SlowMist Technology は、ブロックチェーンのエコロジカル セキュリティに焦点を当てた企業として、10 年以上ネットワーク セキュリティの最前線で攻防戦を行ってきたチームによって 2018 年 1 月に設立されました。 SlowMist Technology は、業界内で一般的な高リスクのブロックチェーン セキュリティの脆弱性をいくつか独自に発見して発表し、業界から幅広い注目と認識を得ています。
現在、ブロックチェーンのセキュリティ問題は頻繁に発生しており、Web3 er も長い間この問題に悩まされてきました。したがって、2 回目の対話では、SlowMist セキュリティ チームを招待して、ブロックチェーンのセキュリティについて共有し、チェーン上の世界をより安全に探索できるよう支援していただきます。さあ始めましょう~
1. まずは皆さんにスローミストを紹介してください。
回答: みなさん、こんにちは。SlowMist はブロックチェーンのエコロジカル セキュリティに焦点を当てている会社です。当社のブロックチェーンのエコロジー セキュリティ機能は 3 つのリングで構成されています: 最も内側の層はコンプライアンス セキュリティ、2 番目の層は技術的セキュリティ、3 番目の層はセキュリティです。生態学的安全性。技術セキュリティには主に、セキュリティ監査とマネーロンダリング対策という 2 つの主要な事業分野が含まれます。セキュリティ監査の内容には、DeFi プロジェクトのスマート コントラクト コード、集中型取引所、ウォレット アプリ、ブラウザ プラグイン ウォレット、基盤となるパブリック チェーンが含まれます。また、以下の 1 つであるレッド チーム テスト サービスも提供しています。私たちの利点。 2018年から現在までの5年以上にわたり、当社は業界の多くの著名な大手顧客にサービスを提供しており、数千の商業顧客があり、高い評価を得ています。当社はマネーロンダリング防止のためのオンチェーン追跡プラットフォームを備えていますMistTrack。また、当社はコンプライアンスとセキュリティにも細心の注意を払っており、コンプライアンスはこの業界の長期的発展の重要な基盤の一つであり、セキュリティ監査やマネーロンダリング対策協力の対象プロジェクトについては厳格な法的手続きを行っております。当社は、セキュリティは全体であり、セキュリティは完全なセキュリティ システムを構築する必要があることを認識しているため、脅威の発見から脅威の防御まで、地域の状況に合わせた統合セキュリティ ソリューションを提供します。簡単に言うと、実際には軍事的な循環型防御システム、多層防御です。最外層での脅威の発見は、SlowMist ゾーンのパートナーと SlowMist 独自の脅威インテリジェンス システム (これは当社の生態学的セキュリティでもあります) を通じて脅威を発見および特定し、メディア チャネルを通じて早期警告のためにエコシステム全体に公開します。脅威防御BTI(ブロックチェーン脅威インテリジェンスシステム)をはじめ、地域の状況に合わせた体系的な防御ソリューションの導入、ホットウォレット・コールドウォレットのセキュリティ強化など、ネットワークセキュリティ、リスクコントロールセキュリティ、ウォレットセキュリティなどの分野を選択した当社の防御システムを指します。中国の高品質なセキュリティソリューションプロバイダーは、お客様が事業展開の過程で遭遇するさまざまな困難に柔軟かつ容易に対処できるように選択し、業界およびコミュニティの高品質なパートナーと協力してセキュリティジョイントを共同構築したいと考えています防衛の仕事。
2. Web3 のセキュリティ問題は常に予測できません。ニーモニックフレーズを手でコピーすることや、Web サイトの信頼性に注意を払うことなどのいくつかの基本的なルールとは別に、SlowMist は頻繁にやり取りする Web3er に対してセキュリティに関する提案をしていますか?
回答: 質問はインタラクションのセキュリティに関するものなので、まず一般的な攻撃がユーザーの資産をどのように盗むのかを整理しましょう。
攻撃者は通常、次の 2 つの方法でユーザー資産を盗みます。
まず、ユーザーを騙して資産を承認させたり、攻撃者に資産を譲渡させたりするなど、資産を盗む悪意のあるトランザクション データに署名させます。次に、ユーザーをだまして、悪意のある Web サイトまたはアプリでウォレットのニーモニック フレーズを入力させます。
攻撃者がウォレット資産を盗む方法がわかったら、考えられるリスクを防ぐ必要があります。
署名する前に、署名されたデータを特定し、署名したトランザクションの目的を理解し、署名されたオブジェクトが正しいかどうか、承認された金額が大きすぎるかどうかを注意深く確認する必要があります。
ハードウェアウォレットは一般にニーモニックワードや秘密鍵を直接エクスポートできないため、ニーモニックワードの秘密鍵が盗まれる閾値が上がる可能性があるため、できるだけハードウェアウォレットを使用してください。
さまざまなフィッシング手法や事件が後を絶たず出現するため、ユーザーはさまざまなフィッシング手法を自ら識別し、セキュリティ意識を向上させ、騙されないための自己教育を行い、自己救済スキルを習得する必要があります。もちろん、スローミストの本をぜひ読んでみてください。『ブロックチェーンダークフォレスト自助マニュアル』、乾物がいっぱい。
資産のリスクを管理するために、ユーザーはさまざまなシナリオに応じて異なるウォレットを維持することをお勧めします。例: 大量の資産は一般に頻繁に使用されないため、コールド ウォレットに保管し、ネットワーク環境や物理環境が安全であることを確認して使用することをお勧めします。エアドロップなどのアクティビティに参加するウォレットは、使用頻度が高いため、小規模な資産を保管することをお勧めします。ウォレットはさまざまな資産や使用頻度ごとに階層的に管理できるため、リスクを確実に制御できます。
3. 8 月 16 日、コサインの上司が興味深いツイートを送信しました。「Mac は Win コンピュータよりも安全である」というあなたの幻想はどこから来たのですか? Web3 ユーザーにとって、Mac と Win コンピューターの長所と短所は何だと SlowMist は考えていますか?
回答: はい、このツイートも多くの議論を巻き起こしましたが、逆に「Win のほうが Mac コンピュータよりも安全であるという幻想はどこから来るのですか?」という質問も同様の角度からの回答です。単一システムの侵入防止という点では、Mac の閉鎖的な性質とアクセス許可の厳密な制御は Windows よりも優れています。また、Mac の世界的な PC 市場シェアは非常に低く、Win が高い割合を占めているため、より多くの攻撃が行われます。 Win で発生します。攻撃対象領域が成熟しすぎています。現在、侵入、侵入、APT を行うセキュリティ担当者の 99% は Mac をターゲットにせず、それどころか 100% が Win をターゲットにすると言っても過言ではありません。上記の内容とは別に、Mac と Win を抗殺人型トロイの木馬で攻撃すると、基本的な結果は同じで、攻撃を受けることになります。一般に、機器の半分は個人の半分であり、ユーザーのセキュリティ意識が十分でない場合、簡単に騙されてコンピュータに悪意のあるプログラムが埋め込まれ、コンピュータ上の機密データが盗まれる可能性があります。コンピュータ(ニーモニックなど)。マルウェアはさまざまな方法で動作する可能性があり、電子メールの添付ファイルに隠れたり、デバイスのカメラを使用して監視したりすることがあります。たとえば、ネットユーザーが提供するプログラムを安易にダウンロードして実行しないこと、信頼できるサイトからのみアプリケーション、ソフトウェア、メディア ファイルをダウンロードすること、見慣れないメールの添付ファイルを安易に開かないこと、オペレーティング システムを定期的に更新することなど、セキュリティ意識を高めることをお勧めします。システムに最新のセキュリティ保護を適用するには、Kaspersky などのウイルス対策ソフトウェアをデバイスにインストールします。
4. 多くのプロジェクトで「資金」の盗難が発生しています。 SlowMist はセキュリティ問題の主な原因は何だと考えていますか?守られて盗まれることはありますか?
回答: によるとスローミストブロックチェーンハッキングアーカイブ (スローミストハッキング)統計によると、8月24日現在、2023年には合計253件のセキュリティインシデントが発生し、最大14億5,000万米ドルの損失が発生すると予想されています。ブロックチェーンの悪意のある手法の観点から見ると、主にフィッシング攻撃、トロイの木馬攻撃、コンピューティング能力攻撃、スマートコントラクト攻撃、インフラストラクチャ攻撃、サプライチェーン攻撃、内部犯罪といったいくつかの側面があります。一般的なスマート コントラクト攻撃を例に挙げると、フラッシュ ローン攻撃、契約の抜け穴、互換性またはアーキテクチャの問題、およびフロントエンドの悪意のある攻撃や開発者向けのフィッシングなどの攻撃方法があります。さらに、自己窃盗に関して言えば、秘密鍵の漏洩についても言及する必要があります。秘密鍵の漏洩は状況によって異なり、個人と取引所の秘密鍵の漏洩は大きく異なります。個人の秘密キーが漏洩する一般的に、秘密キーまたはニーモニックは、WeChat コレクション、163 メールボックス、メモ、Youdao メモ、その他のクラウド ストレージ サービスなどのインターネット上に保存されます。ハッカーは多くの場合、何年も前に平文で書かれた CSDN アカウント パスワードなど、インターネット上に漏洩したアカウント パスワード データベースを収集し、これらのクラウド ストレージやクラウド サービスの Web サイトにアクセスして試行します。暗号関連のコンテンツです。取引所はより複雑で、通常、取引所のセキュリティ保護層を突破し、段階的に侵入して取引所サーバー内のホットウォレットの秘密キーを取得する能力を持つ大規模なハッカー組織です。 。これは違法行為ですので、絶対に真似しないでください。プロジェクト当事者は、プロジェクトのセキュリティ レベルを向上させるために、自分のプロジェクトのコードのセキュリティ監査を実施してくれるセキュリティ会社を見つけるよう最善を尽くすことをお勧めします。また、継続的な運用中のセキュリティ問題を回避するためにバグ報奨金をリリースすることもできます。同時に、Fang はすべてのプロジェクトで内部管理と技術メカニズムを改善し、マルチ署名メカニズムとゼロトラスト メカニズムを導入することで資産保護の強度を高めることを推奨します。
5. クロスチェーンブリッジはかつて、別名ハッカー現金自動預け払い機と呼ばれていました。テクノロジーに比較的慣れていない Web3er がクロスチェーン ブリッジを使用する際に注意すべき点は何ですか?
回答: クロスチェーン ブリッジに関して言えば、第一に、クロスチェーン ブリッジのビジネスは複雑でコード量が多く、コーディングと実装の際に抜け穴が発生しやすいこと、第二に、第 3 にセキュリティの確保です。プロジェクトで参照されているパーティ コンポーネントも、セキュリティ脆弱性の重要な理由の 1 つです; 最後に、クロスチェーン ブリッジのための大規模な開発コミュニティが存在しないことは、潜在的なバグについてコードが広範かつ慎重に検索されていないことを意味します。ユーザーにとって、クロスチェーン ブリッジを使用する場合、資金がどのように保護されているかを理解することが重要です。たとえば、プロジェクト契約はオープンソースですか? など、いくつかの側面からクロスチェーン ブリッジのリスク レベルを確認できます。プロジェクトは複数の関係者によるセキュリティ監査ですか?秘密鍵管理方式は MPC マルチパーティ計算ですか?それともマルチノードマルチシグネチャですか?それとも秘密鍵はプロジェクト当事者によって保管されていますか?クロスチェーン ブリッジを選択する際、ユーザーは強力なセキュリティ機能を備えたクロスチェーン チームを選択する必要があります。第一に、すべてのバージョンのコード セキュリティ監査が必要であり、第二に、チームにはフルタイムのセキュリティ担当者が必要です。クロスチェーンブリッジの関連チームがより透明性を高めて運営し、ユーザーからより多くの質問や提案を受け取り、ギャップを確認して時間内に埋めることができるようにすることをお勧めします。
6. 一般的な詐欺やフィッシングに加えて、比較的まれで防御が難しい例を SlowMist がいくつか挙げていただけますか?
A: 以前、攻撃者が Web3 ウォレットの WalletConncet 実装の欠陥を利用してフィッシング攻撃の成功率を高めたインシデントを明らかにしました。具体的には、一部の Web3 ウォレットが WalletConncet サポートを提供している場合、WalletConncet トランザクション ポップアップ ウィンドウがポップアップする領域に制限はありませんが、署名リクエストはウォレットのどのインターフェイスでもポップアップ表示されます。攻撃者はこの欠陥を利用してユーザーを誘導します。 WalletConncet はフィッシング ページに接続し、悪意のある eth_sign 署名リクエストを継続的に構築します。ユーザーが eth_sign が安全でない可能性があることを認識し、署名を拒否した後でも、WalletConncet は接続に wss を使用するため、ユーザーが時間内に接続を閉じないと、フィッシング ページは悪意のある eth_sign 署名リクエストを開始し続け、ユーザーはウォレットを使用する際には、誤ってサインボタンをクリックしてしまい、ユーザーの資産が盗まれる可能性があり、非常に面倒です。実際、DApp ブラウザを離れるか閉じる限り、WalletConncet 接続は一時停止されます。そうしないと、ユーザーが財布を使用するときに突然署名から飛び出したときに混乱しやすく、盗難の危険につながります。そうは言っても、もう一度 eth_sign について触れておきます。 eth_sign は、過去 2 年間にフィッシングに攻撃者によって頻繁に使用されてきたオープンな署名方法であり、任意のハッシュを許可します。つまり、あらゆるトランザクションまたはあらゆるデータに署名できるため、危険なフィッシングのリスクが生じます。署名またはログインするときは、使用しているアプリケーションや Web サイトを注意深く確認し、不明な場合はパスワードを入力したりトランザクションに署名したりしないでください。ブラインド署名を拒否すると、多くのセキュリティ リスクを回避できます。
7. SlowMist が長年ブロックチェーン セキュリティで遭遇した最も重大なセキュリティ インシデントは何ですか?
回答:ここ 2 ~ 3 年で最も印象に残っているのは、2021 年に発生した Poly Network 事件です。攻撃が発生した8月10日午後20時頃、私たちは最前線の気分で攻撃過程の分析、資金の流れの追跡、盗まれた損失の集計など、高い注意を払い続けました。 。そして、6 億 1,000 万米ドルの損失は、当時の攻撃の中でも特に大きな損失とみなされていました。私たちのチームは、攻撃の分析と発見した攻撃者の IP 識別情報を 11 日午前 5 時に直ちに公開し、11 日 16 時にハッカーは資産の返還を開始するよう強い圧力を受けました。フォローアップのチェーン上のハッカーからのコメントの中には「興味深い」ものもあり、セキュリティ会社として全体のプロセスは非常に充実していました。
8. 最後に興味深い質問をします。形式検証やAI監査など、新しい技術が次々と登場していますが、SlowMistは新しい技術の発展をどのように見ていますか?
A: 新しいテクノロジーに関して言えば、従来のテキストの効率を向上させる ChatGPT や、コード作成の効率を向上させる CodeGPT などです。また、GPT の基本的な脆弱性を検出する能力を検証するためのテスト ケースとして、歴史的に一般的な脆弱性コードを内部で使用しました。テスト結果では、GPT モデルは単純な脆弱なコード ブロックの検出には優れていますが、少し複雑な脆弱なコードを一時的に検出できず、GPT-4 (Web) の全体的なコンテキストの可読性がテストで確認できます。 、出力形式がより明確になります。 GPTは、契約コードの基本的な単純な脆弱性を部分的に検出する機能を備えており、脆弱性を検出した後は可読性の高い脆弱性を説明する機能があり、若手契約監査人の事前研修や簡単な質問などの迅速な指導に適しています。しかし、いくつかの欠点もあります: たとえば、GPT には各ダイアログの出力に一定の変動があり、API インターフェイスのパラメーターを通じて調整できますが、それでも一定の出力ではありません。このような変動性は言語ダイアログにとっては良い方法ですが、サイズは大きいですが、これはコード分析ジョブにとっては悪い問題です。なぜなら、AI が教えてくれるさまざまな脆弱性の回答をカバーするには、同じ質問を複数回リクエストして比較スクリーニングを実行する必要があるため、目に見えない作業負荷が増加し、AI が人間の効率向上を支援するというベンチマーク目標に違反するからです。さらに、もう少し複雑な脆弱性が検出されると、現在 (2024.3.16) のトレーニング モデルでは、関連する主要な脆弱性ポイントを正しく分析して見つけることができないことが明らかになります。コントラクトの脆弱性を分析してマイニングする GPT の能力は、現時点ではまだ比較的弱いですが、一般的な脆弱性の小さなコード ブロックを分析し、レポート テキストを生成する能力は依然としてユーザーを興奮させています。この GPT と他の AI モデルのトレーニングと開発により、大規模で複雑な契約に対する、より迅速で、よりスマートで、より包括的な補助監査が確実に実現されるでしょう。
エピローグ
SlowMist セキュリティ チームからの回答に心より感謝いたします。光あれば影あり、ブロックチェーン業界も例外ではありませんが、SlowMist Technologyのようなブロックチェーンセキュリティ企業の存在があるからこそ、影にも光が入り込みます。この発展により、ブロックチェーン業界はより標準化されると信じており、SlowMistテクノロジーの今後の発展を楽しみにしています~
今後もNFTGoではWeb3 Builderをご招待してインタビューや対談を行ってまいりますので、中国語Twitter:@NFTGoCNをフォローしていただければ幸いです。ご提案や見てみたいビルダー、質問したいこと、自分を推薦したいなどありましたら、お気軽にTwitterまたはDMまでコメントください。
次の Web3 Builder との対話でお会いしましょう~
