ในฐานะบริษัทที่มุ่งเน้นด้านความปลอดภัยของระบบนิเวศบล็อกเชน SlowMist Technology ก่อตั้งขึ้นในเดือนมกราคม 2561 โดยทีมงานที่มีประสบการณ์มากกว่าสิบปีในการต่อสู้เชิงรุกและป้องกันด้านความปลอดภัยเครือข่ายแนวหน้า SlowMist Technology ได้ค้นพบและประกาศช่องโหว่ด้านความปลอดภัยบล็อกเชนที่มีความเสี่ยงสูงทั่วไปหลายรายการในอุตสาหกรรม ซึ่งได้รับความสนใจและการยอมรับอย่างกว้างขวางจากอุตสาหกรรม

ปัญหาด้านความปลอดภัยบล็อคเชนในปัจจุบันเกิดขึ้นบ่อยครั้ง และ Web3 er ก็ประสบปัญหานี้มาเป็นเวลานานเช่นกัน ดังนั้นในบทสนทนาที่สอง เรามีความยินดีเป็นอย่างยิ่งที่จะเชิญทีมรักษาความปลอดภัยของ SlowMist มาแบ่งปันสินค้าแห้งเกี่ยวกับความปลอดภัยของบล็อคเชนกับคุณ และช่วยให้คุณสำรวจโลกบนเครือข่ายได้อย่างปลอดภัยยิ่งขึ้น มาเริ่มกันเลยดีกว่า~

1. ก่อนอื่น โปรดแนะนำ Slow Mist ให้กับทุกคนก่อน

คำตอบ: สวัสดีทุกคน SlowMist เป็นบริษัทที่มุ่งเน้นด้านความปลอดภัยของระบบนิเวศบล็อคเชน ความสามารถด้านความปลอดภัยของระบบนิเวศบล็อคเชนของเราประกอบด้วยสามวงแหวน: ชั้นในสุดคือการรักษาความปลอดภัยตามข้อกำหนด ชั้นที่สองคือความปลอดภัยทางเทคนิค และชั้นที่สามคือความปลอดภัย เลเยอร์คือ ความมั่นคงทางนิเวศวิทยา การรักษาความปลอดภัยทางเทคนิคส่วนใหญ่ประกอบด้วยสายธุรกิจหลักสองสาย ได้แก่ การตรวจสอบความปลอดภัย และการป้องกันการฟอกเงิน เนื้อหาของการตรวจสอบความปลอดภัยประกอบด้วยรหัสสัญญาอัจฉริยะของโครงการ DeFi, การแลกเปลี่ยนแบบรวมศูนย์, แอปกระเป๋าเงิน, กระเป๋าเงินปลั๊กอินของเบราว์เซอร์, เครือข่ายสาธารณะที่สำคัญ และเรายังมีบริการทดสอบทีมสีแดงซึ่งเป็นหนึ่งใน ข้อดีของเรา เป็นเวลากว่าห้าปีตั้งแต่ปี 2018 ถึงปัจจุบัน เราได้ให้บริการลูกค้าที่มีชื่อเสียงและเป็นผู้นำในอุตสาหกรรมมากมาย และเรามีลูกค้าเชิงพาณิชย์หลายพันรายซึ่งมีอัตราการชื่นชมสูง เรามีแพลตฟอร์มติดตามออนไลน์สำหรับการต่อต้านการฟอกเงินMistTrack. นอกจากนี้ เรายังกังวลอย่างมากเกี่ยวกับการปฏิบัติตามกฎระเบียบและความปลอดภัย การปฏิบัติตามกฎระเบียบถือเป็นเสาหลักที่สำคัญประการหนึ่งของการพัฒนาในระยะยาวของอุตสาหกรรมนี้ เรามีขั้นตอนทางกฎหมายที่เข้มงวดสำหรับโครงการเป้าหมายของการตรวจสอบความปลอดภัยหรือความร่วมมือในการต่อต้านการฟอกเงิน เรารู้ว่าการรักษาความปลอดภัยเป็นองค์รวม และการรักษาความปลอดภัยจำเป็นต้องสร้างระบบรักษาความปลอดภัยที่สมบูรณ์ ดังนั้นเราจึงมอบโซลูชันการรักษาความปลอดภัยแบบครบวงจรที่ปรับให้เหมาะกับสภาพท้องถิ่น ตั้งแต่การค้นพบภัยคุกคามไปจนถึงการป้องกันภัยคุกคาม พูดง่ายๆ ก็คือ จริงๆ แล้วมันเป็นระบบป้องกันแบบวงกลมคล้ายทหาร การป้องกันแบบชั้น การค้นพบภัยคุกคามที่ชั้นนอกสุดคือการค้นหาและระบุภัยคุกคามผ่านพันธมิตรในโซน SlowMist และระบบข่าวกรองภัยคุกคามของ SlowMist เอง (นี่คือความปลอดภัยทางนิเวศวิทยาของเราด้วย) จากนั้นเผยแพร่ไปยังระบบนิเวศทั้งหมดเพื่อแจ้งเตือนล่วงหน้าผ่านช่องทางสื่อ การป้องกันภัยคุกคาม หมายถึงระบบการป้องกันของเรา ตั้งแต่ BTI (Blockchain Threat Intelligence System) ไปจนถึงการปรับใช้โซลูชันการป้องกันระบบที่เหมาะกับสภาพท้องถิ่น การใช้การเสริมความปลอดภัยกระเป๋าสตางค์แบบร้อนและเย็น ฯลฯ การเลือกความปลอดภัยของเครือข่าย ความปลอดภัยในการควบคุมความเสี่ยง ความปลอดภัยของกระเป๋าสตางค์ และสาขาอื่น ๆ สำหรับลูกค้า ผู้ให้บริการโซลูชันความปลอดภัยคุณภาพสูงในประเทศจีนช่วยให้ลูกค้าสามารถเลือกจัดการกับปัญหาต่าง ๆ ที่พบในกระบวนการพัฒนาธุรกิจได้อย่างยืดหยุ่นและง่ายดาย เราหวังว่าจะร่วมมือกับพันธมิตรคุณภาพสูงในอุตสาหกรรมและชุมชนเพื่อร่วมกันสร้างข้อต่อด้านความปลอดภัย งานป้องกัน

2. ปัญหาด้านความปลอดภัยของ Web3 เป็นสิ่งที่คาดเดาไม่ได้เสมอ นอกเหนือจากกฎพื้นฐานบางประการ เช่น การคัดลอกวลีช่วยจำด้วยมือและการใส่ใจกับความถูกต้องของเว็บไซต์ SlowMist มีคำแนะนำด้านความปลอดภัยสำหรับ Web3er ที่โต้ตอบบ่อยครั้งหรือไม่?

คำตอบ: เนื่องจากคำถามเกี่ยวกับความปลอดภัยของการโต้ตอบ ก่อนอื่นเรามาทำความเข้าใจว่าการโจมตีทั่วไปขโมยทรัพย์สินของผู้ใช้ได้อย่างไร

โดยทั่วไปแล้วผู้โจมตีจะขโมยทรัพย์สินของผู้ใช้ด้วยสองวิธี:

ขั้นแรก หลอกผู้ใช้ให้ลงนามข้อมูลธุรกรรมที่เป็นอันตรายซึ่งขโมยทรัพย์สิน เช่น หลอกผู้ใช้ให้อนุญาตหรือโอนทรัพย์สินไปยังผู้โจมตี ประการที่สอง หลอกให้ผู้ใช้ป้อนวลีช่วยจำของกระเป๋าเงินบนเว็บไซต์หรือแอปที่เป็นอันตราย

หลังจากที่เรารู้ว่าผู้โจมตีขโมยทรัพย์สินกระเป๋าสตางค์ได้อย่างไร เราต้องป้องกันความเสี่ยงที่อาจเกิดขึ้น:

• ก่อนที่จะลงนาม คุณต้องระบุข้อมูลที่ลงนาม ทราบว่าธุรกรรมที่คุณลงนามมีไว้เพื่ออะไร ตรวจสอบอย่างรอบคอบว่าวัตถุที่ลงนามนั้นถูกต้องหรือไม่ และจำนวนเงินที่ได้รับอนุญาตนั้นสูงเกินไปหรือไม่

• ใช้กระเป๋าสตางค์ของฮาร์ดแวร์ให้มากที่สุดเท่าที่จะเป็นไปได้ เนื่องจากโดยทั่วไปแล้วกระเป๋าสตางค์ของฮาร์ดแวร์ไม่สามารถส่งออกคำช่วยจำหรือคีย์ส่วนตัวได้โดยตรง ดังนั้นจึงสามารถเพิ่มเกณฑ์สำหรับคีย์ส่วนตัวของคำช่วยในการจำที่จะขโมยได้

• เทคนิคและเหตุการณ์ฟิชชิ่งต่างๆ เกิดขึ้นอย่างไม่มีที่สิ้นสุด ผู้ใช้ควรเรียนรู้ที่จะระบุเทคนิคฟิชชิ่งต่างๆ ด้วยตนเอง ปรับปรุงความตระหนักด้านความปลอดภัย ดำเนินการศึกษาด้วยตนเองเพื่อหลีกเลี่ยงการถูกโกง และฝึกฝนทักษะการช่วยเหลือตนเอง กลยุทธ์การตกปลา แน่นอน ฉันขอแนะนำให้ทุกคนอ่านหนังสือที่ผลิตโดย Slow Mistคู่มือช่วยเหลือตนเองของ Blockchain Dark Forest,เต็มไปด้วยของแห้ง;

• ขอแนะนำให้ผู้ใช้รักษากระเป๋าเงินที่แตกต่างกันสำหรับสถานการณ์ต่าง ๆ เพื่อรักษาความเสี่ยงของสินทรัพย์ภายใต้การควบคุม ตัวอย่างเช่น: โดยทั่วไปแล้วสินทรัพย์จำนวนมากไม่ได้ถูกใช้บ่อย ๆ ขอแนะนำให้เก็บไว้ในกระเป๋าสตางค์เย็นและตรวจสอบให้แน่ใจว่าสภาพแวดล้อมเครือข่ายและสภาพแวดล้อมทางกายภาพปลอดภัยเมื่อใช้งาน แนะนำให้ใช้กระเป๋าเงินที่เข้าร่วมกิจกรรมต่างๆ เช่น airdrops เพื่อจัดเก็บทรัพย์สินขนาดเล็กเนื่องจากมีความถี่ในการใช้งานสูง กระเป๋าเงินสามารถจัดการตามลำดับชั้นตามสินทรัพย์และความถี่ในการใช้งานที่แตกต่างกัน เพื่อให้มั่นใจว่าสามารถควบคุมความเสี่ยงได้

3. เมื่อวันที่ 16 สิงหาคม หัวหน้าโคไซน์ส่งทวีตที่น่าสนใจ ภาพลวงตาของคุณที่ว่า Mac ปลอดภัยกว่าคอมพิวเตอร์ Win มาจากไหน สำหรับผู้ใช้ Web3 SlowMist คิดว่าข้อดีและข้อเสียของคอมพิวเตอร์ Mac และ Win คืออะไร

คำตอบ: ใช่ ทวีตนี้ทำให้เกิดการถกเถียงกันมากมาย ในทางกลับกัน เราถามว่า ภาพลวงตาที่ว่า Win ปลอดภัยกว่าคอมพิวเตอร์ Mac มาจากไหน มันก็เป็นมุมและคำตอบที่คล้ายกันเช่นกัน ในแง่ของการป้องกันการบุกรุกระบบเดียว ธรรมชาติแบบปิดของ Mac และการควบคุมสิทธิ์ที่เข้มงวดนั้นดีกว่า Windows อย่างแน่นอน และส่วนแบ่งตลาดพีซีทั่วโลกของ Mac นั้นต่ำมาก ในขณะที่ Win มีสัดส่วนที่สูง จึงมีการโจมตีมากขึ้น เกิดขึ้นบน Win พื้นผิวการโจมตีนั้นโตเกินไป ถือเป็นการพูดเกินจริงที่จะกล่าวว่า 99% ของเจ้าหน้าที่รักษาความปลอดภัยในปัจจุบันที่ทำการแทรกซึม การบุกรุก และ APT จะไม่กำหนดเป้าหมายไปที่ Mac ในทางกลับกัน 100% จะกำหนดเป้าหมายไปที่ Win นอกเหนือจากที่กล่าวไว้ข้างต้น หากคุณโจมตี Mac และ Win ด้วยม้าโทรจันที่ต่อต้านการฆ่า ผลลัพธ์พื้นฐานจะเหมือนเดิม และคุณจะถูกโจมตี โดยทั่วไปครึ่งหนึ่งของอุปกรณ์คือครึ่งหนึ่งของแต่ละคน หากความตระหนักด้านความปลอดภัยของผู้ใช้ยังไม่เพียงพอก็อาจถูกหลอกได้ง่ายและทำให้คอมพิวเตอร์ถูกฝังด้วยโปรแกรมที่เป็นอันตรายซึ่งอาจนำไปสู่การขโมยข้อมูลที่ละเอียดอ่อนใน คอมพิวเตอร์ (เช่น เครื่องช่วยจำ) มัลแวร์สามารถทำงานได้หลายวิธี อาจซ่อนอยู่ในไฟล์แนบอีเมล หรืออาจใช้กล้องของอุปกรณ์เพื่อสอดแนม ขอแนะนำให้ทุกคนสร้างความตระหนักรู้ด้านความปลอดภัย เช่น อย่าดาวน์โหลดและรันโปรแกรมที่ชาวเน็ตให้มาโดยง่าย และดาวน์โหลดเฉพาะแอปพลิเคชัน ซอฟต์แวร์ หรือไฟล์มีเดียจากไซต์ที่เชื่อถือได้เท่านั้น อย่าเปิดไฟล์แนบจากอีเมลที่ไม่คุ้นเคยโดยง่าย อัปเดตระบบปฏิบัติการเป็นประจำ ระบบเพื่อรับการป้องกันความปลอดภัยล่าสุด ติดตั้งซอฟต์แวร์ป้องกันไวรัสบนอุปกรณ์ เช่น Kaspersky

4. หลายโครงการประสบปัญหาการขโมย กองทุน SlowMist คิดว่าอะไรคือสาเหตุหลักของปัญหาด้านความปลอดภัย? เป็นไปได้ไหมที่จะถูกปกป้องและถูกขโมย?

ตอบ: ตามคลังข้อมูลที่ถูกแฮ็ก Blockchain Mist ช้า (SlowMist แฮ็ก)จากสถิติ ณ วันที่ 24 ส.ค. ปี 2566 จะมีเหตุการณ์ด้านความปลอดภัยเกิดขึ้นทั้งหมด 253 เหตุการณ์ สูญเสียมูลค่าสูงสุด 1.45 พันล้านดอลลาร์สหรัฐ จากมุมมองของวิธีการที่เป็นอันตรายของบล็อกเชน ส่วนใหญ่จะมีหลายแง่มุม ได้แก่ การโจมตีแบบฟิชชิ่ง การโจมตีม้าโทรจัน การโจมตีด้วยพลังคอมพิวเตอร์ การโจมตีสัญญาอัจฉริยะ การโจมตีโครงสร้างพื้นฐาน การโจมตีห่วงโซ่อุปทาน และอาชญากรรมภายใน มาดูตัวอย่างการโจมตีสัญญาอัจฉริยะทั่วไปกัน มีวิธีการโจมตีดังต่อไปนี้: การโจมตีแบบยืมแฟลช ช่องโหว่ของสัญญา ปัญหาความเข้ากันได้หรือสถาปัตยกรรม และวิธีการบางอย่าง: การโจมตีที่เป็นอันตรายส่วนหน้าและฟิชชิ่งสำหรับนักพัฒนา นอกจากนี้ เมื่อพูดถึงการขโมยตัวเอง เราต้องพูดถึงการรั่วไหลของคีย์ส่วนตัวด้วย การรั่วไหลของคีย์ส่วนตัวขึ้นอยู่กับสถานการณ์ และการรั่วไหลของคีย์ส่วนตัวของแต่ละบุคคลและการแลกเปลี่ยนนั้นแตกต่างกันมาก รหัสส่วนตัวส่วนบุคคลรั่วไหล โดยทั่วไป รหัสส่วนตัวหรือตัวช่วยจำจะถูกเก็บไว้บนอินเทอร์เน็ต เช่น คอลเลกชัน WeChat, กล่องจดหมาย 163, บันทึกช่วยจำ, บันทึกย่อ Youdao และบริการจัดเก็บข้อมูลบนคลาวด์อื่น ๆ แฮกเกอร์มักจะรวบรวมฐานข้อมูลรหัสผ่านบัญชีที่รั่วไหลบนอินเทอร์เน็ต เช่น รหัสผ่านบัญชี CSDN ในรูปแบบข้อความที่ชัดเจนเมื่อหลายปีก่อน จากนั้นไปที่ที่เก็บข้อมูลบนคลาวด์และเว็บไซต์บริการคลาวด์เหล่านี้เพื่อลอง หากเข้าสู่ระบบสำเร็จ ให้เข้าไปข้างในเพื่อดูว่ามีหรือไม่ เป็นเนื้อหาที่เกี่ยวข้องกับ Crypto การแลกเปลี่ยนมีความซับซ้อนมากขึ้น โดยทั่วไปแล้ว มันเป็นองค์กรแฮ็กเกอร์ขนาดใหญ่ที่มีความสามารถในการเจาะผ่านชั้นการป้องกันความปลอดภัยของการแลกเปลี่ยนและบุกรุกทีละขั้นตอนเพื่อรับรหัสส่วนตัวของกระเป๋าเงินร้อนในเซิร์ฟเวอร์แลกเปลี่ยน . นี่เป็นคำเตือนพิเศษว่านี่เป็นการกระทำที่ผิดกฎหมายและจะต้องไม่ถูกลอกเลียนแบบ เราแนะนำว่าฝ่ายโครงการจะต้องพยายามอย่างเต็มที่เพื่อหาบริษัทรักษาความปลอดภัยเพื่อทำการตรวจสอบความปลอดภัยในโค้ดของโครงการของตนเองเพื่อปรับปรุงระดับความปลอดภัยของโครงการ นอกจากนี้ยังสามารถปล่อย Bug Bounty เพื่อหลีกเลี่ยงปัญหาด้านความปลอดภัยในระหว่างการดำเนินการอย่างต่อเนื่อง และการพัฒนาโครงการ ขณะเดียวกัน ขอแนะนำให้ทุกโครงการ Fang จะปรับปรุงการจัดการภายในและกลไกทางเทคนิค และเพิ่มความเข้มข้นของการปกป้องทรัพย์สินด้วยการแนะนำกลไกแบบหลายลายเซ็นและกลไกแบบ Zero-Trust

5. สะพานข้ามสายโซ่เคยถูกขนานนามว่า: AKA hacker cash machine สำหรับ Web3er ซึ่งค่อนข้างใหม่ต่อเทคโนโลยี ประเด็นใดที่ควรคำนึงถึงเมื่อใช้สะพานข้ามสายโซ่

คำตอบ: เมื่อพูดถึงสะพานข้ามสายโซ่ ประการแรก ธุรกิจของสะพานข้ามสายโซ่มีความซับซ้อนและมีโค้ดจำนวนมาก และช่องโหว่มีแนวโน้มที่จะเกิดขึ้นเมื่อเขียนโค้ดและใช้งาน ประการที่สอง ความปลอดภัยของบุคคลที่สาม ส่วนประกอบของบริษัทที่อ้างถึงในโครงการก็เป็นหนึ่งในเหตุผลสำคัญที่ทำให้เกิดช่องโหว่ด้านความปลอดภัย อย่างไรก็ตาม การขาดชุมชนการพัฒนาที่ใหญ่ขึ้นสำหรับสะพานข้ามสายโซ่หมายความว่าโค้ดไม่ได้รับการค้นหาอย่างกว้างขวางและรอบคอบเพื่อหาจุดบกพร่องที่อาจเกิดขึ้น สำหรับผู้ใช้ เมื่อใช้ Cross-chain Bridge สิ่งสำคัญคือต้องเข้าใจว่าเงินทุนของคุณได้รับการคุ้มครองอย่างไร คุณสามารถดูระดับความเสี่ยงของ Cross-chain Bridge จากบางมิติได้ เช่น สัญญาโครงการเป็นโอเพ่นซอร์สหรือไม่ โครงการมีการตรวจสอบความปลอดภัยหลายฝ่ายหรือไม่ รูปแบบการจัดการคีย์ส่วนตัวคือการคำนวณแบบหลายฝ่ายของ MPC หรือไม่ หรือหลายโหนดหลายลายเซ็น? หรือคีย์ส่วนตัวถูกเก็บไว้โดยฝ่ายโครงการ? เมื่อเลือก Cross-chain Bridge ผู้ใช้ควรเลือกทีม Cross-Chain ที่มีความสามารถด้านความปลอดภัยที่แข็งแกร่ง อันดับแรก พวกเขาต้องมีการตรวจสอบความปลอดภัยของโค้ดทุกเวอร์ชัน และประการที่สอง ทีมต้องมีเจ้าหน้าที่รักษาความปลอดภัยเต็มเวลา เรายัง แนะนำให้ทีมงานที่เกี่ยวข้องของสะพานข้ามสายโซ่สามารถดำเนินการได้ มีความโปร่งใสมากขึ้น เพื่อให้สามารถรับคำถามและข้อเสนอแนะจากผู้ใช้ได้มากขึ้น และสามารถตรวจสอบและเติมเต็มช่องว่างได้ทันเวลา

6. นอกจากกลโกงและฟิชชิ่งทั่วไปแล้ว SlowMist สามารถยกตัวอย่างที่ค่อนข้างไม่ธรรมดาและป้องกันได้ยากได้หรือไม่

ตอบ: ก่อนหน้านี้เราได้เปิดเผยเหตุการณ์ที่ผู้โจมตีใช้ข้อบกพร่องในการใช้งาน WalletConncet ของกระเป๋าสตางค์ Web3 เพื่อเพิ่มอัตราความสำเร็จของการโจมตีแบบฟิชชิ่ง โดยเฉพาะอย่างยิ่ง เมื่อกระเป๋าเงิน Web3 บางตัวให้การสนับสนุน WalletConncet ไม่มีข้อจำกัดว่าบริเวณใดที่หน้าต่างป๊อปอัปธุรกรรม WalletConncet จะปรากฏขึ้น แต่คำขอลายเซ็นจะปรากฏขึ้นบนอินเทอร์เฟซใดๆ ของกระเป๋าเงิน ผู้โจมตีใช้ข้อบกพร่องนี้เพื่อแนะนำผู้ใช้ เว็บไซต์ฟิชชิ่ง WalletConncet เชื่อมต่อกับหน้าฟิชชิ่งแล้วสร้างคำขอลายเซ็น eth_sign ที่เป็นอันตรายอย่างต่อเนื่อง หลังจากที่ผู้ใช้รับรู้ว่า eth_sign อาจไม่ปลอดภัยและปฏิเสธที่จะลงนาม เนื่องจาก WalletConncet ใช้ wss ในการเชื่อมต่อ หากผู้ใช้ไม่ปิดการเชื่อมต่อทันเวลา หน้าฟิชชิ่งจะยังคงเริ่มต้นคำขอลายเซ็น eth_sign ที่เป็นอันตรายต่อไป และผู้ใช้จะมี ปัญหามากมายเมื่อใช้กระเป๋าเงิน เป็นไปได้ที่จะคลิกปุ่มลงชื่อโดยไม่ตั้งใจส่งผลให้ทรัพย์สินของผู้ใช้ถูกขโมย ที่จริงแล้ว ตราบใดที่คุณออกหรือปิดเบราว์เซอร์ DApp การเชื่อมต่อ WalletConncet ก็ควรถูกระงับ มิฉะนั้น เมื่อผู้ใช้กระโดดออกจากลายเซ็นกะทันหันเมื่อใช้กระเป๋าสตางค์ จะทำให้เกิดความสับสนได้ง่ายและนำไปสู่ความเสี่ยงที่จะถูกขโมย ต้องบอกว่าให้ฉันพูดถึง eth_sign อีกครั้ง eth_sign เป็นวิธีลายเซ็นแบบเปิดที่ผู้โจมตีมักใช้เพื่อฟิชชิ่งในช่วงสองปีที่ผ่านมา อนุญาตแฮชตามอำเภอใจ กล่าวคือ ธุรกรรมหรือข้อมูลใด ๆ สามารถลงนามได้ซึ่งก่อให้เกิดความเสี่ยงฟิชชิ่งที่เป็นอันตราย เมื่อลงชื่อเข้าใช้หรือเข้าสู่ระบบ คุณควรตรวจสอบแอปพลิเคชันหรือเว็บไซต์ที่คุณใช้อย่างระมัดระวัง และอย่าป้อนรหัสผ่านหรือลงนามในธุรกรรมเมื่อไม่ชัดเจน การปฏิเสธการลงนามโดยไม่เปิดเผยสามารถหลีกเลี่ยงความเสี่ยงด้านความปลอดภัยหลายประการ

7. ฉันต้องการทราบว่าเหตุการณ์ด้านความปลอดภัยที่ลึกซึ้งที่สุดที่ SlowMist เผชิญในการรักษาความปลอดภัยบล็อคเชนเป็นเวลาหลายปีคืออะไร?

ตอบ สิ่งที่ประทับใจที่สุดในรอบ 2-3 ปีที่ผ่านมาคือเหตุการณ์ Poly Network ที่เกิดขึ้นในปี 2564 เมื่อเวลาประมาณ 20.00 น. ของวันที่ 10 ส.ค. เมื่อมีการโจมตีเกิดขึ้น เราก็ตั้งสติในระดับสูง วิเคราะห์กระบวนการโจมตี ติดตามการไหลของเงินทุน นับการสูญเสียที่ถูกขโมยไป ฯลฯ รู้สึกเป็นแนวหน้าเล็กน้อย . และการสูญเสียเงินจำนวน 610 ล้านดอลลาร์สหรัฐ ถือเป็นการสูญเสียครั้งใหญ่จากการโจมตีในขณะนั้น ทีมงานของเราได้เผยแพร่การวิเคราะห์การโจมตีและข้อมูลระบุตัวตน IP ของผู้โจมตีที่เราพบทันทีเมื่อเวลา 05.00 น. ของวันที่ 11 และเมื่อเวลา 16.00 น. ของวันที่ 11 แฮกเกอร์ก็ถูกกดดันอย่างหนักเพื่อเริ่มการส่งคืนทรัพย์สิน ความคิดเห็นบางส่วนจากแฮกเกอร์เกี่ยวกับห่วงโซ่ในการติดตามผลก็ น่าสนใจ มากกว่าเช่นกัน และกระบวนการทั้งหมดก็สมหวังอย่างมากในฐานะบริษัทรักษาความปลอดภัย

8. ถามคำถามที่น่าสนใจในตอนท้าย เทคโนโลยีใหม่ เช่น การตรวจสอบอย่างเป็นทางการและการตรวจสอบ AI ยังคงวนซ้ำ SlowMist มีมุมมองต่อการพัฒนาเทคโนโลยีใหม่อย่างไร

คำตอบ: เมื่อพูดถึงเทคโนโลยีใหม่ เช่น ChatGPT ปรับปรุงประสิทธิภาพการทำงานกับข้อความแบบเดิม และ CodeGPT ปรับปรุงประสิทธิภาพของการเขียนโค้ด นอกจากนี้เรายังใช้รหัสช่องโหว่ทั่วไปในอดีตเป็นการภายในเป็นกรณีทดสอบเพื่อตรวจสอบความสามารถของ GPT ในการตรวจจับช่องโหว่พื้นฐาน ผลการทดสอบแสดงให้เห็นว่าโมเดล GPT มีความสามารถในการตรวจจับที่ดีสำหรับบล็อกโค้ดที่มีช่องโหว่แบบง่าย แต่ก็ยังไม่สามารถตรวจพบโค้ดที่มีช่องโหว่ที่ซับซ้อนกว่านี้เล็กน้อยได้ ในการทดสอบ ความสามารถในการอ่านบริบทโดยรวมของ GPT-4 (เว็บ) สามารถมองเห็นได้มาก สูงรูปแบบเอาต์พุตค่อนข้างชัดเจน GPT มีความสามารถในการตรวจจับบางส่วนสำหรับช่องโหว่พื้นฐานง่ายๆ ในรหัสสัญญา และหลังจากตรวจพบช่องโหว่แล้ว จะอธิบายปัญหาช่องโหว่ในลักษณะที่อ่านได้ง่าย ฟีเจอร์นี้เหมาะกว่าสำหรับการให้คำแนะนำอย่างรวดเร็วสำหรับการฝึกอบรมเบื้องต้นสำหรับผู้ปฏิบัติงานตรวจสอบสัญญารุ่นเยาว์ . และคำถามง่ายๆ แต่ก็มีข้อบกพร่องบางประการเช่นกัน ตัวอย่างเช่น GPT มีความผันผวนในเอาต์พุตของแต่ละการสนทนาซึ่งสามารถปรับได้ผ่านพารามิเตอร์อินเทอร์เฟซ API แต่ก็ยังไม่ใช่เอาต์พุตคงที่ แม้ว่าความผันผวนดังกล่าวจะเป็นวิธีที่ดีสำหรับการสนทนาทางภาษา ไม่ใช่เรื่องใหญ่ นี่เป็นปัญหาที่ไม่ดีสำหรับงานวิเคราะห์โค้ด เนื่องจากเพื่อที่จะครอบคลุมคำตอบเกี่ยวกับช่องโหว่หลายประการที่ AI อาจบอกเรา เราจำเป็นต้องถามคำถามเดียวกันหลายครั้งและดำเนินการเปรียบเทียบและคัดกรอง ซึ่งจะเป็นการเพิ่มภาระงานและขัดกับเป้าหมายพื้นฐานของ AI ที่ช่วยมนุษย์ในการปรับปรุงประสิทธิภาพ นอกจากนี้ เมื่อตรวจพบช่องโหว่ที่ซับซ้อนเล็กน้อย คุณจะพบว่าโมเดลการฝึกอบรมปัจจุบัน (2024.3.16) ไม่สามารถวิเคราะห์และค้นหาจุดช่องโหว่หลักที่เกี่ยวข้องได้อย่างถูกต้อง แม้ว่าความสามารถของ GPT ในการวิเคราะห์และขุดช่องโหว่ในสัญญาในปัจจุบันค่อนข้างอ่อนแอ แต่ความสามารถในการวิเคราะห์บล็อคโค้ดขนาดเล็กเพื่อหาช่องโหว่ทั่วไปและสร้างข้อความรายงานยังคงสร้างความตื่นเต้นให้กับผู้ใช้ ในปีต่อ ๆ ไปอันใกล้ ด้วยการฝึกอบรมและพัฒนา GPT และโมเดล AI อื่น ๆ ฉันเชื่อว่าการตรวจสอบเสริมสำหรับสัญญาขนาดใหญ่และซับซ้อนที่รวดเร็วยิ่งขึ้น ชาญฉลาดยิ่งขึ้น และครอบคลุมยิ่งขึ้นจะได้รับการตระหนักรู้อย่างแน่นอน

บทสรุป

ขอขอบคุณคำตอบจากทีมงานรักษาความปลอดภัย SlowMist มากครับ ที่ใดมีแสง ที่นั่นย่อมมีเงา และอุตสาหกรรมบล็อกเชนก็ไม่มีข้อยกเว้น แต่เป็นเพราะการมีอยู่ของบริษัทรักษาความปลอดภัยบล็อกเชน เช่น เทคโนโลยี SlowMist แสงจึงสามารถเข้าสู่เงามืดได้เช่นกัน ฉันเชื่อว่าด้วยการพัฒนา อุตสาหกรรมบล็อกเชนจะมีมาตรฐานมากขึ้น และฉันกำลังรอคอยการพัฒนาเทคโนโลยี SlowMist ในอนาคต~

หลังจากนั้น NFTGo จะยังคงเชิญ Web3 Builder มาสัมภาษณ์และพูดคุยต่อไป คุณสามารถติดตาม Twitter ภาษาจีนของเรา: @NFTGoCN และติดตามเรา หากคุณมีข้อเสนอแนะ ผู้สร้างที่คุณต้องการเห็น คำถามที่คุณต้องการถาม หรือคุณต้องการแนะนำตัวเอง โปรดอย่าลังเลที่จะแสดงความคิดเห็นบน Twitter หรือ DM ของเรา

ในบทสนทนาถัดไปกับ Web3 Builder เราจะพบคุณที่นั่น~