BTC
ETH
HTX
SOL
BNB
Xem thị trường
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
Trang chủ
Tin nhanh
Phân tích sâu
Bài viết
Tin nóng
Chuyên đề
Hoạt động
Quan điểm
Công cụ
Tải Xuống
Cài đặt
API
Theme Switch
Đăng nhập

a16z: Giải thích chi tiết các kiểu tấn công phổ biến và bài học kinh nghiệm trong lĩnh vực bảo mật Web3

链捕手
特邀专栏作者
2022-04-24 11:30
Bài viết này có khoảng 3883 từ, đọc toàn bộ bài viết mất khoảng 6 phút
a16z đã phân tích các phương pháp tấn công Web3 phổ biến như tấn công máy tiên tri và tấn công quản trị, đồng thời đưa ra dự đoán về xu hướng bảo mật.
Tóm tắt AI
Mở rộng
a16z đã phân tích các phương pháp tấn công Web3 phổ biến như tấn công máy tiên tri và tấn công quản trị, đồng thời đưa ra dự đoán về xu hướng bảo mật.

Biên soạn nguyên văn: Hu Tao, Chain Catcher

Tiêu đề ban đầu: "Web3 Security: Attack Types and Lessons Learned

Biên soạn nguyên văn: Hu Tao, Chain Catcher

Phần lớn tính bảo mật của web3 phụ thuộc vào khả năng đặc biệt của blockchain trong việc đưa ra lời hứa và khả năng phục hồi trước sự can thiệp của con người. Nhưng tính năng liên quan đến tính hữu hạn—các giao dịch thường không thể đảo ngược—khiến các mạng do phần mềm kiểm soát này trở thành mục tiêu hấp dẫn đối với những kẻ tấn công. Thật vậy, khi các chuỗi khối — mạng máy tính phi tập trung làm nền tảng cho web3 — và các công nghệ và ứng dụng đi kèm của chúng tích lũy giá trị, chúng ngày càng trở thành mục tiêu thèm muốn của những kẻ tấn công.

Mặc dù web3 khác với các phiên bản trước đó của Internet, nhưng chúng tôi đã quan sát thấyXu hướng bảo mậtmặt bằng chung. Trong nhiều trường hợp, vấn đề lớn nhất vẫn giống như mọi khi. Bằng cách nghiên cứu những lĩnh vực này, những người bảo vệ — cho dù là nhà phát triển, nhóm bảo mật hay người dùng tiền điện tử hàng ngày — có thể bảo vệ bản thân, dự án và ví của họ tốt hơn khỏi những kẻ trộm tiềm năng. Dưới đây chúng tôi đề xuất một số chủ đề phổ biến và dự đoán dựa trên kinh nghiệm.

  • theo dõi các quỹ

    Những kẻ tấn công thường nhằm mục đích tối đa hóa lợi tức đầu tư. Họ có thể dành nhiều thời gian và công sức hơn để tấn công các giao thức có "tổng giá trị bị khóa" hoặc TVL nhiều hơn vì phần thưởng tiềm năng lớn hơn.

    Các nhóm tin tặc tháo vát nhất nhắm mục tiêu vào các hệ thống có giá trị cao thường xuyên hơn. Các cuộc tấn công mới lạ cũng nhắm vào các mục tiêu được đánh giá cao này thường xuyên hơn.

    Các cuộc tấn công chi phí thấp như lừa đảo sẽ không bao giờ biến mất và chúng tôi hy vọng chúng sẽ trở nên phổ biến hơn trong tương lai gần.

  • sữa lỗi

    Khi các nhà phát triển học hỏi từ các cuộc tấn công đã thử và kiểm tra, họ có thể tăng trạng thái của phần mềm web3 lên mức "an toàn theo mặc định". Thông thường, điều này liên quan đến việc thắt chặt giao diện lập trình ứng dụng hoặcAPI, để giúp mọi người khó giới thiệu lỗi do nhầm lẫn hơn.

    Mặc dù bảo mật luôn là một công việc đang được tiến hành, nhưng những người bảo vệ và nhà phát triển có thể tăng chi phí tấn công bằng cách loại bỏ phần lớn kết quả chi phí thấp cho những kẻ tấn công.

    Khi các biện pháp bảo mật được cải thiện và các công cụ hoàn thiện, tỷ lệ thành công của các cuộc tấn công sau đây có thể giảm đáng kể: các cuộc tấn công quản trị, thao túng giá tiên tri và lỗ hổng tái đăng nhập. (Thông tin thêm về những điều này bên dưới.)

    Các nền tảng không thể đảm bảo an ninh "hoàn hảo" sẽ phải sử dụng các biện pháp giảm thiểu lỗ hổng để giảm khả năng mất mát. Điều này có thể ngăn chặn những kẻ tấn công bằng cách giảm "lợi ích" hoặc mặt trái của phân tích lợi ích chi phí của chúng.

  • tấn công phân loại

    Các cuộc tấn công vào các hệ thống khác nhau có thể được phân loại theo các đặc điểm chung của chúng. Các đặc điểm xác định bao gồm mức độ tinh vi của cuộc tấn công, mức độ tự động của cuộc tấn công và những biện pháp phòng ngừa nào có thể được thực hiện để chống lại chúng.

Dưới đây là danh sách chưa đầy đủ các loại tấn công mà chúng tôi đã thấy trong các vụ tấn công lớn nhất trong năm qua. Chúng tôi cũng bao gồm các quan sát của mình về bối cảnh mối đe dọa ngày nay và nơi chúng tôi mong đợi bảo mật web3 sẽ phát triển trong tương lai.

Hoạt động của APT: Những kẻ săn mồi hàng đầu

Các đối thủ chuyên gia, thường được gọi là các mối đe dọa liên tục nâng cao (APT), là những con quỷ bảo mật. Động cơ và khả năng của họ rất khác nhau, nhưng họ có xu hướng giàu có và kiên trì. Thật không may, họ có thể sẽ ở xung quanh mọi lúc. Các APT khác nhau chạy nhiều loại hoạt động khác nhau, nhưng những tác nhân đe dọa này thường có nhiều khả năng tấn công trực tiếp vào lớp mạng của công ty để đạt được mục tiêu của chúng.

Chúng tôi biết một số nhóm cấp cao đang tích cực nhắm mục tiêu các dự án web3 và chúng tôi nghi ngờ có những nhóm khác chưa được xác định. Những kẻ đứng sau các APT nổi tiếng nhất có xu hướng sống ở những nơi không có hiệp ước dẫn độ với Hoa Kỳ và EU, khiến họ khó bị truy tố hơn vì các hoạt động của mình. Một trong những APT nổi tiếng nhất là Lazarus, một nhóm Bắc Triều Tiên mà FBI gần đây cho biết đã thực hiện vụ hack mã hóa lớn nhất cho đến nay.

  • ví dụ:

    RoninTrình xác thực bị tấn công

  • viền

    Ai:Các quốc gia, các tổ chức tội phạm được tài trợ tốt và các nhóm có tổ chức tiên tiến khác. Ví dụ bao gồm tin tặc Ronin (Lazarus, có quan hệ sâu rộng với Bắc Triều Tiên).

    Độ phức tạp:Cao (chỉ dành cho các nhóm giàu tài nguyên, thường ở các quốc gia nơi họ sẽ không bị truy tố).

    khả năng tự động hóa:Thấp (chủ yếu vẫn là thủ công với một số công cụ tùy chỉnh)

    Kỳ vọng cho tương lai:Miễn là các APT có thể kiếm tiền từ các hoạt động của họ hoặc đạt được các mục đích chính trị khác nhau, họ sẽ vẫn hoạt động.

Lừa đảo nhắm mục tiêu người dùng: Kỹ thuật xã hội

Lừa đảo là một vấn đề nổi tiếng và phổ biến. Những kẻ lừa đảo cố gắng dụ dỗ con mồi bằng cách gửi tin nhắn mồi nhử qua nhiều kênh khác nhau, bao gồm tin nhắn tức thời, email, Twitter, Telegram, Discord và các trang web bị tấn công. Nếu duyệt qua hộp thư rác, có thể bạn đã thấy hàng trăm nỗ lực lừa bạn cung cấp những thứ như mật khẩu hoặc ăn cắp tiền của bạn.

Giờ đây, web3 cho phép mọi người giao dịch trực tiếp các tài sản như mã thông báo hoặcNFT, gần như ngay lập tức chắc chắn rằng một chiến dịch lừa đảo đang nhắm mục tiêu đến người dùng của nó. Đối với những người có ít kiến ​​thức hoặc chuyên môn kỹ thuật, các cuộc tấn công này là cách dễ nhất để kiếm tiền bằng cách đánh cắp tiền điện tử. Mặc dù vậy, chúng vẫn là một phương pháp có giá trị đối với các nhóm có tổ chức để theo dõi các mục tiêu có giá trị cao hoặc đối với các nhóm nâng cao để khởi động các cuộc tấn công rút ví trên diện rộng, chẳng hạn như thông qua việc tiếp quản trang web.

  • ví dụ

    trực tiếp cho người dùngChiến dịch lừa đảo OpenSea

    cho các ứng dụng đầu cuốiTấn công lừa đảo BadgerDAO

  • viền

    Ai:Bất kỳ ai từ những người mới bắt đầu viết kịch bản cho đến các nhóm có tổ chức.

    Độ phức tạp:Thấp-Trung bình (các cuộc tấn công có thể là "phun" chất lượng thấp hoặcsiêu mục tiêu, tùy thuộc vào nỗ lực của kẻ tấn công).

    khả năng tự động hóa:Trung bình-Cao (hầu hết các công việc có thể được tự động hóa).

    Kỳ vọng cho tương lai:Lừa đảo rẻ và những kẻ lừa đảo có xu hướng thích nghi và bỏ qua các biện pháp phòng thủ mới nhất, vì vậy chúng tôi cho rằng các cuộc tấn công này sẽ gia tăng. Khả năng phòng vệ của người dùng có thể được cải thiện thông qua nâng cao nhận thức và giáo dục, lọc tốt hơn, biểu ngữ cảnh báo được cải thiện và kiểm soát ví mạnh mẽ hơn.

Lỗ hổng chuỗi cung ứng: Liên kết yếu nhất

Khi các nhà sản xuất ô tô phát hiện ra các bộ phận bị lỗi trong xe, họ sẽ tiến hành thu hồi vì lý do an toàn. Chuỗi cung ứng phần mềm cũng không ngoại lệ.

Thư viện phần mềm của bên thứ ba giới thiệu một bề mặt tấn công lớn. Đây là một thách thức bảo mật trên nhiều hệ thống trước web3, chẳng hạn như tác động của phần mềm máy chủ web phổ biến vào tháng 12 năm ngoáikhai thác log4j.Những kẻ tấn công sẽ quét internet để tìm các lỗ hổng đã biết để tìm các sự cố chưa được vá mà chúng có thể khai thác.

Mã đã nhập có thể không được viết bởi chính nhóm kỹ sư của dự án, nhưng việc bảo trì mã này là rất quan trọng. Các nhóm phải theo dõi các thành phần phần mềm của họ để tìm các lỗ hổng, đảm bảo các bản cập nhật được triển khai và theo kịp đà cũng như tình trạng của các dự án mà họ phụ thuộc. Chi phí thực tế và tức thời của việc khai thác phần mềm web3 khiến việc truyền đạt những vấn đề này tới người dùng trở nên khó khăn. Ban giám khảo vẫn chưa biết làm thế nào hoặc ở đâu các nhóm truyền đạt thông tin này với nhau theo cách không vô tình gây rủi ro cho tiền của người dùng.

  • ví dụ

    Wormholetấn công cầu

    Multichainkẽ hở

  • viền

    Ai:Các nhóm có tổ chức như APT, tin tặc độc lập và nội gián.

    Độ phức tạp:Trung bình (đòi hỏi kiến ​​thức kỹ thuật và một chút thời gian).

    khả năng tự động hóa:Trung bình (có thể tự động quét các thành phần phần mềm bị lỗi; nhưng khi các lỗ hổng mới được phát hiện, việc khai thác cần được xây dựng thủ công).

    Kỳ vọng cho tương lai:Khi sự phụ thuộc lẫn nhau và độ phức tạp của các hệ thống phần mềm tăng lên, các lỗ hổng trong chuỗi cung ứng có thể sẽ tăng lên. Cho đến khi một cách tiếp cận tốt, tiêu chuẩn hóa để tiết lộ lỗ hổng bảo mật được phát triển cho bảo mật web3, thì việc hack cơ hội cũng có thể sẽ tăng lên.

Các cuộc tấn công quản trị: Những kẻ cướp bóc bầu cử

Đây là câu hỏi dành riêng cho ngành tiền điện tử đầu tiên lọt vào danh sách. Nhiều dự án trong web3 bao gồm khía cạnh quản trị nơi chủ sở hữu mã thông báo có thể đề xuất và bỏ phiếu về các thay đổi đối với mạng. Mặc dù điều này tạo cơ hội để phát triển và cải tiến liên tục, nhưng nó cũng mở ra một cửa hậu để đưa ra các đề xuất độc hại có thể làm gián đoạn mạng nếu được triển khai.

Những kẻ tấn công đã nghĩ ra những cách mới để phá vỡ sự kiểm soát, tước quyền lãnh đạo và cướp kho bạc nhà nước. Những kẻ tấn công có thể thực hiện một số lượng lớn "khoản vay nhanh" để có đủ phiếu bầu, như đã xảy ra gần đây trên Beanstalk, một dự án DeFi. Những phiếu bầu quản trị dẫn đến việc thực hiện tự động các đề xuất dễ bị kẻ tấn công khai thác hơn. Tuy nhiên, có thể khó thực hiện hơn nếu có sự chậm trễ trong việc xây dựng đề xuất hoặc nếu nó yêu cầu nhiều bên ký thủ công (ví dụ: thông qua ví đa chữ ký).

  • ví dụ

    Beanstalksự kiện chuyển tiền

  • viền

    Ai:Bất kỳ ai từ các nhóm có tổ chức (APT) đến tin tặc độc lập.

    Độ phức tạp:Từ thấp đến cao, tùy thuộc vào giao thức.

    khả năng tự động hóa:Từ thấp đến cao, tùy thuộc vào giao thức.

    Kỳ vọng cho tương lai:Các cuộc tấn công này phụ thuộc nhiều vào các công cụ và tiêu chuẩn quản trị, đặc biệt khi chúng liên quan đến các quy trình phát triển đề xuất và giám sát.

Định giá các cuộc tấn công của Oracle: Những kẻ thao túng thị trường

Việc định giá tài sản một cách chính xác là rất khó. Trong thế giới giao dịch truyền thống, việc thổi phồng hoặc giảm giá tài sản một cách giả tạo thông qua thao túng thị trường là bất hợp pháp và bạn có thể bị phạt hoặc bị bắt vì hành vi đó. Vấn đề là rõ ràng ở các thị trường DeFi nơi người dùng ngẫu nhiên có thể "giao dịch chớp nhoáng" hàng trăm triệu hoặc hàng tỷ đô la và gây ra sự dao động giá đột ngột.

tiên tritiên tri"—các hệ thống cung cấp dữ liệu thời gian thực, là những nguồn thông tin không thể tìm thấy trên chuỗi. Ví dụ: các nhà tiên tri thường được sử dụng để xác định giá trao đổi giữa hai tài sản. Nhưng những kẻ tấn công đã tìm ra cách để đánh lừa những thứ này- gọi là nguồn chân lý.

Khi quá trình tiêu chuẩn hóa tiên tri tiến triển, sẽ có một cầu nối an toàn hơn giữa thế giới ngoài chuỗi và trên chuỗi và chúng ta có thể mong đợi thị trường trở nên linh hoạt hơn trước các nỗ lực thao túng. Nếu may mắn, các cuộc tấn công như vậy một ngày nào đó có thể biến mất gần như hoàn toàn.

  • ví dụ

    Creamthao túng thị trường

  • viền

    Ai:Các nhóm có tổ chức (APT), tin tặc độc lập và nội gián.

    Độ phức tạp:tự động hóa:

    tự động hóa:Cao (hầu hết các cuộc tấn công có thể liên quan đến việc tự động phát hiện các vấn đề có thể khai thác).

    Kỳ vọng cho tương lai:Có khả năng thấp hơn khi các phương pháp định giá chính xác trở nên chuẩn hơn.

Lỗ hổng mới: Unknown Unknown

Khai thác "Zero-day" — được đặt tên như vậy vì chúng là các lỗ hổng chỉ được công khai trong 0 ngày khi chúng xuất hiện — là một chủ đề nóng trong bảo mật thông tin và bảo mật web3 cũng không ngoại lệ. Bởi vì chúng xuất hiện đột ngột, chúng là những cuộc tấn công khó chống lại nhất.

Nếu có, web3 giúp việc kiếm tiền từ các cuộc tấn công tốn kém, tốn nhiều công sức này trở nên dễ dàng hơn, vì mọi người rất khó lấy lại tiền điện tử sau khi bị đánh cắp. Những kẻ tấn công có thể dành nhiều thời gian nghiên cứu mã chạy các ứng dụng trên chuỗi để tìm ra lỗi biện minh cho mọi nỗ lực của chúng. Trong khi đó, một số lỗ hổng từng là tiểu thuyết tiếp tục hoành hành các dự án không đáng ngờ; lỗi tái xuất hiện nổi tiếng xảy ra trong dự án Ethereum ban đầu TheDAO tiếp tục xuất hiện trở lại ở những nơi khác.

Không rõ ngành công nghiệp sẽ có thể thích ứng với việc lập danh mục các loại lỗ hổng này nhanh chóng hay dễ dàng như thế nào, nhưng việc tiếp tục đầu tư vào các biện pháp bảo vệ an ninh như kiểm toán, giám sát và các công cụ sẽ làm tăng chi phí cho những kẻ tấn công cố gắng khai thác chúng.

  • ví dụ

    Poly NetworkLỗ hổng trong các giao dịch xuyên chuỗi

    QubitKhai thác đúc không giới hạn cho

  • viền

    Ai:Các nhóm có tổ chức (APT), tin tặc độc lập (không chắc) và nội gián.

    Độ phức tạp:Trung bình-Cao (yêu cầu kiến ​​thức kỹ thuật, nhưng không phải tất cả các lỗ hổng đều quá phức tạp để mọi người hiểu).

    khả năng tự động hóa:Thấp (việc phát hiện các lỗ hổng mới cần có thời gian và công sức, và không có khả năng được tự động hóa. Sau khi phát hiện ra, việc quét các vấn đề tương tự trong các hệ thống khác sẽ dễ dàng hơn).

    Kỳ vọng cho tương lai:Nhiều sự chú ý hơn thu hút nhiều mũ trắng hơn và làm cho "rào cản gia nhập" cao hơn để khám phá các lỗ hổng mới. Đồng thời, khi việc áp dụng web3 phát triển, các hacker mũ đen sẽ có động cơ tìm ra các lỗ hổng mới. Như trong rất nhiều lĩnh vực an ninh khác, đây có thể sẽ vẫn là trò chơi mèo vờn chuột.

a16z
Sự an toàn
Chào mừng tham gia cộng đồng chính thức của Odaily
Nhóm đăng ký
https://t.me/Odaily_News
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Tài khoản chính thức
https://twitter.com/OdailyChina
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Tìm kiếm
Mục lục bài viết
Thư viện tác giả
链捕手
Khi cuộc bầu cử của Powell sắp diễn ra, lập trường của người kế nhiệm tiềm năng về tiền điện tử là gì?
Buildpad, ông vua mới của huy động vốn bằng tiền điện tử: Logic và hệ sinh thái đằng sau việc niêm yết cả bốn dự án trên Binance
Từ James Wynn đến Majige, sự trỗi dậy và sụp đổ của các ông vua đòn bẩy
Bảng xếp hạng bài viết nóng
Daily
Weekly
Một blogger đã báo cáo khoản lợi nhuận 45 triệu đô la trên nền tảng giao dịch trực tiếp của Binance đã bình luận: "Những nhà giao dịch thiếu kinh nghiệm, hãy ngừng giao dịch trong ngày ngay!"
Một blogger đã báo cáo khoản lợi nhuận 45 triệu đô la trên nền tảng giao dịch trực tiếp của Binance đã bình luận: "Những nhà giao dịch thiếu kinh nghiệm, hãy ngừng giao dịch trong ngày ngay!"
Bài phát biểu của Saylor tại Dubai (Toàn văn): Tại sao Bitcoin sẽ trở thành tài sản cơ bản của vốn kỹ thuật số toàn cầu
Toàn văn cuộc tranh luận gay gắt giữa CZ và Peter Schiff: 300 triệu người dùng không ủng hộ mô hình Ponzi mà là ủng hộ thế hệ đồng thuận tài chính mới.
Đếm ngược "thay đổi lãnh đạo" của Fed: 5 ứng cử viên được công bố, ai sẽ là người chiến thắng cuối cùng?
Triển vọng đầu tư năm 2026 của BlackRock: Liệu thị trường tăng giá toàn cầu do bong bóng AI thúc đẩy có thể duy trì không?
Tải ứng dụng Odaily Nhật Báo Hành Tinh
Hãy để một số người hiểu Web3.0 trước
IOS
Android
Về chúng tôi
Liên hệ với chúng tôi
Tham gia với chúng tôi
Liên kết hữu nghị
Hợp tác quảng cáo
Thỏa thuận người dùng
Chính sách bảo mật
Tuyên bố miễn trừ trách nhiệm
Bộ Tài Liệu Truyền Thông
Công ty TNHH Truyền thông Văn hóa Modi tỉnh Hải Nam
琼ICP备 2022000863号