เพื่อคาดการณ์การคาดการณ์ของผู้โจมตี CertiK จึงเปิดตัวการต่อสู้ป้องกันมือถือ

ต้นฉบับ - โอเดลี่

ผู้แต่ง - สามีฮาว

บรรณาธิการ - ห่าว ฟางโจว

เมื่อเร็ว ๆ นี้ มีข่าวชิ้นหนึ่งที่ดึงดูดความสนใจในอุตสาหกรรม Web3: บริษัทที่ชื่อว่าCertiKบริษัทตรวจสอบความปลอดภัยของ Apple ค้นพบช่องโหว่ด้านความปลอดภัยของ Apple บนมือถือ และได้รับคำขอบคุณจากสาธารณชนจาก Apple

ตามข้อมูลในหน้าอัปเดตความปลอดภัยอย่างเป็นทางการของ Apple ช่องโหว่ที่ CertiK ค้นพบส่งผลกระทบต่อเคอร์เนล ไดรเวอร์ GPU และไดรเวอร์ ProRes และอนุญาตให้ แอปพลิเคชันรันโค้ดโดยอำเภอใจด้วยสิทธิ์เคอร์เนล กล่าวอีกนัยหนึ่งผู้ใช้อาจสูญเสียคีย์ส่วนตัวกระเป๋าสตางค์ที่บันทึกไว้ในโทรศัพท์มือถือ ความหมายสำหรับผู้ใช้ Web3 นั้นน่ากลัวมากที่จะนึกถึง

Apple กล่าวทันทีว่าได้แก้ไขช่องโหว่ผ่านการปรับปรุงการจัดการหน่วยความจำแล้ว

มีรายงานว่า CertiK ได้ค้นพบช่องโหว่ด้านความปลอดภัยในเทอร์มินัลมือถือของกลุ่ม Samsung ของเกาหลีใต้แล้ว

CertiK เป็นองค์กรรักษาความปลอดภัยชั้นนำที่มีชื่อเสียงในอุตสาหกรรม Web3 แต่มีเพียงไม่กี่คนที่รู้จักในโลกของ Web2 ยักษ์ใหญ่ด้าน Web2 เช่น Apple และ Samsung ก็ปรากฏตัวพร้อมกับชื่อของ CertiK ผู้คนอดไม่ได้ที่จะสงสัยว่าสิ่งนี้ทำนายทั้งสองได้หรือไม่ ด้านข้างของ Web2 และ Web3 “ทลายกำแพง” ระหว่างโลก สถานการณ์ใหม่ที่จะร่วมกันปรับปรุงความปลอดภัยของระบบ?

เมื่อพิจารณาจากประวัติความเป็นมาของการพัฒนาแอปพลิเคชันทางเทคโนโลยี พฤติกรรมการใช้งานของผู้ใช้จะย้ายจากคอมพิวเตอร์ไปยังเทอร์มินัลมือถืออย่างหลีกเลี่ยงไม่ได้ นี่เป็นกรณีในยุค Web2 และ Web3 ก็จะเป็นไปตามรูปแบบนี้ในอนาคต

จากมุมมองการตรวจสอบความปลอดภัย ความปลอดภัยของเครือข่ายไม่มีขอบเขต และความปลอดภัยของ Web2 และ Web3 ก็เหมือนกัน แม้ว่าทั้งสองจะมีจุดมุ่งเน้นที่แตกต่างกันในส่วนย่อย แต่ผู้ใช้บริการผลิตภัณฑ์ที่มีการกระจายอำนาจและโปรโตคอลที่อยู่เบื้องหลังพวกเขายังคงต้องพึ่งพาอุปกรณ์และระบบแบบรวมศูนย์เป็นอย่างมาก การป้องกันและควบคุมความเสี่ยงของ Web2 ยังถือเป็นส่วนสำคัญด้านความปลอดภัยของแอปพลิเคชัน Web3 อีกด้วย

ดังที่ผู้ก่อตั้งและซีอีโอของ CertiK Gu Ronghui กล่าวว่า หากคาดว่าจะมีการเติบโตอย่างมากในผู้ใช้ Web3 ในอนาคต แอปพลิเคชัน Web3 ของผู้ใช้จะสามารถเข้าถึงได้จาก Dapps บนมือถืออย่างแน่นอน

การโจมตีและการป้องกันมีความซับซ้อนและความเสี่ยงก็แพร่กระจาย

ด้วยการพัฒนาอย่างรวดเร็วของ Web3 การโจมตีที่เป็นอันตรายจึงมีบ่อยขึ้น ตามการแสดงข้อมูล DefiLlamaมูลค่ารวมของสกุลเงินดิจิทัลที่ถูกขโมยเกิน 7 พันล้านดอลลาร์

ตามวัตถุเหตุการณ์ ความเสี่ยงของ Web3 สามารถแบ่งคร่าวๆ ได้เป็น 3 ประเภทดังต่อไปนี้:

● ปัญหาด้านความปลอดภัยของกลไกของโครงการเอง: ความเสี่ยงด้านความปลอดภัยที่เกิดจากช่องโหว่ในกลไกของตัวเอง เช่น สัญญาอัจฉริยะ การโจมตี 51% การโจมตีแบบเปลี่ยนรูปแบบธุรกรรม การโจมตีแบบใช้จ่ายซ้ำซ้อน และการโจมตีธุรกรรมสแปม กรณีร้ายแรงที่ยังคงอยู่ในใจของคนวงในคือ: ช่องโหว่ที่อาจเกิดขึ้นในคอมไพเลอร์ Curve Vyper นำไปสู่กลุ่มสภาพคล่องของ Curve หลายแห่งถูกโจมตี ทับซ้อนตำแหน่งการให้กู้ยืมที่ไม่แข็งแรงของผู้ก่อตั้ง ซึ่งทำให้เกิดวิกฤตการณ์การชำระบัญชีหลายครั้ง

● ปัญหาด้านความปลอดภัยของระบบนิเวศ: การโจมตีจากปัจจัยภายนอก เช่น การโจรกรรมการแลกเปลี่ยน พายุฝนฟ้าคะนอง ข้อมูลเว็บไซต์รั่วไหล การจัดการนอกสถานที่ การโจมตีแบบปฏิเสธการบริการ การปลอมแปลงที่อยู่ธุรกรรม และการโจมตีกลุ่มการขุด กรณีล่าสุด ได้แก่: มูลค่า 70 ล้านดอลลาร์สหรัฐถูกขโมยจากกระเป๋าเงินร้อนของการแลกเปลี่ยน crypto CoinEx ในเดือนกันยายน

● ปัญหาด้านความปลอดภัยของลูกค้า: เช่น การขโมยบัญชี การขโมยกระเป๋าเงิน การฉ้อโกง รวมถึงปัญหาที่เกิดขึ้นเอง เช่น ปัญหาฟิชชิ่งของผู้ใช้และการจัดเก็บคีย์ส่วนตัว เมื่อวันที่ 12 ตุลาคม Adi (e/acc) อดีตวิศวกรของ Alameda เปิดเผยบนแพลตฟอร์ม X ว่าผู้ค้า Alameda คลิกลิงก์ฟิชชิ่งขณะดำเนินการ DeFi ทำให้ Alameda สูญเสียเงินมากกว่า 100 ล้านเหรียญสหรัฐ

ในกรณีข้างต้น เราจะพบว่าความเสี่ยงด้านความปลอดภัยใน Web2 สามารถส่งผลกระทบที่สำคัญต่อ Web3 ได้อย่างง่ายดาย และการสนทนาไม่สามารถแยกออกจากกันโดยสิ้นเชิง

ในความเป็นจริงการอัปเกรดเบราว์เซอร์ Chrome ที่ใช้กันทั่วไปก่อนหน้านี้รวมถึงงานแก้ไขช่องโหว่ต่าง ๆ เมื่อส่วนขยายเช่นกระเป๋าเงิน Web3 ไม่ตามการทำซ้ำของ แม่ ส่วนขยายเหล่านั้นก็เสี่ยงต่อการถูกโจมตี

ในตอนต้นของบทความ CertiK ค้นพบช่องโหว่บนมือถือหลายจุดในระบบ Apple มัลแวร์ เช่น MacStealer, ShadowVault, AMOS และ Realst โจมตีกระเป๋าเงินเข้ารหัสยอดนิยมและขโมยฐานข้อมูลพวงกุญแจ Seaflower แจกจ่ายเวอร์ชันแอปพลิเคชันกระเป๋าเงินเข้ารหัสพร้อมแบ็คดอร์เพื่อขโมยวลีช่วยจำ; มัลแวร์ CookieMiner สามารถเข้าถึงข้อมูลสำรองของ iTunes ที่มีข้อความตัวอักษร ได้รับข้อมูลที่จำเป็นในการเลี่ยงผ่านการตรวจสอบสิทธิ์แบบสองปัจจัย ดังนั้นจึงเข้าถึงกระเป๋าเงินดิจิทัลของเหยื่อและขโมยสกุลเงินดิจิทัลได้

มีคนที่ดีกว่าคุณอยู่เสมอ

เนื่องจากความเสี่ยงด้านความปลอดภัยของ Web3 มีความร้ายแรงมากขึ้น การรักษาความปลอดภัยจึงกลายเป็นรากฐานสำคัญของการพัฒนาที่ยั่งยืนของฝ่ายต่างๆ ในโครงการ นอกเหนือจากการปรับปรุงการรับรู้ความเสี่ยงของตนเองแล้ว การเลือกบริษัทตรวจสอบความปลอดภัยที่เชื่อถือได้ยังกลายเป็นข้อกำหนดมาตรฐานสำหรับโครงการอีกด้วย รายงานการตรวจสอบภายนอกไม่เพียงแต่มอบการรักษาความปลอดภัยของโครงการให้กับ บทบาทที่เชี่ยวชาญมากขึ้นในตลาด เท่านั้น แต่การรับรองจากบริษัทตรวจสอบความปลอดภัยชั้นนำยังถือเป็นเหรียญทองในการโปรโมตโครงการให้กับผู้ใช้อีกด้วย

ในบริบทนี้ บริษัทตรวจสอบความปลอดภัยของ Web3 ได้พัฒนาอย่างรวดเร็วนับตั้งแต่ตลาดกระทิงครั้งล่าสุด และบริษัทต่างๆ เช่น CertiK, Paidun และ SlowMist ได้ค่อยๆ เข้าสู่ขอบเขตวิสัยทัศน์ของทุกคนธุรกิจของบริษัทตรวจสอบความปลอดภัย Web3 ก็ค่อยๆ ขยายออกไปเช่นกัน และบริษัทควบคุมความเสี่ยงด้านโครงการตลอดกระบวนการทั้งหมดตั้งแต่การพัฒนาสัญญาไปจนถึงการตรวจสอบภายหลัง

ยกตัวอย่าง CertiK โดยมอบองค์ประกอบการป้องกันความปลอดภัยแบบครบวงจรแก่ฝ่ายโครงการและบุคคล รวมถึงการตรวจสอบความปลอดภัย Web3 และการทดสอบการเจาะระบบเพื่อค้นหาและแก้ไขอันตรายความเสี่ยง Skylnsights, การตรวจสอบสถานะ KYC, การตอบสนองต่อเหตุการณ์ฉุกเฉิน และโปรแกรม Bug Bounty และมาตรการอื่น ๆ รักษาความปลอดภัยของระบบนิเวศการเข้ารหัส และให้บริการ เช่น ระบบ Skynet และบริการให้คำปรึกษาเพื่อสร้างแพลตฟอร์มการวิเคราะห์ความปลอดภัย Web3 แบบบูรณาการ เพื่อช่วยให้ผู้ใช้หลีกเลี่ยงความเสี่ยงและเพิ่มการรับรู้ความเสี่ยงด้านความปลอดภัย

เมื่อเผชิญกับกิจกรรมที่เป็นอันตรายที่เพิ่มมากขึ้นบนเทอร์มินัลมือถือ CertiK ยังได้ดำเนินมาตรการบางอย่างเพื่อพัฒนากระเป๋าเงิน Web3 สำหรับระบบ iOSบน iOS นักพัฒนาสามารถนำแนวปฏิบัติด้านความปลอดภัยต่อไปนี้มาใช้เพื่อปกป้องแอปพลิเคชันกระเป๋าเงิน: ใช้ประโยชน์จากคุณสมบัติความปลอดภัยของ iOS กลไกความปลอดภัยบนฮาร์ดแวร์ และเฟรมเวิร์ก เช่น การรับรองแอป ปฏิบัติตามแนวทางการเขียนโค้ดที่ปลอดภัย รวมถึงพื้นที่จัดเก็บและการส่งข้อมูลที่เข้ารหัส การตรวจสอบอินพุต และการเขียนโปรแกรมการป้องกัน ; ใช้การรับรองความถูกต้องแบบสองปัจจัยและไบโอเมตริกซ์ อัปเดตและแก้ไขแอปพลิเคชันเป็นประจำ ดำเนินการตรวจสอบความปลอดภัยและสแกนช่องโหว่

จะเห็นได้ว่า CertiK กำลังก้าวหน้าไปตามกาลเวลาและค้นพบความเสี่ยงด้านความปลอดภัยของ Web3 ล่วงหน้าอย่างต่อเนื่องเพื่อจัดการกับเหตุการณ์ที่เป็นอันตรายของ Web3 ที่ยังไม่เกิดขึ้น

ปลอดภัยในโลก ฝึกกำลังภายในอย่างเงียบๆ

ในฐานะอุตสาหกรรมเกิดใหม่ Web3 กำลังเผชิญกับการบุกรุกของสุนัขจิ้งจอกและเสือจำนวนมาก และข้อกำหนดสำหรับความสามารถของบริษัทตรวจสอบความปลอดภัยก็มีเพิ่มมากขึ้นเรื่อยๆ ในช่วงตลาดกระทิงที่ผ่านมา จำนวนโครงการเพิ่มขึ้นอย่างทวีคูณ และมีบริษัทบุคคลที่สามเพียงไม่กี่แห่งที่สามารถแบกรับความรับผิดชอบอันหนักหน่วงของการรักษาความปลอดภัย Web3 ได้

ความน่าเชื่อถือคือการพิจารณาที่สำคัญที่สุดสำหรับฝ่ายโครงการและบริษัทการเข้ารหัสเมื่อเลือกบริษัทตรวจสอบความปลอดภัยของ Web3

การแยกแหล่งที่มาของความไว้วางใจไม่สามารถแยกออกจากความแข็งแกร่งทางธุรกิจ ความครอบคลุมของผลิตภัณฑ์ที่ครอบคลุม ความลึกของการบริการ และชื่อเสียงระยะยาวในอุตสาหกรรมของหน่วยงานรักษาความปลอดภัยบุคคลที่สาม

ตามเว็บไซต์อย่างเป็นทางการ นับตั้งแต่ก่อตั้งในปี 2561 CertiK ได้ร่วมมือกับลูกค้าองค์กรมากกว่า 4,100 ราย ค้นพบช่องโหว่ที่เกี่ยวข้องกับโค้ดบล็อกเชนเกือบ 70,000 รายการ และปกป้องทรัพย์สินดิจิทัลทั้งทางตรงและทางอ้อมมากกว่า 360 พันล้านดอลลาร์

ตั้งแต่ปี 2021 ธุรกิจของ CertiK เติบโตอย่างรวดเร็ว โดยมีการเติบโตของรายได้เกือบ 13 เท่า การเติบโตของกำไร 3,320 เท่า และจำนวนพนักงาน 4 เท่า แม้ว่าจะประสบกับตลาดหมี แต่ธุรกิจของบริษัทได้แสดงให้เห็นถึงการต่อต้านวัฏจักรที่แข็งแกร่งในสภาพแวดล้อมของตลาดที่ปั่นป่วนอย่างรุนแรง

จากส่วนแบ่งการตลาด ข้อมูล CoinMarketCap แสดงให้เห็นว่าส่วนแบ่งการตลาดของ CertiK เกิน 70% ในโครงการบล็อกเชนที่ใช้การตรวจสอบความปลอดภัยของบุคคลที่สาม

ผู้ก่อตั้งทั้งสองเป็นอาจารย์ที่ Yale University และ Columbia University ในจำนวนนี้ Gu Ronghui ได้รับรางวัล Amazon Research Award, OSDI Jay Lepreau Best Paper Award, SOSP Best Paper Award และ CACM จากผลงานของเขาในสาขา ความปลอดภัยของระบบ (International Computer Society) รางวัลไฮไลท์งานวิจัย, รางวัล VMware System Research Award และรางวัลอื่นๆ อีกมากมาย ในเวลาเดียวกัน Gu Ronghui ยังเป็นสมาชิกของคณะกรรมการที่ปรึกษาด้านเทคนิคระหว่างประเทศของ Monetary Authority of Singapore และสมาชิกของ Hong Kong Web 3.0 Development Task Force

ในแง่ของพื้นหลังทางการเงิน CertiK ได้รับการยอมรับจาก สาขาวิชาเอก ของ Web3 เช่น Binance และ Coinbase และยังได้รับการสนับสนุนจากสถาบันดั้งเดิม เช่น Goldman Sachs, Sequoia Capital และ Tiger Global อีกด้วย บริษัทได้กลายเป็นบริษัทตรวจสอบความปลอดภัย Web3 ที่มีคุณค่า มูลค่า 2 พันล้านดอลลาร์สหรัฐ . .

ภายในปีนี้ CertiK ไม่เพียงแต่พอใจกับการครองตำแหน่งสูงสุดในตลาดหุ้นเท่านั้น แต่ยังช่วยบริษัทยักษ์ใหญ่ด้านเทคโนโลยี เช่น Apple และ Samsung ปรับปรุงความปลอดภัยของระบบเทอร์มินัลบ่อยครั้งอีกด้วย ด้วยวิสัยทัศน์สำหรับการพัฒนาในอนาคต CertiK ได้ขยายความครอบคลุมทางธุรกิจไปยังเทอร์มินัลมือถือ ซึ่งเป็นจุดความก้าวหน้าสำหรับการนำ Web3 ไปใช้ในปริมาณมาก

ปกป้องอุตสาหกรรมและเป็นคนแรกที่ปรับใช้

เมื่อ CertiK ยักษ์ใหญ่ในอุตสาหกรรมเริ่มวางระบบการป้องกันความปลอดภัยบนมือถือ ไม่เพียงแต่การขยายธุรกิจเท่านั้น แต่ยังรวมถึงการตัดสินใจของผู้ก่อตั้งเกี่ยวกับเทรนด์ใหม่ของ Web3 ด้วยGu Ronghui บอกกับ Odaily ว่าการแข่งขันในอุตสาหกรรมการตรวจสอบความปลอดภัยกำลังทวีความรุนแรงมากขึ้น และ CertiK จำเป็นต้องเปิดตัวผลิตภัณฑ์ที่มีความได้เปรียบทางการแข่งขันที่แตกต่าง เพื่อคว้าโอกาสและให้บริการในตลาดที่กว้างขึ้นในอนาคต

หลังจากประสบกับตลาดกระทิงรอบที่แล้ว สิ่งอำนวยความสะดวกขั้นพื้นฐานของ Web3 ก็มีความสมบูรณ์มากขึ้นเรื่อย ๆ เป็นผลให้มีผู้สร้างจำนวนมากขึ้นเกิดขึ้นในตลาดหมีรอบนี้และพวกเขากำลังมุ่งเน้นไปที่เลเยอร์แอปพลิเคชันมากขึ้นแนวทางหลักของ Web3 ได้เปลี่ยนจากการต่อสู้ทางนิเวศน์ในตลาดหุ้นไปสู่การต่อสู้กับแอปพลิเคชันโดยมีการยอมรับอย่างกว้างขวางเป็นแกนหลัก

จากมุมมองของ Web3 นั้น DApps ที่นำไปใช้ในขนาดใหญ่นั้นสามารถประกอบได้และซับซ้อนภายในผลิตภัณฑ์ cross-ecologies, cross-protocols, cross-layers และ cross-domains ที่มากขึ้นนำมาซึ่งความเสี่ยงที่ยากต่อการป้องกัน

จากมุมมองของ Web2 ปัจจุบันเทอร์มินัลมือถือต้องอาศัยผู้ให้บริการระบบ เช่น Apple และ Android ความเสี่ยงของระบบ Web2 มีแนวโน้มที่จะทำให้เกิดความเสี่ยงที่มากขึ้นต่อโปรเจ็กต์ Web3 และผู้ใช้บนเทอร์มินัลมือถือ

การต่อสู้ระหว่างแสงสว่างและความมืดมาถึงแล้ว ไม่ว่าจะเป็นความเสี่ยงด้านระบบของเทอร์มินัล Web2 หรือกล่องดำของแอปพลิเคชัน Web3 ล้วนเป็นความเสี่ยงด้านความปลอดภัยที่ซ่อนอยู่อย่างไรก็ตาม CertiK ซึ่งยึดมั่นในหลักการ ปกป้องโลกของ Web3 ได้มุ่งเน้นไปที่แอปพลิเคชันมือถือ Web3 มาเป็นเวลานาน วงล้อมรักษาความปลอดภัยของเทอร์มินัลมือถือถูกใช้งานก่อนและได้รับการยอมรับจากตลาดกระแสหลัก ซึ่งอาจเปิดการพัฒนาของบริษัทตรวจสอบความปลอดภัยในด้าน Web3 บทนำสู่การแข่งขัน