如果說意識到「安全」的重要性是第一步,那甄別是否「安全」以及如何甄別就是我們要爬上的下一層台階。

Cosmos:行業孤島破局者中的潛在危機

以 Cosmos 這一條公鏈為例,Cosmos 的目標是解決現有的區塊鏈之間的孤島問題,使它們能夠相互通信和交換價值。  在目前多鏈時代,跨鏈成為區塊鏈行業的剛性需求。 Cosmos 通過其核心技術—— CometBFT 共識演算法,Cosmos SDK 以及一個名為 Inter-Blockchain Communication(IBC)的協定,提供了一個跨鏈解決方案。

Cosmos 的生態系統中湧現了大量專案。 迄今為止,已經託管了超過 46 個網路,其中許多被認為是值得關注的(如 Osmosis、KUJI、Cronos、ThorChain、Injective、Secret、KAVA、Akash 等),並且有一系列新的領先專案,如 Celestia 和 dYdX。 目前,Cosmos 生態開發者最常用的基礎元件是 Cosmos SDK 和 IBC 協定(The Inter-Blockchain Communication protocol),這兩者也是開發者最常使用的擴展和添加鏈自身邏輯的元件。 包括廣受用戶關注的 dYdX V4 在內的諸多應用均據此進行搭建。

其中,曾給整個圈子都帶來至暗時刻的 Terra 亦是使用 Cosmos SDK 構建起一個與 IBC 相容的網路,並處理過數十億美元的 UST 交易。 然而,Terra 的爆炸性增長僅僅只持續了短短幾天,就開始斷崖式下跌,其生態內的數百億市值在數日內蒸發殆盡,也有相當一部分投資機構損失慘重,如 Jump Crypto 因本次 UST 脫錨事件損失數億美元,Hashed 或損失逾 50 億美元,Avalanche 損失約 6000 萬美元,Delphi 相關投資已「完全虧損」。

事發當時,整個行業都因此受到了嚴重的衝擊,Cosmos 的損失在事後兩個月內超過 75%。 基於它們使用 SDK 的事實,也曾一度給 Cosmos 蒙上了可能是有史以來加密協定中最失敗案例之一的灰色面紗。

何謂漏洞?

誰都不想步 Terra 的後塵,也不想成為 Terra 雪崩之下的受害者。  作為普通人,能讓我們避開這一風險的最有效舉措就是提高個人認知。  有了一定的鑒別能力,知道了它會有潛在的風險,才能讓我們在牛市中做出更明智的判斷。

參考了行業領先的 Web3 安全機構 CertiK 最新發佈的相關研報 《Cosmos 生態安全指南》,在瞭解安全漏洞分類之前,我們需要對漏洞危險程度有一個基本劃分,這樣有助於更好地識別出危險性大的安全漏洞,盡可能規避潛在的安全風險。

漏洞具體怎麼做分類,又如何鑒別? 不同的元件往往因其的特性而有不同的分類標準和鑒別維度,以 Cosmos SDK 為例,從危險程度和影響範圍考慮,我們主要關注 Critical 和 Major 的安全漏洞,他們通常可以造成以下風險:

1. 鏈停止運行

2. 資金損失

3. 影響系統狀態或正常運行

除此之外,在 Meta Era 上周發佈的 《CertiK 獨家:迅速掌握 Cosmos 生態安全現狀》文章中,除了羅列不同漏洞的風險之外,還提了不同漏洞的成因。

由於 Cosmos 生態模組化的特殊性,各類鏈條實現上存在大量模組間相互使用,模組內相互調用的案例,因此存在漏洞觸發路徑與漏洞觸發位置變數的可控路徑不一致的情況,我們在分析漏洞具體觸發原因時不應只關注觸發路徑,還應該關注漏洞關鍵變數的可控路徑,這樣才能幫我們更好地劃分定義漏洞模型。

以下是上述所提到的漏洞類型的部分參考案例:

案例 1:SuperNova 專案漏洞位置

案例 2:Cosmos Interchain Security 專案漏洞位置

不僅於此,CertiK 還在《Cosmos 生態安全指南》這篇研報中為我們提供了更多維且詳細的關於不同安全漏洞的解讀。

由 CertiK 研究團隊發佈的《Cosmos 生態安全指南》全面剖析了 Cosmos 生態中關鍵元件的安全狀況,針對以往發現的安全漏洞進行歸納分類,為 Cosmos 生態開發者和使用者總結出通用的漏洞模型,審計思路和需要重點關注的安全問題。

尾聲

誠然,Web3 龐大而複雜的安全問題並非一朝一夕即可徹底根除,但一葉落而知天下秋,透過 CertiK 這篇研報,我們能夠見微知著地瞭解到整個 Web3 生態中的安全隱患。 有了這些層面的信息積累,在下一次遇到想要立刻入場但實際上危機潛伏、bug 四溢的專案時,或許能在關鍵時刻讓你懸崖勒馬,免受侵襲。

業內一直存在著一定的誤解 —— 對於小韭菜來說,這些資訊在整個市場的 Fomo 前無濟於事。  但我們需要知道,利益誘人,佈局者與駭客們往往正是利用這些資訊差在市場的春天進行收割。  明者防禍於未萌,智者圖患於將來,投機者遲早會被市場過濾,而 Web3 也不會一直是野蠻而漫無邊界的藍海。

文章參考 [1] https://indd.adobe.com/view/91035407-4f21-4383-9485-a56394d9f95f 

[2] https://metaera.com.hk/gw_detail?id=166677 

[3] https://www.techflowpost.com/article/detail_14981.html 

[4] https://foresightnews.pro/timeline/detail/11

免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。