一文概覽 GoPlus 等 2C 安全方案
作者:Henry
編排:Lexi,createpjf
文章:BuidlerDAO
封面:Photo by Ricardo Gomez Angel on Unsplash
注:文章僅代表個人觀點,不構成任何投資意見
作者說
曾經,希臘人以巨木構馬,獻於特洛伊之城。 城中人以為是和平的象徵,不知其中潛藏著威脅。
隨著比特幣 ETF 的成功推出,越來越多的新用戶和資金正重新湧向 Web3 ,行情的預熱似乎預示著 Web3 往大規模應用的未來更近了一步。 然而,政策的缺乏以及安全隱患依然是阻礙加密貨幣廣泛普及的主要障礙。
在加密世界里,駭客通過攻擊鏈上漏洞便可以直接獲利百萬乃至上億美元,同時加密貨幣的匿名性為駭客的全身而退創造了條件。 截至 2023 年年底,所有去中心化金融(DeFi)協定的總鎖定價值(TVL)約為 40 億美元(目前為 100 億美元),而僅 2022 年,DeFi 協定被盜的代幣總價值就達到了 3.1 億美元,佔上述價值的 7 %。 這一數位充分說明瞭安全問題在 Web3 行業中的嚴重性,如同達摩克利斯之劍懸掛在我們的頭頂。
不僅是鏈上環境,Web3 用戶端的安全問題同樣不容小覷。 從 Scam Sniffer 公開的數據來看,2023 年就有 32.4 萬名使用者因為網路釣魚導致資產被盜,被盜金額總值高達 2.95 億美元,無論是從影響範圍還是金額數量來看都十分嚴重。 但是從使用者的角度出發,安全事故本身具有滯後性——在事故真正發生之前,使用者往往難以充分意識到潛在風險的嚴重性。 因此,人們常常陷入 「倖存者誤差」,從而忽視了安全的重要性。
本文從當前市場所面臨的安全挑戰出發,探討了隨著 Web3 使用者快速增長所帶來的安全風險。 通過分析 Goplus 等公司提出的安全解決方案,我們進一步瞭解了如何從合規和安全等方面支援 Web3 的大規模應用。 我們認為 Web3 安全是一個未被充分挖掘的千億級市場,並且隨著 Web3 用戶群體的持續擴大,對用戶端安全服務的需求呈現出指數級增長趨勢。
文章早知道
- 隱藏的威脅與千億市場 1.1 資產安全 1.2 行為安全 1.3 協定安全
- Web3 安全賽道分析
- 下一代安全產品:為 Web3 大規模應用護航
- 結語
全文 5400 字,預計閱讀時間 12 分鐘
隱藏的威脅與千億市場
目前 Web3 安全的產品形態主要以 ToB , ToC , ToD 為主。 B 端主要為產品的安全審計,針對產品進行滲透測試並輸出審計報告,主要在產品側進行安全防護。 C 端主要針對使用者安全環境的保護,基於對威脅情報的即時捕獲和分析,通過 API 的方式輸出檢測服務,在使用者側進行安全防護。 而 ToD(Developer)主要面向的就是開發者工具,為 Web3 開發者提供的自動化安全審計工具和服務。
安全審計是一種必要的靜態安全措施。 幾乎每個 Web3 產品都會進行安全審計,並對審計報告進行公示。 安全審計不僅使社區能夠二次驗證協定的安全性,同時也是使用者對產品建立信任的基礎之一。
不過,安全審計並非是萬能的。 鑒於市場的發展趨勢和當前敘事,我們預見到使用者安全環境的挑戰將持續上升,主要體現在以下幾個方面:
資產安全
每輪市場的啟動,一定伴隨著新資產的發行。 隨著 ERC404 的火熱和 FT 與 NFT 混合型 Token 的興起,未來鏈上資產的發行不斷創新和複雜化。 對新型資產安全的挑戰與日俱增。 隨著不同資產類型之間通過智慧合約進行映射和融合,系統的複雜度增加,相應的,其安全性也面臨更大挑戰。 這種複雜性給攻擊者提供了更廣闊的攻擊空間,例如,通過設計特定的回調機制或收稅機制,攻擊者可以對資產轉移進行干擾,甚至發起直接的 DoS 攻擊。 這使得傳統的資產發行合約安全審計與形式化驗證這類 Pre-Chain 的方法變得困難。 具有實時監測,警告,動態攔截的解決方案迫在眉睫。
行為安全
CSIA 提供的數據顯示,90 % 的網路攻擊始於釣魚(Phishing)。 這同樣適用於 web3 ,攻擊者們以使用者的私鑰或者鏈上資金為目標,通過 Discord , X , Telegram 等平臺發送釣魚連結或者詐騙資訊,引導不知情的用戶進行錯誤轉帳,錯誤的智慧合約交互,或安裝病毒文件等行為。
鏈上交互具有高昂的學習成本,這本身是反人性的。 哪怕一個離線的簽名也可以導致數百萬美元的損失,試問當我們點擊簽名的時候,面對著各種輸入參數,我們真的知道自己在授權什麼嘛?2024 年 1 月 22 日,某加密貨幣使用者遭遇釣魚攻擊,簽署了帶有錯誤參數的 Permit 簽名。 駭客在獲取了簽名后,利用簽名授權的錢包地址從用戶賬上提走了價值 420 萬美元的代幣。
用戶端安全環境的薄弱也會導致資產丟失。 比如當使用者將私鑰導入到安卓端的 App 錢包時,私鑰在複製後往往一直保留在手機的剪貼板上未被覆蓋。 這種情況下,在打開惡意軟體時私鑰會被讀取,並自動檢測該錢包擁有的鏈上資產後自動轉帳,或經過潛伏期後盜走用戶資產。
隨著越來越多的新用戶進入到 Web3 ,用戶端環境的安全問題將成為一個巨大的隱患。
協定安全
重入攻擊仍然是目前協定安全面臨的最大挑戰之一。 儘管採取了眾多風險控制策略,但涉及這種攻擊的事件還是頻頻發生。 例如,去年 7 月,Curve 就因為其合約程式設計語言 Vyper 的編譯器缺陷而遭受了一次嚴重的重入攻擊,導致損失高達 6000 萬美元,這一事件也使得 DeFi 的安全性遭到了廣泛質疑。
雖然存在許多針對合約源碼邏輯的「白盒」解決方案,但像 Curve 這樣的駭客事件揭示了一個重要問題:即使合約的源碼是正確無誤的,編譯器的問題也可能導致最終的運行結果與預期設計存在差異。 將合約從原始程式碼「轉化」為實際 Runtime 是個充滿挑戰的過程,每步都可能帶來預料之外的問題,而且原始碼本身可能無法完全覆蓋所有潛在的場景。 因此,僅僅依賴於源碼和編譯層面的安全性遠遠不夠; 即便源碼看似完美無瑕,由於編譯器的問題,漏洞仍有可能悄然出現。
因此,運行時(Runtime)保護將變得必要。 與現有的風險控制措施集中在協定原始程式碼層面並在運行前生效不同,運行時保護涉及協定開發人員編寫運行時保護規則和操作,以處理運行時的未預料情況。 這有助於對運行時執行結果進行實時評估及應對。
根據加密資產管理公司 Bitwise 的預測,2030 年加密貨幣資產總額將達到 16 萬億美元。 如果我們從安全成本風險評估(Security Cost Risk Assessment)的角度定量分析,鏈上安全事故的發生帶來幾乎是 100 % 資產損失,因此暴露因數(Exposure Factor,EF)可以設置為 1 ,因此單一損失期望(Single Loss Expectancy,SLE)為 16 萬億美元。 當年度發生率(Annualized Rate of Occurrence,ARO)為 1 % 時,我們可以得到年度損失期望(Annualized Loss Expectancy,ALE)為 1600 億美元,即加密貨幣資產安全投入成本的最大值。
基於加密貨幣安全故事的嚴重性,頻發性和市場規模的高速增長,我們可以預見 Web3 安全將會是一個千億美元市場,伴隨著 Web3 市場和使用者規模的增長而高速增長。 更進一步,考慮到個人用戶數量的巨大增長和對資產安全性的日益關注,我們可以預見 C 端市場對於 Web3 安全服務和產品的需求將呈現幾何級數增長,是一個尚待深挖的藍海市場。
Web3 安全賽道分析
隨著 Web3 安全問題的不斷出現,人們對能夠保護數位資產、驗證 NFT 真實性、監控去中心化應用以及確保遵守反洗錢法規的先進工具等需求明顯增加。 據統計,當前 Web3 所面臨的安全威脅主要來源於:
- 面向協定的駭客攻擊
- 面向用戶的詐騙、釣魚、私鑰盜竊
- 面向鏈本身的安全攻擊
而為了應對這些風險,當前市場中的公司主要以 ToB 的測試與審計(Pre-Chain)、ToC 的監測(On-Chain)為重點推出相應的服務與工具。 相比 ToC , ToB 賽道的玩家推出的時間較早,並且持續有新玩家入場。 但隨著 Web3 市場環境的複雜化,ToB 審計逐漸難以應對各類安全威脅,ToC 監測的重要性也隨之凸顯,其需求量也因此不斷增長。
- ToB
當前市場中以 Certik 、Beosin 為代表的公司提供 ToB 測試與審計服務。 此類公司所提供的服務大多為智慧合約級別,進行智能合約的安全審計與形式化驗證。 經過這類上鏈前(Pre-Chain)的方法,通過錢包可視化分析、智能合約漏洞安全分析、原始程式碼安全審計等方式,可以在一定程度上對智慧合約進行檢測,降低風險。
- ToC
ToC 監測在鏈上(On-Chain)過程執行,通過對智慧合約代碼、鏈上狀態、使用者交易元資訊進行的風險分析、交易類比以及狀態監控完成。 相比 ToB , Web3 的 C 端安全公司創立時間普遍較晚,但是增速十分可觀。 以 GoPlus 為代表的 Web3 安全公司所提供的服務正逐漸應用到 Web3 各個生態中
GoPlus 自 2021 年 5 月創立以來,其所推出的應用程式 API 日調用量飛速上漲,從最初的每天幾百次查詢,到如今市場高峰期每天兩千萬次調用。 下圖展示了 Token 風險 API 從 2022 年到 2024 年的調用量變化,其增長速度展現了 GoPlus 在 Web3 領域重要性的增長。
其所推出的用戶數據模組已逐漸成為各類 Web3 應用程式的重要組成部分,在 CoinMarketCap(CMC)、CoinGecko 、Dexscreener 、Dextools 等頂級市場網站,Sushiswap 、Kyber Network 等領先的去中心化交易所,以及 Metamask Snap、Bitget Wallet、Safepal 等錢包中發揮著關鍵作用。
此外,該模組也被 Blowfish、Webacy、Kekkai 等使用者安全服務公司所採用。 這表明瞭 GoPlus 使用者安全數據模組在定義 Web3 生態系統的安全基礎架構方面的重要作用,也證明瞭它在當代去中心化平臺中的重要地位。
GoPlus 主要提供以下 API 服務,通過對多個關鍵模組的有針對性數據分析,提供了對使用者安全數據的全面洞察,以防範不斷演化的安全威脅,應對 Web3 安全的多方面挑戰。
- Token 風險 API :用於評估與不同加密貨幣相關的風險
- NFT 風險 API :用於評估各種 NFT 的風險概括
- 惡意位址 API:用於識別並標記欺詐、網路釣魚和其他惡意活動相關的 Address
- dApp 安全 API :為去中心化應用程式提供即時監控和威脅檢測
- 審批合約 API :用於管理和審核智慧合約調用許可權
在 C 端賽道我們同時也注意到了 Harpie。 Harpie 以保護乙太坊錢包免遭竊取為重點,與 OpenSea、Coinbase 等公司合作,已經保護了成千上萬的使用者免遭詐騙、駭客攻擊、私鑰盜竊等安全威脅。 該公司推出的產品從「監控」與「恢復」兩方面入手,通過監控錢包查找漏洞或威脅,並在發現漏洞後立即通知並説明用戶進行修復; 在使用者成為駭客攻擊或詐騙的受害者之後及時回應,挽救資產。 既能防止攻擊,又能應對安全緊急情況,在乙太坊錢包安全方面取得了巨大成效。
此外,ScamSniffer 以瀏覽器外掛程式的形式提供服務。 該產品可以在使用者打開連結之前,通過惡意網站檢測引擎和多個黑名單數據源進行實時檢測,保護使用者免受惡意網站影響。 在使用者進行在線交易時,提供針對網路釣魚等詐騙手段的檢測,保護用戶資產安全。
下一代安全產品:為 Web3 大規模應用護航
針對上文中提到的資產安全、行為安全、協定安全等問題,以及鏈上合規性的需求,我們深入研究了 GoPlus 和 Artela 的解決方案,旨在於了解他們是如何通過維護使用者安全環境和鏈上運行環境來支援 Web3 的大規模應用。
- 使用者安全環境 Infra 區塊鏈交易安全是 Web3 大規模應用安全性的基石。 鏈上駭客攻擊、釣魚攻擊和 Rug Pulls 頻發,鏈上的交易溯源、鏈上可疑行為識別、以及用戶畫像能力的安全保障至關重要。 基於此, GoPlus 推出了第一個全場景個人安全檢測平臺 SecWareX。
SecWareX 是基於 SecWare 使用者安全協議構建的 Web3 個人安全產品,提供完整包含即時識別鏈上運行時攻擊,搶先告警,及時攔截,事後糾紛的一站式、全方位安全解決方案,並支持資產發行合約針對特定場景定製化安全攔截策略。
針對用戶行為安全的教育,SecWareX 通過推出 Learn2Earn 計劃,巧妙地將學習安全知識與獲得代幣激勵結合起來,讓使用者在增強安全意識的同時也能獲得實際的獎勵。 - 资金合规解决方案反洗钱(AML)是当前公共区块链上最迫切的需求之一。在公链上,通过分析交易的来源、预期行为、金额、频率等因素,可以及时识别可疑或异常行为,有助于去中心化交易所、钱包和监管机构检测洗钱、欺诈、赌博等潜在的非法活动,并及时采取警告、冻结资产或向执法部门报告等措施,加强 DeFi 的合规性和大规模应用。
随着链上行为的不断丰富,去中心化应用的 Know Your Transaction 将成为大规模应用不可或缺的必要条件。GoPlus 的恶意地址 API 对于在 Web3 中运营的交易所、钱包和金融服务遵守监管要求并保障其运营至关重要,凸显了 Web3 领域的监管合规性与技术进步之间的内在联系,并强调了持续监控和适应以保障生态系统完整性及其用户安全的重要性。 - 鏈上安全協定 Artela 是首個原生支援運行時保護的公鏈 Layer1 。 通過 EVM++ 設計,Artela 動態集成的原生擴展模組 Aspect 支援在交易生命週期的各個切點添加擴展邏輯,記錄每個函數調用的執行狀態。
當在回調函數執行期間發生威脅性重入調用時,Aspect 會檢測到並立即回撤該交易,防止攻擊者利用重入漏洞。 以復現 Curve 合約的重入攻擊保護為例,Artela 為各類 DeFi 應用提供了鏈原生級別的協定安全解決方案。
隨著協定複雜性和底層編譯器的多樣性的增加,鏈上運行時保護的「黑盒」解決方案,相較於僅對合約代碼邏輯進行靜態檢查的「白盒」解決方案,其重要性愈發凸顯。
結語
2024 年 1 月 10 日,SEC 官宣批准現貨比特幣 ETF 的上市和交易,代表著加密資產類別獲得主流採用的最重要一步。 隨著政策環境的日趨成熟以及安全防護措施的不斷強化,我們終將看到 Web3 大規模應用的到來。 如果說 Web3 的大規模應用是激蕩的海浪,那麼 Web3 安全則是為使用者資產構築的堅固堤壩,抵禦外來的風浪,確保大家能平穩渡過每一個浪潮。
Reference:
- Scam Sniffer 報告 2023 年加密貨幣網路釣魚詐騙將竊取 3 億美元 https://drops.scamsniffer.io/zh/post/scam-sniffer-年度報告 32 萬使用者的 3 億美元資產在今年因惡意/
- Mike: erc404 安全隱患 https://x.com/mikelee205/status/1760512619411357797?s=46&t=0AOF3L1pmOanZxpmmZpkwg
- How We Go Mainstream: The State of Web3 Security | Patrick Collins at SmartCon 2023 https://www.youtube.com/watch?v=EYF6lUoWAgk&t=1489s
- 2023 Web3 Security Landscape Report. https://salusec.io/blog/web3-security-landscape-report
- Defillama https://defillama.com/
- 定量資訊安全評估方法. https://www.sohu.com/a/561657716_99962556
- Eliminate Reentrancy Attacks with On-chain Runtime Protection. https://artela.network/blog/eliminate-reentrancy-attacks-with-on-chain-runtime-protection
- Signature phishing. https://support.metamask.io/hc/en-us/articles/18370182015899-Signature-phishing
- How dangerous is Permit signature fishing? $4.2 million stolen from crypto giant. https://www.coinlive.com/news/how-dangerous-is-permit-signature-fishing-4-2-million-stolen-from
- CISA 報告 https://www.cisa.gov/stopransomware/general-information
免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。