공격자의 예측을 예상한 CertiK, 모바일 방어전 개시

오리지널 - 오데일리

저자-남편 방법

편집자 - Hao Fangzhou

최근 Web3 업계에서 한 가지 뉴스가 주목을 끌었습니다.CertiK보안 감사 회사는 Apple의 모바일 보안 취약점을 발견하고 Apple로부터 대중의 감사를 받았습니다.

Apple의 공식 보안 업데이트 페이지 정보에 따르면 CertiK가 발견한 취약점은 커널, GPU 드라이버 및 ProRes 드라이버에 영향을 미치며 애플리케이션이 커널 권한으로 임의 코드를 실행할 수 있도록 허용합니다. 즉, 사용자는 휴대폰에 저장된 지갑 개인 키를 잃어버릴 수도 있는데, 이것이 Web3 사용자에게 의미하는 바는 생각하기 매우 두려운 일입니다.

Apple은 즉시 향상된 메모리 처리를 통해 취약점을 해결했다고 밝혔습니다.

서틱은 앞서 삼성그룹 모바일 단말기에서 보안 취약점을 발견한 것으로 알려졌다.

CertiK은 Web3 업계에서는 잘 알려진 수석 보안 기관이지만 Web2 세계에서는 아는 사람이 거의 없습니다. Apple, Samsung 등 Web2 거대 기업이 갑자기 CertiK의 이름과 함께 등장하는데, 이것이 Web2의 양면을 예측하는 것인지 궁금해집니다. 그리고 Web3. 세계 간의 벽 허물기, 시스템 보안을 공동으로 개선하기 위한 새로운 시나리오?

기술 애플리케이션 개발의 역사를 보면, 사용자의 조작 습관은 필연적으로 컴퓨터에서 모바일 단말기로 옮겨갈 것입니다. Web2 시대에도 마찬가지이고, 앞으로도 Web3도 이러한 패턴을 따를 것입니다.

보안 감사 관점에서 보면 네트워크 보안에는 경계가 없으며 Web2와 Web3의 보안은 동일합니다. 두 가지가 세부 부문에 서로 다른 초점을 두고 있음에도 불구하고 분산형 제품 서비스 사용자와 그 뒤에 있는 프로토콜은 여전히 ​​중앙 집중식 장비 및 시스템에 크게 의존하고 있습니다. Web2의 위험 예방 및 제어는 Web3 애플리케이션의 보안 수익도 구성합니다.

CertiK 창립자이자 CEO인 Gu Ronghui는 미래에 Web3 사용자의 엄청난 성장이 예상된다면 사용자의 Web3 애플리케이션은 확실히 모바일 Dapp에서 액세스하게 될 것입니다.라고 말했습니다.

공격과 방어가 복잡하고 위험이 분산됩니다.

Web3의 급속한 발전으로 인해 악의적인 공격이 더욱 빈번해졌습니다. ~에 따르면DefiLlama 데이터 표시, 도난당한 암호화폐의 총 가치는 70억 달러를 초과했습니다.

사고 대상에 따라 Web3 위험은 크게 다음 세 가지 유형으로 나눌 수 있습니다.

● 프로젝트 자체 메커니즘의 보안 문제: 스마트 계약, 51% 공격, 거래 전성 공격, 이중 지출 공격, 스팸 거래 공격 등 자체 메커니즘의 취약점으로 인해 발생하는 보안 위험입니다. 내부자들의 마음속에 여전히 남아 있는 심각한 사례는 Curve Vyper 컴파일러의 잠재적인 취약점으로 인해 여러 Curve 유동성 풀이 공격을 받고 창립자의 건강에 해로운 대출 위치가 겹쳐져 일련의 청산 위기가 촉발되었다는 것입니다.

● 생태계 보안 문제: 거래소 도용, 뇌우, 웹사이트 데이터 유출, 오프 사이트 조작, 서비스 거부 공격, 거래 주소 변조, 마이닝 풀 공격 등 외부 요인에 의한 공격. 최근 사례는 다음과 같습니다: 지난 9월 암호화폐 거래소 코인엑스(CoinEx)의 핫 지갑에서 7천만 달러가 도난당했습니다.

● 클라이언트 보안 문제: 계정도용, 지갑도용, 사기 등은 물론 사용자 피싱, 개인키 보관 문제 등 자생적인 문제까지 발생합니다. 10월 12일, 전직 Alameda 엔지니어 Adi(e/acc)는 X 플랫폼에서 Alameda 거래자가 DeFi 작업을 수행하는 동안 피싱 링크를 클릭하여 Alameda가 1억 달러 이상의 손실을 입었다고 밝혔습니다.

위의 경우 Web2의 보안 위험은 Web3에 쉽게 큰 영향을 미칠 수 있으며 논의를 완전히 분리할 수는 없다는 것을 알 수 있습니다.

실제로 흔히 사용되는 크롬 브라우저의 이전 업그레이드에는 다양한 취약점을 해결하는 작업이 포함되어 있었는데, Web3 지갑과 같은 확장 프로그램이 마더의 반복을 따라가지 못하면 공격에 취약해졌습니다.

기사 시작 부분에서 CertiK는 Apple 시스템에서 여러 모바일 취약점을 발견했습니다. MacStealer, ShadowVault, AMOS 및 Realst와 같은 악성 코드는 인기 있는 암호화 지갑을 공격하고 키체인 데이터베이스를 훔쳤으며 SeaFlower는 니모닉 문구를 훔치는 백도어가 포함된 암호화된 지갑 애플리케이션 버전을 배포했습니다. CookieMiner 악성코드는 문자 메시지가 포함된 iTunes 백업에 액세스하여 2단계 인증을 우회하는 데 필요한 정보를 획득하여 피해자의 암호화폐 지갑에 접근하고 암호화폐를 훔칠 수 있습니다.

너보다 나은 사람은 항상 있잖아

Web3 보안 위험이 점점 더 심각해짐에 따라 보안은 프로젝트 당사자의 지속 가능한 발전의 초석이 되었습니다. 자체 위험 인식을 높이는 것 외에도 신뢰할 수 있는 보안 감사 회사를 선택하는 것도 프로젝트의 표준 요구 사항이 되었습니다. 외부 감사 보고서는 프로젝트 보안을 시장에서 보다 전문적인 역할에 넘겨줄 뿐만 아니라 최고 보안 감사 회사의 승인도 사용자에 대한 프로젝트 홍보에서 금메달을 구성합니다.

이러한 맥락에서 Web3 보안 감사 회사는 지난 강세장 이후 빠르게 발전했으며 CertiK, Paidun 및 SlowMist와 같은 회사는 점차 모든 사람의 비전 분야에 진입했습니다.Web3 보안 감사 회사의 사업도 점차 확대되어 계약 개발부터 사후 모니터링까지 전 과정에 걸쳐 프로젝트 측의 위험을 통제합니다.

CertiK를 예로 들면, 프로젝트 당사자와 개인에게 위험 위험을 발견하고 해결하기 위한 Web3 보안 감사 및 침투 테스트, Skylnsights, KYC 실사, 긴급 사고 대응, 버그 포상금 프로그램 및 기타 조치를 포함한 전체 프로세스 보안 보호 구성 요소를 제공합니다. , 암호화 생태계의 보안을 유지하고 Skynet 시스템 및 컨설팅 서비스와 같은 서비스를 제공하여 통합 Web3 보안 분석 플랫폼을 구축하여 사용자가 위험을 방지하고 보안 위험 인식을 향상시킬 수 있도록 지원합니다.

모바일 단말기에서 점점 만연하는 악의적인 활동에 직면하여 CertiK는 iOS 시스템용 Web3 지갑을 개발하기 위한 특정 조치를 취했습니다.iOS에서 개발자는 지갑 애플리케이션을 보호하기 위해 다음과 같은 보안 관행을 채택할 수 있습니다: iOS 보안 기능, 하드웨어 기반 보안 메커니즘 및 앱 증명과 같은 프레임워크 활용 암호화된 저장 및 전송, 입력 검증 및 방어성을 포함한 보안 코딩 지침 준수 프로그래밍 , 이중 인증 및 생체 인식 구현, 정기적으로 애플리케이션 업데이트 및 패치, 보안 감사 및 취약성 스캔 수행.

CertiK은 시대에 맞춰 발전하고 있으며, 아직 발생하지 않은 Web3 악성사고에 대처하기 위해 Web3 보안 위험을 지속적으로 사전에 발견하고 있음을 알 수 있습니다.

세상에서 안전하고 조용히 내면의 힘을 실천하세요

신흥 산업으로서 Web3는 많은 자칼과 호랑이의 침입에 직면해 있으며 보안 감사 회사의 역량에 대한 요구 사항은 점점 더 높아지고 있습니다. 지난 강세장 동안 프로젝트 수는 기하급수적으로 늘어났고, Web3 보안에 대한 막중한 책임을 짊어질 수 있는 타사 회사는 거의 없었습니다.

Web3 보안 감사 회사를 선택할 때 프로젝트 당사자와 암호화 회사가 가장 중요한 고려 사항은 신뢰입니다.

신뢰의 원천을 해체하는 것은 비즈니스 강점, 포괄적인 제품 범위, 서비스 깊이 및 제3자 보안 기관 업계에서의 장기적인 평판과 불가분의 관계에 있습니다.

공식 웹사이트에 따르면 CertiK는 2018년 설립 이후 4,100개 이상의 기업 고객과 협력해 약 70,000개의 블록체인 코드 관련 취약점을 발견했으며 직간접적으로 3,600억 달러 이상의 디지털 자산을 보호했습니다.

2021년부터 CertiK의 사업은 매출 13배, 이익 3,320배, 직원 수 4배 증가하는 등 빠르게 성장했습니다. 비록 하락장을 경험했지만, 회사의 사업은 격동적인 시장 환경에서 강력한 반주기성을 보여주었습니다.

시장 점유율에 반영된 CoinMarketCap 데이터에 따르면 CertiK의 시장 점유율은 제3자 보안 감사를 사용하는 블록체인 프로젝트 중 70%를 초과합니다.

팀 배경으로 두 창립자는 예일대학교와 컬럼비아대학교 교수이며, 그 중 Gu Ronghui는 Amazon Research Award, OSDI Jay Lepreau Best Paper Award, SOSP Best Paper Award 및 CACM 분야에서 공헌을 인정받았습니다. 시스템 보안.(국제 컴퓨터 학회) 연구 하이라이트 상, VMware 시스템 연구 상 및 기타 다수의 상을 받았습니다. 동시에 Gu Ronghui는 싱가포르 통화청의 국제 기술 자문 위원회 회원이자 홍콩 웹 3.0 개발 태스크 포스의 회원이기도 합니다.

자금 배경 측면에서 CertiK는 Binance, Coinbase 등 Web3 메이저로부터 인정을 받았으며 Goldman Sachs, Sequoia Capital 및 Tiger Global과 같은 전통적인 기관의 지원을 받아 Web3 보안 감사 회사로 평가받고 있습니다. 20억 달러 규모..

올해까지 CertiK는 주식시장 1위 자리를 차지한 데 만족했을 뿐만 아니라 애플, 삼성 등 거대 기술 기업들이 단말 시스템의 보안을 개선하는 데 자주 도움을 주었습니다. CertiK는 미래 발전에 대한 비전을 가지고 Web3의 대규모 도입을 위한 돌파구인 모바일 단말기로 사업 범위를 확장했습니다.

업계를 보호하고 가장 먼저 배포하세요

업계 거대 기업인 CertiK가 모바일 보안 보호를 계획하기 시작한 것은 사업 확장일 뿐만 아니라 Web3의 새로운 트렌드에 대한 창업자의 판단이기도 했습니다.Gu Ronghui는 보안 감사 업계의 경쟁이 점점 치열해지고 있으며 CertiK는 기회를 포착하고 미래에 더 넓은 시장에 서비스를 제공하기 위해 차별화된 경쟁 우위를 갖춘 제품을 출시해야 한다고 Odaily에 말했습니다.

마지막 강세장을 경험한 후 Web3의 기본 지원 기능은 점점 더 완벽해졌고 결과적으로 이번 약세장에서 더 많은 빌더가 등장했으며 그들은 애플리케이션 계층에 더욱 집중하고 있습니다.Web3의 주요 톤도 주식 시장의 생태적 전투에서 대규모 채택을 핵심으로 하는 애플리케이션 전투로 전환되었습니다.

Web3 자체의 관점에서 볼 때, 대규모로 채택된 Dapp은 제품 내에서 구성 가능하고 복잡하며, 교차 생태계, 교차 프로토콜, 교차 레이어 및 교차 도메인이 많아질수록 예방하기가 더 어려운 위험이 발생합니다.

Web2의 관점에서 볼 때, 모바일 단말기는 현재 Apple, Android 등의 시스템 서비스 제공자에 의존하고 있으며, Web2 시스템적 위험은 모바일 단말기의 Web3 프로젝트와 사용자에게 더 큰 위험을 초래할 가능성이 높습니다.

빛과 어둠의 전쟁이 여기에 있습니다.Web2 터미널의 시스템 위험이든 Web3 애플리케이션의 블랙박스이든 모두 숨겨진 보안 위험입니다.그러나 Web3 세상을 지킨다는 원칙을 고수하는 CertiK는 오랫동안 Web3 모바일 애플리케이션에 주력해 왔으며, 모바일 단말기의 보안 코드가 먼저 배치되어 주류 시장에서 인정을 받았습니다. Web3 분야에서 보안 감사 회사의 발전을 열어라.경쟁의 프롤로그.