a16z: คำอธิบายโดยละเอียดของประเภทการโจมตีทั่วไปและบทเรียนที่ได้รับในด้านการรักษาความปลอด
รวบรวมข้อความต้นฉบับ: Hu Tao, Chain Catcher
ชื่อเรื่องเดิม: "Web3 Security: Attack Types and Lessons Learned》
รวบรวมข้อความต้นฉบับ: Hu Tao, Chain Catcher
การรักษาความปลอดภัยส่วนใหญ่ของ web3 ขึ้นอยู่กับความสามารถพิเศษของ blockchain ในการให้คำมั่นสัญญาและความยืดหยุ่นต่อการแทรกแซงของมนุษย์ แต่คุณสมบัติที่เกี่ยวข้องของขั้นสุดท้าย—ธุรกรรมมักจะย้อนกลับไม่ได้—ทำให้เครือข่ายที่ควบคุมด้วยซอฟต์แวร์เหล่านี้เป็นเป้าหมายที่น่าสนใจสำหรับผู้โจมตี แท้จริงแล้ว เนื่องจากบล็อกเชน—เครือข่ายคอมพิวเตอร์แบบกระจายศูนย์ที่อยู่ภายใต้ web3—และเทคโนโลยีและแอพพลิเคชั่นที่มาพร้อมกับมันสะสมมูลค่า พวกเขาจึงกลายเป็นเป้าหมายของผู้โจมตีมากขึ้นเรื่อยๆ
แม้ว่า web3 จะแตกต่างจากการทำซ้ำครั้งก่อนๆ ของอินเทอร์เน็ต แต่เราสังเกตได้แนวโน้มความปลอดภัยพื้นดินทั่วไป. ในหลายกรณี ปัญหาที่ใหญ่ที่สุดก็ยังเหมือนเดิม จากการวิจัยพื้นที่เหล่านี้ ผู้ปกป้อง ไม่ว่าจะเป็นนักพัฒนา ทีมรักษาความปลอดภัย หรือผู้ใช้ crypto ในชีวิตประจำวัน สามารถป้องกันตนเอง โครงการ และกระเป๋าเงินของพวกเขาจากผู้ที่อาจเป็นหัวขโมยได้ดีขึ้น ด้านล่างนี้ เราขอเสนอหัวข้อทั่วไปและการคาดคะเนตามประสบการณ์
ติดตามกองทุน
ผู้โจมตีมักมีเป้าหมายเพื่อเพิ่มผลตอบแทนจากการลงทุนให้ได้สูงสุด พวกเขาสามารถใช้เวลาและความพยายามมากขึ้นในการโจมตีโปรโตคอลด้วย "ค่ารวมที่ถูกล็อค" หรือ TVL มากขึ้น เนื่องจากผลตอบแทนที่เป็นไปได้นั้นสูงกว่า
กลุ่มแฮ็กเกอร์ที่มีไหวพริบมากที่สุดกำหนดเป้าหมายระบบที่มีมูลค่าสูงบ่อยกว่า การโจมตีครั้งใหม่ยังมุ่งเป้าไปที่เป้าหมายที่มีค่าเหล่านี้บ่อยขึ้น
การโจมตีต้นทุนต่ำ เช่น ฟิชชิง จะไม่มีวันหายไป และเราคาดว่าการโจมตีเหล่านี้จะกลายเป็นเรื่องธรรมดามากขึ้นในอนาคตอันใกล้
แก้ไขข้อบกพร่อง
ในขณะที่นักพัฒนาเรียนรู้จากการโจมตีที่ทดลองและทดสอบแล้ว พวกเขาอาจเพิ่มสถานะของซอฟต์แวร์ web3 จนถึงจุดที่ "ปลอดภัยตามค่าเริ่มต้น" โดยปกติแล้วจะเกี่ยวข้องกับการทำให้อินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชันแน่นขึ้นหรือAPIเพื่อทำให้ผู้คนแนะนำจุดบกพร่องโดยไม่ได้ตั้งใจได้ยากขึ้น
ในขณะที่การรักษาความปลอดภัยเป็นสิ่งที่ต้องดำเนินการอยู่เสมอ ผู้ปกป้องและนักพัฒนาซอฟต์แวร์สามารถเพิ่มค่าใช้จ่ายในการโจมตีได้โดยการกำจัดผลไม้ที่มีต้นทุนต่ำสำหรับผู้โจมตี
เมื่อแนวทางปฏิบัติด้านความปลอดภัยได้รับการปรับปรุงและเครื่องมือต่างๆ เติบโตขึ้น อัตราความสำเร็จของการโจมตีต่อไปนี้อาจลดลงอย่างมาก: การโจมตีด้านการกำกับดูแล การจัดการราคาของ Oracle และช่องโหว่ในการกลับเข้ามาใหม่ (เพิ่มเติมเกี่ยวกับสิ่งเหล่านี้ด้านล่าง)
แพลตฟอร์มที่ไม่สามารถรับประกันความปลอดภัยที่ "สมบูรณ์แบบ" จะต้องใช้การลดช่องโหว่เพื่อลดโอกาสในการสูญเสีย สิ่งนี้อาจขัดขวางผู้โจมตีโดยการลด "ผลประโยชน์" หรือส่วนต่างของการวิเคราะห์ต้นทุนและผลประโยชน์ของพวกเขา
การโจมตีจำแนกประเภท
การโจมตีระบบต่างๆ สามารถแบ่งประเภทตามลักษณะทั่วไป การกำหนดลักษณะรวมถึงความซับซ้อนของการโจมตี การโจมตีแบบอัตโนมัติเป็นอย่างไร และการป้องกันแบบใดที่สามารถป้องกันได้
ด้านล่างนี้คือรายการประเภทการโจมตีโดยสังเขปที่เราพบในการแฮ็กครั้งใหญ่ที่สุดในปีที่ผ่านมา นอกจากนี้ เรายังรวมข้อสังเกตของเราเกี่ยวกับแนวภัยคุกคามในปัจจุบัน และจุดที่เราคาดว่าการรักษาความปลอดภัย web3 จะไปในอนาคต
ปฏิบัติการ APT: สุดยอดผู้ล่า
ศัตรูที่เชี่ยวชาญ ซึ่งมักเรียกกันว่าภัยคุกคามแบบถาวรขั้นสูง (APT) คือปีศาจร้ายด้านความปลอดภัย แรงจูงใจและความสามารถของพวกเขาแตกต่างกันอย่างมาก แต่พวกเขามักจะมั่งคั่งและยืนหยัด น่าเสียดายที่พวกมันน่าจะอยู่รอบๆ ตลอดเวลา APT ที่แตกต่างกันดำเนินการประเภทต่างๆ กัน แต่ผู้คุกคามเหล่านี้มักจะมีแนวโน้มมากที่สุดที่จะโจมตีเลเยอร์เครือข่ายของบริษัทโดยตรงเพื่อให้บรรลุเป้าหมาย
เราทราบดีว่ากลุ่มระดับสูงบางกลุ่มกำลังกำหนดเป้าหมายโครงการ web3 อย่างจริงจัง และเราสงสัยว่ายังมีกลุ่มอื่นๆ ที่ยังไม่ได้รับการระบุ ผู้ที่อยู่เบื้องหลัง APT ที่มีชื่อเสียงส่วนใหญ่มักจะอาศัยอยู่ในสถานที่ที่ไม่มีสนธิสัญญาส่งผู้ร้ายข้ามแดนกับสหรัฐฯ และสหภาพยุโรป ทำให้พวกเขาถูกดำเนินคดีจากกิจกรรมของพวกเขาได้ยากขึ้น หนึ่งใน APT ที่มีชื่อเสียงที่สุดคือ Lazarus ซึ่งเป็นกลุ่มชาวเกาหลีเหนือที่ FBI เพิ่งกล่าวว่าดำเนินการแฮ็กการเข้ารหัสที่ใหญ่ที่สุดจนถึงปัจจุบัน
ตัวอย่าง:
Roninโปรแกรมตรวจสอบความถูกต้องถูกโจมตี
รูปร่าง
WHO:รัฐชาติ องค์กรอาชญากรรมที่มีทุนสนับสนุน และกลุ่มองค์กรขั้นสูงอื่นๆ ตัวอย่าง ได้แก่ โรนินแฮ็กเกอร์ (ลาซารัสที่มีความสัมพันธ์กว้างขวางกับเกาหลีเหนือ)
ความซับซ้อน:สูง (เฉพาะกลุ่มที่มีทรัพยากรมาก มักอยู่ในประเทศที่ไม่ถูกดำเนินคดี)
ความสามารถในการทำงานอัตโนมัติ:ต่ำ (ส่วนใหญ่ยังคงเป็นคู่มือด้วยเครื่องมือที่กำหนดเอง)
ความคาดหวังในอนาคต:ตราบใดที่ APT สามารถสร้างรายได้จากกิจกรรมของตนหรือบรรลุจุดจบทางการเมืองต่างๆ พวกเขาจะยังคงใช้งานอยู่
ฟิชชิงที่กำหนดเป้าหมายผู้ใช้: วิศวกรรมสังคม
ฟิชชิ่งเป็นปัญหาที่รู้จักกันดีและพบได้ทั่วไป นักฟิชเชอร์พยายามหลอกล่อเหยื่อด้วยการส่งข้อความล่อลวงผ่านช่องทางต่างๆ รวมถึงข้อความโต้ตอบแบบทันที อีเมล ทวิตเตอร์ โทรเลข ดิสคอร์ด และเว็บไซต์ที่ถูกแฮ็ก หากคุณเรียกดูกล่องจดหมายสแปม คุณอาจเห็นความพยายามหลายร้อยครั้งในการหลอกล่อให้คุณแจกรหัสผ่านหรือขโมยเงินของคุณ
ตอนนี้ web3 อนุญาตให้ผู้คนซื้อขายสินทรัพย์โดยตรง เช่น โทเค็นหรือNFTเกือบจะแน่ใจในทันทีว่าแคมเปญฟิชชิงกำลังกำหนดเป้าหมายไปที่ผู้ใช้ของตน สำหรับผู้ที่มีความรู้หรือความเชี่ยวชาญด้านเทคนิคเพียงเล็กน้อย การโจมตีเหล่านี้เป็นวิธีที่ง่ายที่สุดในการสร้างรายได้ด้วยการขโมยสกุลเงินดิจิทัล ถึงกระนั้น ก็ยังคงเป็นวิธีที่มีประโยชน์สำหรับกลุ่มที่มีการจัดระเบียบเพื่อติดตามเป้าหมายที่มีมูลค่าสูง หรือสำหรับกลุ่มขั้นสูงเพื่อเริ่มการโจมตีที่กว้างขวางและสิ้นเปลืองเงินในกระเป๋าสตางค์ เช่น การยึดครองเว็บไซต์
ตัวอย่าง
ให้กับผู้ใช้โดยตรงแคมเปญ OpenSea Phishing
สำหรับการใช้งานส่วนหน้าการโจมตีแบบฟิชชิ่ง BadgerDAO
รูปร่าง
WHO:ทุกคนตั้งแต่ผู้เริ่มต้นเขียนสคริปต์ไปจนถึงกลุ่มที่มีระเบียบ
ความซับซ้อน:ต่ำ-ปานกลาง (การโจมตีอาจเป็น "สเปรย์" คุณภาพต่ำหรือเป้าหมายสุดยอดขึ้นอยู่กับความพยายามของผู้โจมตี)
ความสามารถในการทำงานอัตโนมัติ:ปานกลาง-สูง (งานส่วนใหญ่สามารถทำงานอัตโนมัติได้)
ความคาดหวังในอนาคต:ฟิชชิงมีราคาถูก และฟิชเชอร์มักจะปรับตัวและข้ามการป้องกันล่าสุด ดังนั้นเราคาดว่าการโจมตีเหล่านี้จะเพิ่มขึ้น การป้องกันผู้ใช้สามารถปรับปรุงได้ผ่านการศึกษาและการรับรู้ที่เพิ่มขึ้น การกรองที่ดีขึ้น ป้ายเตือนที่ได้รับการปรับปรุง และการควบคุมกระเป๋าเงินที่แข็งแกร่งขึ้น
ช่องโหว่ของซัพพลายเชน: จุดอ่อนที่สุด
เมื่อผู้ผลิตรถยนต์พบชิ้นส่วนที่มีข้อบกพร่องในรถยนต์ พวกเขาออกมาตรการเรียกคืนเพื่อความปลอดภัย ห่วงโซ่อุปทานของซอฟต์แวร์ก็ไม่มีข้อยกเว้น
ไลบรารีซอฟต์แวร์ของบุคคลที่สามแนะนำพื้นผิวการโจมตีขนาดใหญ่ นี่เป็นความท้าทายด้านความปลอดภัยข้ามระบบก่อน web3 เช่นผลกระทบของซอฟต์แวร์เว็บเซิร์ฟเวอร์ที่แพร่หลายเมื่อเดือนธันวาคมที่ผ่านมาการหาประโยชน์จาก log4jผู้โจมตีจะสแกนอินเทอร์เน็ตเพื่อหาช่องโหว่ที่รู้จักเพื่อค้นหาปัญหาที่ไม่ได้แก้ไขซึ่งพวกเขาสามารถใช้ประโยชน์ได้
รหัสที่นำเข้าอาจไม่ได้เขียนโดยทีมวิศวกรของโครงการ แต่การบำรุงรักษาเป็นสิ่งสำคัญ ทีมต้องตรวจสอบส่วนประกอบซอฟต์แวร์ของตนเพื่อหาช่องโหว่ ตรวจสอบให้แน่ใจว่ามีการติดตั้งการอัปเดต และติดตามโมเมนตัมและความสมบูรณ์ของโครงการที่พวกเขาพึ่งพา ค่าใช้จ่ายที่เกิดขึ้นจริงในทันทีของการใช้ประโยชน์จากซอฟต์แวร์ web3 ทำให้การสื่อสารปัญหาเหล่านี้กับผู้ใช้อย่างมีความรับผิดชอบเป็นเรื่องท้าทาย คณะลูกขุนยังคงพิจารณาว่าทีมสื่อสารข้อมูลนี้อย่างไรหรือที่ใดด้วยวิธีที่ไม่ทำให้เงินของผู้ใช้ตกอยู่ในความเสี่ยงโดยไม่ได้ตั้งใจ
ตัวอย่าง
Wormholeการโจมตีสะพาน
Multichainช่องโหว่
รูปร่าง
WHO:จัดกลุ่มต่างๆ เช่น APTs แฮ็กเกอร์อิสระ และคนวงใน
ความซับซ้อน:ปานกลาง (ต้องใช้ความรู้ด้านเทคนิคและเวลาพอสมควร)
ความสามารถในการทำงานอัตโนมัติ:ปานกลาง (สามารถสแกนหาส่วนประกอบซอฟต์แวร์ที่ผิดพลาดได้โดยอัตโนมัติ แต่เมื่อมีการค้นพบช่องโหว่ใหม่ ช่องโหว่จำเป็นต้องสร้างด้วยตนเอง)
ความคาดหวังในอนาคต:เมื่อการพึ่งพาซึ่งกันและกันและความซับซ้อนของระบบซอฟต์แวร์เพิ่มขึ้น ช่องโหว่ในห่วงโซ่อุปทานก็มีแนวโน้มที่จะเพิ่มขึ้น จนกว่าจะมีการพัฒนาวิธีการที่ดีและเป็นมาตรฐานในการเปิดเผยช่องโหว่สำหรับการรักษาความปลอดภัยของ web3 การฉวยโอกาสในการแฮ็กก็มีแนวโน้มที่จะเพิ่มขึ้นเช่นกัน
การโจมตีด้านธรรมาภิบาล: ผู้ปล้นสะดมการเลือกตั้ง
นี่เป็นคำถามเฉพาะอุตสาหกรรม crypto แรกที่สร้างรายการ หลายโครงการใน web3 มีแง่มุมด้านธรรมาภิบาล ซึ่งผู้ถือโทเค็นสามารถเสนอและลงคะแนนเสียงเกี่ยวกับการเปลี่ยนแปลงในเครือข่ายได้ แม้ว่านี่จะเป็นโอกาสสำหรับการพัฒนาและปรับปรุงอย่างต่อเนื่อง แต่ก็ยังเปิดประตูหลังเพื่อแนะนำข้อเสนอที่เป็นอันตรายซึ่งอาจรบกวนเครือข่ายหากนำไปใช้
ผู้โจมตีได้คิดค้นวิธีการใหม่ ๆ เพื่อหลบเลี่ยงการควบคุม เวนคืนความเป็นผู้นำ และปล้นเงินกองทุนของรัฐ ผู้โจมตีสามารถใช้ "สินเชื่อแฟลช" จำนวนมากเพื่อให้ได้รับคะแนนเสียงเพียงพอ ดังที่เกิดขึ้นเมื่อเร็วๆ นี้ในโครงการ Beanstalk ซึ่งเป็นโครงการ DeFi ผู้โจมตีจะใช้ประโยชน์จากการลงคะแนนเสียงที่มีผลให้ดำเนินการข้อเสนอโดยอัตโนมัติได้ง่ายขึ้น อย่างไรก็ตาม การดำเนินการตามข้อเสนออาจทำได้ยากขึ้นหากการกำหนดข้อเสนอล่าช้าหรือหากจำเป็นต้องลงนามด้วยตนเองจากหลายฝ่าย (เช่น ผ่านกระเป๋าเงินแบบหลายลายเซ็น)
ตัวอย่าง
Beanstalkเหตุการณ์การโอนเงิน
รูปร่าง
WHO:ทุกคนตั้งแต่กลุ่มที่มีการจัดระเบียบ (APTs) ไปจนถึงแฮ็กเกอร์อิสระ
ความซับซ้อน:จากต่ำไปสูงขึ้นอยู่กับโปรโตคอล
ความสามารถในการทำงานอัตโนมัติ:จากต่ำไปสูงขึ้นอยู่กับโปรโตคอล
ความคาดหวังในอนาคต:การโจมตีเหล่านี้ขึ้นอยู่กับเครื่องมือและมาตรฐานการกำกับดูแลเป็นอย่างมาก โดยเฉพาะอย่างยิ่งเมื่อเกี่ยวข้องกับการตรวจสอบและกระบวนการพัฒนาข้อเสนอ
การโจมตีด้วยราคาของ Oracle: ผู้ควบคุมตลาด
การกำหนดราคาสินทรัพย์อย่างแม่นยำเป็นเรื่องยาก ในโลกของการซื้อขายแบบดั้งเดิม การทำให้ราคาสินทรัพย์สูงเกินจริงหรือตกต่ำลงโดยไม่ได้ตั้งใจผ่านการจัดการตลาดนั้นผิดกฎหมาย และคุณอาจถูกปรับหรือถูกจับกุมในข้อหาดังกล่าว ปัญหาดังกล่าวเห็นได้ชัดเจนในตลาด DeFi ซึ่งผู้ใช้แบบสุ่มสามารถ "แฟลชเทรด" หลายร้อยล้านหรือหลายพันล้านดอลลาร์และทำให้ราคาผันผวนอย่างฉับพลัน
ออราเคิลออราเคิล”—ระบบที่ให้ข้อมูลตามเวลาจริงเป็นแหล่งข้อมูลที่ไม่สามารถพบได้ในเครือข่าย ตัวอย่างเช่น มักใช้ oracles เพื่อกำหนดราคาของการแลกเปลี่ยนระหว่างสองสินทรัพย์ แต่ผู้โจมตีพบวิธีที่จะหลอกลวงสิ่งเหล่านี้ เรียกว่าแหล่งความจริง
ในขณะที่การพัฒนามาตรฐานของ Oracle ดำเนินไป จะมีสะพานเชื่อมที่ปลอดภัยมากขึ้นระหว่างโลกออฟไลน์และออนเชน และเราคาดหวังได้ว่าตลาดจะมีความยืดหยุ่นมากขึ้นต่อความพยายามในการจัดการ หากโชคดี วันหนึ่งการโจมตีดังกล่าวอาจหายไปเกือบทั้งหมด
ตัวอย่าง
Creamการจัดการตลาด
รูปร่าง
WHO:กลุ่มที่จัดตั้งขึ้น (APTs) แฮ็กเกอร์อิสระ และบุคคลภายใน
ความซับซ้อน:ระบบอัตโนมัติ:
ระบบอัตโนมัติ:สูง (การโจมตีส่วนใหญ่มักเกี่ยวข้องกับการตรวจหาปัญหาที่สามารถใช้ประโยชน์ได้โดยอัตโนมัติ)
ความคาดหวังในอนาคต:มีแนวโน้มลดลงเนื่องจากวิธีการกำหนดราคาที่แน่นอนกลายเป็นมาตรฐานมากขึ้น
ช่องโหว่ใหม่: ไม่รู้จัก ไม่รู้จัก
การเจาะระบบแบบ "Zero-day" — ตั้งชื่อนี้เนื่องจากเป็นช่องโหว่ที่เปิดเผยต่อสาธารณะเพียง 0 วันเท่านั้น — เป็นประเด็นร้อนด้านความปลอดภัยข้อมูล และความปลอดภัยของ web3 ก็ไม่มีข้อยกเว้น เนื่องจากพวกมันปรากฏขึ้นอย่างกะทันหัน พวกมันจึงเป็นการโจมตีที่ป้องกันได้ยากที่สุด
หากมีอะไรเกิดขึ้น web3 ช่วยให้สร้างรายได้จากการโจมตีที่มีราคาแพงและใช้แรงงานมากเหล่านี้ได้ง่ายขึ้น เนื่องจากเป็นเรื่องยากมากที่ผู้คนจะกู้คืนเงิน crypto เมื่อถูกขโมยไป ผู้โจมตีสามารถใช้เวลาส่วนใหญ่ในการอ่านโค้ดที่เรียกใช้แอปพลิเคชันแบบออนไลน์เพื่อค้นหาจุดบกพร่องที่พิสูจน์ให้เห็นถึงความพยายามทั้งหมดของพวกเขา ในขณะเดียวกัน ช่องโหว่ที่ครั้งหนึ่งเคยแปลกใหม่ยังคงสร้างความเสียหายให้กับโปรเจ็กต์ที่ไม่สงสัย ข้อผิดพลาด Reentrancy อันโด่งดังที่เกิดขึ้นในโครงการ Ethereum ยุคแรกๆ TheDAO ยังคงปรากฏขึ้นที่อื่น
ยังไม่ชัดเจนว่าอุตสาหกรรมจะสามารถปรับให้เข้ากับการลงรายการช่องโหว่ประเภทนี้ได้เร็วหรือง่ายเพียงใด แต่การลงทุนอย่างต่อเนื่องในการป้องกันความปลอดภัย เช่น การตรวจสอบ การตรวจสอบ และเครื่องมือจะเพิ่มต้นทุนสำหรับผู้โจมตีที่พยายามใช้ประโยชน์จากช่องโหว่เหล่านั้น
ตัวอย่าง
Poly Networkช่องโหว่ในการทำธุรกรรมข้ามเครือข่าย
Qubitการหาประโยชน์จากโรงกษาปณ์ไม่ จำกัด สำหรับ
รูปร่าง
WHO:กลุ่มที่มีการจัดระเบียบ (APTs) แฮ็กเกอร์อิสระ (ไม่น่าจะเป็นไปได้) และคนวงใน
ความซับซ้อน:ปานกลาง-สูง (ต้องการความรู้ทางเทคนิค แต่ใช่ว่าช่องโหว่ทั้งหมดจะซับซ้อนเกินกว่าที่คนทั่วไปจะเข้าใจได้)
ความสามารถในการทำงานอัตโนมัติ:ต่ำ (การค้นหาช่องโหว่ใหม่ต้องใช้เวลาและความพยายาม และไม่น่าจะเป็นระบบอัตโนมัติ เมื่อค้นพบแล้ว การสแกนหาปัญหาที่คล้ายคลึงกันในระบบอื่นๆ จะง่ายขึ้น)
ความคาดหวังในอนาคต:ความสนใจมากขึ้นจะดึงดูดกลุ่มหมวกขาวมากขึ้น และทำให้ "อุปสรรคในการเข้า" สูงขึ้นสำหรับการค้นพบช่องโหว่ใหม่ๆ ในขณะเดียวกัน เมื่อการยอมรับ web3 เติบโตขึ้น สิ่งจูงใจสำหรับแฮ็กเกอร์หมวกดำในการค้นหาช่องโหว่ใหม่ก็เช่นกัน เช่นเดียวกับในด้านความปลอดภัยอื่นๆ อีกมากมาย สิ่งนี้น่าจะยังคงเป็นเกมแมวจับหนู
