攻撃者の予測を予測して、CertiK がモバイル防御の戦いを開始

オリジナル - 毎日

著者 - 夫のハウ

編集者 - ハオ・ファンジョウ

最近、Web3 業界で注目を集めているニュースがあります。CertiKセキュリティ監査会社が Apple のモバイル側のセキュリティ脆弱性を発見し、Apple から公的感謝を受けました。

Appleの公式セキュリティアップデートページの情報によると、CertiKが発見した脆弱性はカーネル、GPUドライバ、ProResドライバに影響を与え、「アプリケーションがカーネル権限で任意のコードを実行」できるようになるという。つまり、ユーザーは携帯電話に保存されているウォレットの秘密鍵を失う可能性があり、これが Web3 ユーザーにとって何を意味するか考えると非常に恐ろしいことになります。

Appleはすぐに、メモリ処理を改善することで脆弱性に対処したと発表した。

CertiKは以前、韓国サムスングループの携帯端末のセキュリティ脆弱性を発見したと報じられている。

CertiK は、Web3 業界ではよく知られたトップ セキュリティ組織ですが、Web2 の世界ではそれを知っている人はほとんどいません。Apple や Samsung などの Web2 の巨人が CertiK の名前とともに突然現れました。これがこの 2 つの業界を予言しているのではないかと人々は疑問に思わずにはいられませんWeb2 と Web3 の側面 世界間の「壁を打ち破る」、システムのセキュリティを共同で向上させる新しいシナリオ?

技術アプリケーションの開発の歴史から判断すると、ユーザーの操作習慣は必然的にコンピューターからモバイル端末に移行します。これは Web2 時代のケースであり、将来的には Web3 もこのパターンに従うことになります。

セキュリティ監査の観点から見ると、ネットワーク セキュリティには境界がなく、Web2 と Web3 のセキュリティは同じです。この 2 つは細分化された分野で異なる焦点を当てていますが、分散型製品サービスとその背後にあるプロトコルのユーザーは依然として集中型の機器とシステムに大きく依存しています。 Web2 のリスクの予防と制御は、Web3 アプリケーションのセキュリティの最終ラインも構成します。

CertiK の創設者兼 CEO の Gu Ronghui 氏は次のように述べています。「将来的に Web3 ユーザーの大幅な増加が予想される場合、ユーザーの Web3 アプリケーションは間違いなくモバイル Dapps からアクセスされるでしょう。」

攻撃と防御が複雑でリスクが分散

Web3 の急速な発展に伴い、悪意のある攻撃がより頻繁に発生するようになりました。によるとDefiLlama データ表示、盗まれた仮想通貨の総額は70億ドルを超えました。

Web3 のリスクはインシデントの対象に応じて次の 3 種類に大別されます。

● プロジェクト独自の仕組みのセキュリティ問題：スマートコントラクト、51%攻撃、トランザクション展性攻撃、二重支払い攻撃、スパムトランザクション攻撃など、独自の仕組みの脆弱性によって引き起こされるセキュリティリスク。内部関係者の記憶にまだ新しい深刻な事件は、Curve Vyper コンパイラの潜在的な脆弱性により複数の Curve 流動性プールが攻撃され、創設者の不健全な融資ポジションが重なり、一連の清算危機を引き起こしたというものです。

● エコシステムのセキュリティ問題: 取引所の盗難、雷雨、Web サイトのデータ漏洩、オフサイト操作、サービス拒否攻撃、トランザクション アドレスの改ざん、マイニング プール攻撃などの外部要因による攻撃。最近の事件としては、9 月に仮想通貨取引所 CoinEx のホットウォレットから 7,000 万米ドルが盗まれたことが挙げられます。

● クライアントのセキュリティの問題: アカウントの盗難、ウォレットの盗難、詐欺のほか、ユーザーのフィッシングや秘密キーの保管問題などの自己発生の問題など。 10月12日、元アラメダエンジニアのアディ氏（e/acc）は、アラメダのトレーダーがDeFi運用中にフィッシングリンクをクリックし、アラメダが1億ドル以上の損失を被ったことをXプラットフォーム上で明らかにした。

上記のケースでは、Web2 のセキュリティ リスクが Web3 に大きな影響を与える可能性があり、議論を完全に切り離すことはできないことがわかります。

実際、一般的に使用されている Chrome ブラウザの以前のアップグレードには、さまざまな脆弱性のトラブルシューティングが含まれており、Web3 ウォレットなどの拡張機能が「マザー」の反復に追いつかないと、攻撃に対して脆弱になります。

記事の冒頭で、CertiK は Apple システムのモバイルの複数の脆弱性を発見しました。MacStealer、ShadowVault、AMOS、Realst などのマルウェアが一般的な暗号化ウォレットを攻撃し、キーチェーン データベースを盗みました。SeaFflower はニーモニック フレーズを盗むためのバックドアを備えた暗号化ウォレット アプリケーションのバージョンを配布しました。 CookieMiner マルウェアは、テキスト メッセージを含む iTunes バックアップにアクセスして、2 要素認証をバイパスするために必要な情報を取得し、それによって被害者の暗号ウォレットにアクセスして暗号通貨を盗むことができます。

あなたより優れた人は常にいます

Web3のセキュリティリスクが深刻化する中、プロジェクト当事者自身のリスク意識の向上に加え、信頼できるセキュリティ監査会社を選択することがプロジェクトの標準要件となっており、セキュリティはプロジェクトの持続的発展の基礎となっています。外部監査報告書は、プロジェクトのセキュリティを「市場におけるより専門的な役割」に引き渡すだけでなく、トップのセキュリティ監査会社からの承認も、ユーザーへのプロジェクトの宣伝における金メダルとなります。

これに関連して、Web3 セキュリティ監査会社は前回の強気市場以来急速に発展し、CertiK、Paidun、SlowMist などの企業が徐々にみんなの視野に入ってきました。Web3 Security Audit Company の事業も徐々に拡大しており、受託開発から事後監視に至るまでプロジェクト側のリスクをコントロールしています。

CertiKを例に挙げると、リスクハザードを発見して解決するためのWeb3セキュリティ監査とペネトレーションテスト、Skylnsights、KYCデューデリジェンス、緊急インシデント対応、バグ報奨金プログラムやその他の措置を含む、フルプロセスのセキュリティ保護コンポーネントをプロジェクト関係者や個人に提供します。 、暗号化エコシステムのセキュリティを維持し、ユーザーのリスク回避とセキュリティ リスク認識の向上を支援する統合 Web3 セキュリティ分析プラットフォームを構築するためのスカイネット システムやコンサルティング サービスなどのサービスを提供します。

モバイル端末上で悪意のあるアクティビティがますます蔓延していることに直面して、CertiK は iOS システム用の Web3 ウォレットを開発するために一定の措置を講じました。iOS では、開発者はウォレット アプリケーションを保護するために次のセキュリティ手法を採用できます: iOS セキュリティ機能、ハードウェア ベースのセキュリティ メカニズム、およびアプリ構成証明などのフレームワークを活用する; 暗号化されたストレージと送信、入力検証、防御性を含む安全なコーディング ガイドラインに従う プログラミング; 2要素認証と生体認証を実装し、アプリケーションを定期的に更新してパッチを適用し、セキュリティ監査と脆弱性スキャンを実施します。

CertiK は時代とともに進歩しており、Web3 のセキュリティリスクを常に事前に発見し、まだ発生していない Web3 の悪意のあるインシデントに対処していることがわかります。

世界では安全、内なる強さを静かに練習する

新興業界として、Web3 は多くのジャッカルやトラの侵入に直面しており、セキュリティ監査会社の能力に対する要件はますます高くなっています。前回の強気市場では、プロジェクトの数が急激に増加しましたが、Web3 セキュリティの重責を担うことができるサードパーティ企業はほとんどありませんでした。

プロジェクト関係者や暗号化会社にとって、Web3 セキュリティ監査会社を選択する際に最も重要な考慮事項は信頼です。

信頼の源を解体することは、ビジネスの強み、包括的な製品範囲、サービスの深さ、およびサードパーティのセキュリティ機関の業界での長期的な評判と切り離すことができません。

公式ウェブサイトによると、CertiKは2018年の設立以来、4,100社を超える企業顧客と協力し、7万件近くのブロックチェーンコード関連の脆弱性を発見し、3,600億ドル以上のデジタル資産を直接的または間接的に保護してきました。

2021 年以降、CertiK のビジネスは急速に成長し、売上高は約 13 倍、利益は約 3320 倍、従業員数は約 4 倍に達しました。弱気市場を経験しているものの、同社の事業は激しく変動する市場環境において強力な反景気循環性を示している。

CoinMarketCapのデータは、市場シェアに反映され、サードパーティのセキュリティ監査を利用するブロックチェーンプロジェクトの中でCertiKの市場シェアが70%を超えていることを示しています。

チームの経歴としては、創設者2人はイェール大学とコロンビア大学の教授であり、そのうちGu Ronghui氏は、研究分野での貢献によりAmazon Research Award、OSDI Jay Lepreau Best Paper Award、SOSP Best Paper Award、CACMを受賞しています。システム セキュリティ. (International Computer Society) Research Highlights Award、VMware System Research Award など多数の賞を受賞。同時に、Gu Ronghui はシンガポール金融管理局の国際技術諮問委員会のメンバーでもあり、香港 Web 3.0 開発タスクフォースのメンバーでもあります。

資金調達の背景において、CertiKはBinanceやCoinbaseなどのWeb3「大手」から認められており、またGoldman Sachs、Sequoia Capital、Tiger Globalなどの伝統的な機関からも支援を受けており、Web3セキュリティ監査会社として高く評価されています。 20億米ドルで。

この年までに、CertiK は株式市場でトップの座を占めることに満足しただけでなく、Apple や Samsung などのテクノロジー大手の端末システムのセキュリティ向上を頻繁に支援しました。 CertiK は、将来の発展をビジョンとして、Web3 の大規模導入のブレークスルー ポイントとなるモバイル端末まで事業範囲を拡大しました。

業界を保護し、いち早く導入する

業界大手の CertiK がモバイル セキュリティ保護を打ち出し始めたとき、それはビジネスの拡大だけでなく、Web3 の新しいトレンドに対する創業者の判断でもありました。Gu Ronghui 氏は Odaily に対し、セキュリティ監査業界の競争はますます激化しており、CertiK は機会を捉えて将来的により広範な市場にサービスを提供するために、差別化された競争上の優位性を持つ製品を発売する必要があると語った。

前回の強気市場を経験した後、Web3 の基本的なサポート機能はますます充実しており、その結果、今回の弱気市場ではさらに多くのビルダーが登場し、アプリケーション層に重点を置いています。Web3の主調も、株式市場でのエコロジーの戦いから、大規模導入を核としたアプリケーションの戦いへと移行している。

Web3 自体の観点から見ると、大規模に採用されている Dapps は製品内で構成可能かつ複雑ですが、クロスエコロジー、クロスプロトコル、クロスレイヤー、クロスドメインの増加により、防ぐのがより困難なリスクが生じます。

Web2 の観点から見ると、モバイル端末は現在 Apple や Android などのシステム サービス プロバイダーに依存していますが、Web2 のシステム リスクは Web3 プロジェクトやモバイル端末のユーザーにさらに大きなリスクを引き起こす可能性があります。

光と闇の戦いがここにある Web2端末のシステムリスクも、Web3アプリケーションのブラックボックスも、すべて隠れたセキュリティリスクです。しかし、「Web3 の世界を守る」という原則を堅持する CertiK は、長い間 Web3 モバイル アプリケーションに注力しており、モバイル端末のセキュリティ コードンが最初に導入され、主流市場からの認知を獲得することになる可能性があります。 Web3 分野におけるセキュリティ監査会社の発展を可能にする、競争への序章。