Là một công ty tập trung vào an ninh sinh thái blockchain, SlowMist Technology được thành lập vào tháng 1 năm 2018 bởi một nhóm có hơn mười năm chiến đấu phòng thủ và tấn công an ninh mạng tuyến đầu. SlowMist Technology đã độc lập phát hiện và công bố một số lỗ hổng bảo mật blockchain có rủi ro cao phổ biến trong ngành, lỗ hổng này đã nhận được sự quan tâm và công nhận rộng rãi trong ngành.
Các vấn đề bảo mật blockchain ngày nay thường xuyên xảy ra và Web3er cũng đã gặp rắc rối vì vấn đề này trong một thời gian dài. Do đó, trong cuộc đối thoại thứ hai, chúng tôi rất vui được mời nhóm bảo mật SlowMist chia sẻ với bạn những điều khô khan về bảo mật blockchain và giúp bạn khám phá thế giới trên chuỗi một cách an toàn hơn. Hãy bắt đầu ngay bây giờ~
1. Đầu tiên xin giới thiệu Slow Mist tới mọi người.
Trả lời: Xin chào mọi người, SlowMist là một công ty tập trung vào bảo mật sinh thái blockchain. Khả năng bảo mật sinh thái blockchain của chúng tôi bao gồm ba vòng: lớp trong cùng là bảo mật tuân thủ, lớp thứ hai là bảo mật kỹ thuật và lớp thứ ba là bảo mật. Lớp này là an ninh sinh thái. Bảo mật kỹ thuật chủ yếu bao gồm hai ngành nghề kinh doanh chính là kiểm toán bảo mật và chống rửa tiền. Nội dung kiểm tra bảo mật bao gồm mã hợp đồng thông minh của dự án DeFi, sàn giao dịch tập trung, ứng dụng ví, ví plug-in trình duyệt, chuỗi công khai cơ bản và chúng tôi cũng có dịch vụ thử nghiệm đội đỏ, một trong những lợi ích của chúng ta.
Trong hơn 5 năm từ 2018 đến nay, chúng tôi đã phục vụ nhiều khách hàng nổi tiếng và hàng đầu trong ngành, đồng thời có hàng nghìn khách hàng thương mại, tỷ lệ khen ngợi cao. Để chống rửa tiền, chúng tôi có nền tảng theo dõi trên chuỗi MistTrack . Ngoài ra, chúng tôi cũng rất quan tâm đến vấn đề tuân thủ và bảo mật, tuân thủ là một trong những nền tảng quan trọng cho sự phát triển lâu dài của ngành này, chúng tôi có các thủ tục pháp lý nghiêm ngặt đối với các dự án mục tiêu là kiểm toán an ninh hoặc hợp tác chống rửa tiền.
Chúng tôi biết rằng bảo mật là một tổng thể và bảo mật cần xây dựng một hệ thống bảo mật hoàn chỉnh, vì vậy chúng tôi cung cấp các giải pháp bảo mật tích hợp phù hợp với điều kiện địa phương từ phát hiện mối đe dọa đến phòng thủ mối đe dọa. Nói một cách đơn giản, nó thực chất là một hệ thống phòng thủ vòng tròn giống như quân đội, phòng thủ nhiều lớp. Phát hiện mối đe dọa ở lớp ngoài cùng là phát hiện và xác định các mối đe dọa thông qua các đối tác trong vùng SlowMist và hệ thống tình báo mối đe dọa của SlowMist (đây cũng là an ninh sinh thái của chúng tôi), sau đó công bố chúng lên toàn bộ hệ sinh thái để cảnh báo sớm thông qua các kênh truyền thông; phòng chống mối đe dọa là Đề cập đến hệ thống phòng thủ của chúng tôi, từ BTI (Hệ thống thông tin về mối đe dọa chuỗi khối) đến triển khai giải pháp phòng thủ có hệ thống phù hợp với điều kiện địa phương, triển khai tăng cường bảo mật ví nóng và lạnh, v.v., chọn bảo mật mạng, bảo mật kiểm soát rủi ro, bảo mật ví và các lĩnh vực khác cho khách hàng Nhà cung cấp giải pháp an ninh chất lượng cao tại Trung Quốc cho phép khách hàng lựa chọn linh hoạt và dễ dàng giải quyết các khó khăn khác nhau gặp phải trong quá trình phát triển kinh doanh.
Chúng tôi mong muốn được hợp tác với các đối tác chất lượng cao trong ngành và cộng đồng để cùng nhau xây dựng mối liên kết an ninh công tác phòng thủ.
2. Vấn đề bảo mật Web3 luôn khó lường. Ngoài một số quy tắc cơ bản như sao chép thủ công các cụm từ ghi nhớ và chú ý đến tính xác thực của các trang web, SlowMist có đề xuất bảo mật nào cho Web3er tương tác thường xuyên không ?
Trả lời: Vì câu hỏi là về tính bảo mật của sự tương tác, trước tiên chúng ta hãy phân loại các cuộc tấn công phổ biến đánh cắp tài sản của người dùng như thế nào.
Những kẻ tấn công thường đánh cắp tài sản của người dùng theo hai cách:
Đầu tiên, lừa người dùng ký dữ liệu giao dịch độc hại nhằm đánh cắp tài sản, chẳng hạn như lừa người dùng ủy quyền hoặc chuyển tài sản cho kẻ tấn công. Thứ hai, lừa người dùng nhập cụm từ ghi nhớ của ví trên trang web hoặc ứng dụng độc hại.
Sau khi biết kẻ tấn công đánh cắp tài sản ví như thế nào, chúng ta phải ngăn chặn những rủi ro có thể xảy ra:
- Trước khi ký, bạn phải xác định dữ liệu đã ký, biết giao dịch bạn ký nhằm mục đích gì, kiểm tra kỹ đối tượng đã ký có đúng không và số tiền ủy quyền có quá lớn hay không;
- Hãy sử dụng ví phần cứng càng nhiều càng tốt, vì ví phần cứng thường không thể xuất trực tiếp các từ ghi nhớ hoặc khóa riêng, do đó, ngưỡng khóa riêng của các từ ghi nhớ có thể bị đánh cắp có thể tăng lên;
- Các kỹ thuật và sự cố lừa đảo khác nhau xuất hiện không ngừng. Người dùng nên học cách tự mình xác định các kỹ thuật lừa đảo khác nhau, nâng cao nhận thức về bảo mật, tự học để tránh bị lừa và thành thạo các kỹ năng tự cứu mình. Tất nhiên, tôi thực sự khuyên mọi người nên đọc “Sổ tay hướng dẫn tự trợ giúp về Blockchain” do SlowMist sản xuất , trong đó có đầy đủ thông tin bạn cần;
- Người dùng nên duy trì các ví khác nhau cho các tình huống khác nhau để kiểm soát rủi ro tài sản. Ví dụ: số lượng lớn tài sản thường không được sử dụng thường xuyên, nên lưu trữ chúng trong ví lạnh và đảm bảo rằng môi trường mạng và môi trường vật lý an toàn khi sử dụng chúng. Các ví tham gia vào các hoạt động như airdrop được khuyến khích lưu trữ các tài sản nhỏ do tần suất sử dụng cao. Ví có thể được quản lý theo thứ bậc theo các tài sản và tần suất sử dụng khác nhau, để đảm bảo rằng rủi ro có thể được kiểm soát.
3. Vào ngày 16 tháng 8, ông chủ cosine đã gửi một dòng tweet thú vị—ảo tưởng của bạn rằng “Mac an toàn hơn máy tính Win” đến từ đâu? Đối với người dùng Web3, SlowMist nghĩ gì về ưu nhược điểm của máy tính Mac và Win?
Trả lời: Đúng, dòng tweet này cũng gây ra nhiều tranh luận, ngược lại chúng tôi đặt câu hỏi “Ảo tưởng rằng Win an toàn hơn máy tính Mac đến từ đâu?” Đó cũng là một góc độ và câu trả lời tương tự. Về khả năng chống xâm nhập hệ thống đơn, tính chất khép kín của Mac và kiểm soát quyền chặt chẽ thực sự tốt hơn Windows và thị phần PC toàn cầu của Mac rất thấp, trong khi Win chiếm tỷ trọng cao nên tấn công nhiều hơn. xảy ra trên Win. Bề mặt tấn công quá trưởng thành. Nói rằng 99% nhân viên an ninh làm xâm nhập, xâm nhập, APT hiện tại sẽ không nhắm vào Mac mà ngược lại 100% sẽ nhắm vào Win.
Ngoài những gì đã nói ở trên, nếu bạn tấn công Mac và Win bằng một con ngựa thành Troy thì kết quả cơ bản là như nhau và bạn sẽ bị trúng đòn. Nhìn chung, một nửa thiết bị là một nửa của cá nhân, nếu ý thức bảo mật của người dùng không đủ sẽ rất dễ bị lừa khiến máy tính bị cài chương trình độc hại, có thể dẫn đến trộm cắp dữ liệu nhạy cảm trên máy tính. máy tính (chẳng hạn như ghi nhớ). Phần mềm độc hại có thể hoạt động theo nhiều cách khác nhau, có thể ẩn trong tệp đính kèm email hoặc có thể sử dụng máy ảnh trên thiết bị của bạn để theo dõi.
Khuyến cáo mọi người nên nâng cao nhận thức về bảo mật, chẳng hạn như không dễ dàng tải xuống và chạy các chương trình do cư dân mạng cung cấp và chỉ tải xuống các ứng dụng, phần mềm hoặc tệp phương tiện từ các trang web đáng tin cậy; không dễ dàng mở tệp đính kèm từ các email lạ; thường xuyên cập nhật hệ điều hành. hệ thống để có được biện pháp bảo vệ an ninh mới nhất, cài đặt phần mềm chống vi-rút trên thiết bị, chẳng hạn như Kaspersky.
4. Nhiều dự án gặp phải tình trạng trộm “quỹ”. SlowMist nghĩ nguyên nhân chính gây ra vấn đề bảo mật là gì? Có thể được bảo vệ và đánh cắp?
Trả lời: Theo thống kê của SlowMist Hacked , tính đến ngày 24/8 sẽ xảy ra 253 sự cố bảo mật vào năm 2023, với thiệt hại lên tới 1,45 tỷ USD. Từ góc độ các phương pháp độc hại của blockchain, chủ yếu có một số khía cạnh: tấn công lừa đảo, tấn công Trojan, tấn công sức mạnh tính toán, tấn công hợp đồng thông minh, tấn công cơ sở hạ tầng, tấn công chuỗi cung ứng và tội phạm nội bộ.
Hãy lấy các cuộc tấn công hợp đồng thông minh phổ biến làm ví dụ, có các phương pháp tấn công sau: tấn công flash loan, lỗ hổng hợp đồng, vấn đề tương thích hoặc kiến trúc và một số phương pháp: tấn công độc hại từ phía trước và lừa đảo dành cho nhà phát triển. Ngoài ra, khi nói đến việc tự đánh cắp, chúng ta phải kể đến việc rò rỉ chìa khóa riêng. Việc rò rỉ khóa riêng tùy thuộc vào tình huống và việc rò rỉ khóa riêng của các cá nhân và sàn giao dịch là rất khác nhau. Khóa riêng cá nhân bị rò rỉ.
Thông thường, khóa riêng hoặc bản ghi nhớ được lưu trữ trên Internet, chẳng hạn như bộ sưu tập WeChat, hộp thư 163, bản ghi nhớ, ghi chú Youdao và các dịch vụ lưu trữ đám mây khác. Tin tặc thường thu thập cơ sở dữ liệu mật khẩu tài khoản bị rò rỉ trên Internet, chẳng hạn như mật khẩu tài khoản CSDN ở dạng văn bản rõ ràng từ nhiều năm trước, sau đó truy cập các trang web lưu trữ đám mây và dịch vụ đám mây này để thử. Nếu đăng nhập thành công, hãy vào bên trong để tìm hiểu xem có là bất kỳ nội dung nào liên quan đến tiền điện tử. Việc trao đổi phức tạp hơn, nói chung là một tổ chức hacker quy mô lớn có khả năng vượt qua các lớp bảo vệ an ninh của sàn giao dịch và xâm nhập từng bước để lấy khóa riêng của ví nóng trong máy chủ trao đổi . Đây là lời nhắc nhở đặc biệt rằng đây là hành vi bất hợp pháp và không được bắt chước.
Chúng tôi đề nghị bên dự án phải cố gắng hết sức tìm một công ty bảo mật để tiến hành kiểm tra bảo mật trên mã của dự án của mình nhằm cải thiện mức độ bảo mật của dự án. Nó cũng có thể phát hành Bug Bounty để tránh các vấn đề bảo mật khi hoạt động liên tục Đồng thời, khuyến nghị mỗi dự án Fang sẽ cải thiện cơ chế kỹ thuật và quản lý nội bộ, đồng thời tăng cường cường độ bảo vệ tài sản bằng cách đưa ra cơ chế đa chữ ký và cơ chế không tin cậy.
5. Cầu xuyên chuỗi từng được mệnh danh là: Máy rút tiền của hacker AKA. Đối với Web3er, người còn khá mới với công nghệ , khi sử dụng cầu nối chuỗi chéo cần chú ý những điểm gì?
Trả lời: Khi nói đến cầu nối chuỗi, trước hết, việc kinh doanh cầu nối chuỗi rất phức tạp, số lượng mã lớn, dễ xảy ra sơ hở khi mã hóa và triển khai; thứ hai, tính bảo mật của bên thứ ba các thành phần bên được tham chiếu trong dự án cũng là một trong những lý do quan trọng gây ra các lỗ hổng bảo mật; cuối cùng, việc thiếu một cộng đồng phát triển lớn hơn cho các cầu nối chuỗi chéo có nghĩa là mã chưa được tìm kiếm rộng rãi và cẩn thận để phát hiện các lỗi tiềm ẩn. Đối với người dùng, khi sử dụng cầu nối chuỗi chéo, điều quan trọng là phải hiểu cách tiền của bạn được bảo vệ.
Bạn có thể xem xét mức độ rủi ro của cầu nối chuỗi chéo từ một số khía cạnh, ví dụ: Hợp đồng dự án có phải là nguồn mở không? Dự án có được kiểm toán an ninh đa bên không? Sơ đồ quản lý khóa riêng là tính toán đa bên của MPC? Hoặc đa nút đa chữ ký? Hay khóa riêng được bên dự án giữ? Khi chọn cầu nối chuỗi chéo, người dùng cũng nên chọn những nhóm xuyên chuỗi có khả năng bảo mật mạnh, thứ nhất, họ phải có tất cả các phiên bản kiểm tra bảo mật mã, thứ hai, nhóm phải có nhân viên bảo mật toàn thời gian, chúng tôi cũng vậy. khuyến nghị các nhóm liên quan của cầu nối chuỗi chéo có thể vận hành Minh bạch hơn để có thể nhận được nhiều câu hỏi và đề xuất hơn từ người dùng, đồng thời có thể kiểm tra và lấp đầy các lỗ hổng kịp thời.
6. Ngoài một số Lừa đảo và Lừa đảo thông thường, SlowMist có thể đưa ra một số ví dụ tương đối hiếm gặp và khó đề phòng không?
Trả lời: Trước đây, chúng tôi đã tiết lộ các sự cố trong đó những kẻ tấn công sử dụng lỗ hổng trong quá trình triển khai WalletConncet của ví Web3 để tăng tỷ lệ thành công của các cuộc tấn công lừa đảo. Cụ thể, khi một số ví Web3 cung cấp hỗ trợ WalletConncet, không có hạn chế về khu vực cửa sổ bật lên giao dịch WalletConncet sẽ bật lên, nhưng yêu cầu chữ ký sẽ bật lên trên bất kỳ giao diện nào của ví. các trang web lừa đảo. WalletConncet kết nối với các trang lừa đảo và sau đó liên tục tạo ra các yêu cầu chữ ký eth_sign độc hại. Sau khi người dùng nhận ra rằng eth_sign có thể không an toàn và từ chối ký, vì WalletConncet sử dụng wss để kết nối, nếu người dùng không đóng kết nối kịp thời, trang lừa đảo sẽ tiếp tục thực hiện các yêu cầu chữ ký eth_sign độc hại và người dùng sẽ có một rất nhiều rắc rối khi sử dụng ví, có thể bấm nhầm vào nút ký dẫn đến mất trộm tài sản của người dùng.
Trên thực tế, miễn là bạn thoát hoặc đóng Trình duyệt DApp, kết nối WalletConncet sẽ bị tạm dừng. Ngược lại, khi người dùng đột nhiên nhảy ra khỏi chữ ký khi sử dụng ví sẽ dễ bị nhầm lẫn và dẫn đến nguy cơ bị mất cắp. Nói xong, hãy để tôi nhắc lại eth_sign. eth_sign là một phương thức chữ ký mở thường được những kẻ tấn công sử dụng để lừa đảo trong hai năm qua, cho phép Hash tùy ý, tức là mọi giao dịch hoặc bất kỳ dữ liệu nào đều có thể được ký, điều này gây ra rủi ro lừa đảo nguy hiểm. Khi đăng nhập, bạn nên kiểm tra kỹ ứng dụng, website đang sử dụng, không nhập mật khẩu hoặc ký giao dịch khi không rõ ràng, từ chối ký mù có thể tránh được nhiều rủi ro về bảo mật.
7. Tôi muốn biết sự cố bảo mật nghiêm trọng nhất mà SlowMist gặp phải trong lĩnh vực bảo mật blockchain suốt nhiều năm qua là gì?
Trả lời: Điều ấn tượng nhất trong hai, ba năm qua là sự cố Poly Network xảy ra vào năm 2021 . Vào khoảng 20 giờ tối ngày 10 tháng 8, khi cuộc tấn công xảy ra, chúng tôi đã hết sức chú ý, phân tích quá trình tấn công, theo dõi dòng tiền và đếm số tiền bị đánh cắp, v.v., cảm thấy hơi lo lắng đường kẻ. Và khoản thiệt hại 610 triệu USD được coi là tổn thất đặc biệt lớn trong vụ tấn công vào thời điểm đó. Nhóm của chúng tôi ngay lập tức đưa ra phân tích về cuộc tấn công và thông tin nhận dạng IP của những kẻ tấn công mà chúng tôi đã tìm thấy vào lúc 5 giờ sáng ngày 11. Vào lúc 16 giờ ngày 11, các hacker đã phải chịu áp lực nặng nề, phải bắt đầu trả lại tài sản. Một số nhận xét của tin tặc trên chuỗi trong phần tiếp theo cũng “thú vị” hơn và toàn bộ quá trình này diễn ra rất thỏa mãn với tư cách là một công ty bảo mật.
8. Đặt một câu hỏi thú vị ở cuối. Các công nghệ mới như xác minh chính thức và kiểm tra AI tiếp tục được lặp lại. SlowMist nhìn nhận sự phát triển của các công nghệ mới như thế nào?
Đáp: Khi nói đến các công nghệ mới, chẳng hạn như ChatGPT để nâng cao hiệu quả của văn bản truyền thống, chẳng hạn như CodeGPT để cải thiện hiệu quả của việc viết mã. Chúng tôi cũng đã sử dụng các mã lỗ hổng phổ biến trong lịch sử làm trường hợp thử nghiệm nội bộ để xác minh khả năng phát hiện các lỗ hổng cơ bản của GPT. Kết quả thử nghiệm cho thấy mô hình GPT phát hiện tốt các khối mã dễ bị tấn công đơn giản, nhưng tạm thời không thể phát hiện các mã dễ bị tấn công phức tạp hơn một chút và có thể thấy khả năng đọc theo ngữ cảnh tổng thể của GPT-4 (Web) trong thử nghiệm Rất cao , định dạng đầu ra tương đối rõ ràng.
GPT có khả năng phát hiện một phần các lỗ hổng đơn giản cơ bản trong mã hợp đồng, sau khi phát hiện lỗ hổng sẽ giải thích các lỗ hổng với độ dễ đọc cao, tính năng này phù hợp hơn để cung cấp hướng dẫn nhanh chóng cho việc đào tạo sơ bộ kiểm toán viên hợp đồng cấp dưới và các câu hỏi đơn giản. Nhưng cũng có một số nhược điểm: ví dụ, GPT có những biến động nhất định về đầu ra của mỗi đoạn hội thoại, có thể điều chỉnh thông qua các tham số giao diện API nhưng vẫn không phải là đầu ra cố định. nó lớn nhưng đây là một câu hỏi tồi đối với các lớp phân tích mã. Bởi vì để trả lời các câu trả lời về lỗ hổng khác nhau mà AI có thể cho chúng ta biết, chúng ta cần yêu cầu cùng một câu hỏi nhiều lần và thực hiện sàng lọc so sánh, điều này vô tình làm tăng khối lượng công việc và vi phạm mục tiêu chuẩn của AI hỗ trợ con người nâng cao hiệu quả. Hơn nữa, việc phát hiện các lỗ hổng phức tạp hơn một chút sẽ tiết lộ rằng mô hình đào tạo (2024.3.16) hiện tại không thể phân tích chính xác và tìm ra các điểm dễ bị tổn thương chính có liên quan.
Mặc dù hiện tại khả năng phân tích và khai thác các lỗ hổng hợp đồng của GPT vẫn còn tương đối yếu, nhưng khả năng phân tích các khối mã nhỏ của các lỗ hổng phổ biến và tạo văn bản báo cáo vẫn khiến người dùng phấn khích. rằng các cuộc kiểm toán phụ trợ nhanh hơn, thông minh hơn và toàn diện hơn cho các hợp đồng lớn và phức tạp chắc chắn sẽ được hiện thực hóa.
Phần kết
Cảm ơn bạn rất nhiều vì câu trả lời từ nhóm bảo mật SlowMist. Ở đâu có ánh sáng, ở đó có bóng tối, và ngành blockchain cũng không ngoại lệ; nhưng chính nhờ sự tồn tại của các công ty bảo mật blockchain như SlowMist Technology mà ánh sáng cũng có thể đi vào bóng tối. Tôi tin rằng với sự phát triển, ngành công nghiệp blockchain sẽ trở nên tiêu chuẩn hóa hơn và tôi rất mong chờ sự phát triển trong tương lai của Công nghệ SlowMist~.